Financial Institutions en de complexiteit van Public Cloud done-right

Datum
28 maart 2022
Categorie

CloudLegal

Financial Institutions (FI’s) zoals banken, payment service providers en verzekeraars, hebben met een sterk gereguleerde markt altijd een uitdagend spanningsveld tussen ‘legacy’ en ‘state-of-the-art’ als het aankomt op user experiences, software en application deployment & infrastructure.

Financial institutions public cloud

Public Cloud, met diensten als IaaS en PaaS, is voor veel financiële instellingen onmisbaar geworden om met name de end-user services en bijbehorende integraties te schalen, snel naar productie te brengen en op een gestandaardiseerde manier te beheren. Om apps voor mobiel betalen, een maatwerk financieel advies of een snelle verzekeringscheck via chat te draaien, is veel rekenkracht en aandacht voor security nodig. Schaalbaarheid en veiligheid die lastig waar te maken zijn in een klassiek datacenter. Zeker met een beperkte interne IT-staf, zélfs als je een bank bent.

Om als FI’s een gezamenlijke positie vorm te geven in een sterk gereguleerde industrie mét cloudbehoefte, werd de European Cloud User Coalition (ECUC) opgericht. Technology Director Friso Geerlings van iO Campus Eindhoven geeft duiding aan de positie die de ECUC inneemt. En hoe de FI’s en Cloud Service Providers (CSP’s), zoals AWS, Microsoft Azure en Google Cloud, elkaar kunnen vinden.

Financial Institutions en de sterk gereguleerde markt

FI’s zijn van nature (gedwongen) voorzichtig. Aan regulators als De Nederlandse Bank (DNB), de European Banking Authority (EBA) of Britse Financial Conduct Authority (FCA) moet worden aangetoond dat er correct wordt gehandeld. En de regels waaraan wordt getoetst, zijn niet minder geworden.

Sterker nog, veel FI’s hebben, misschien terecht, de indruk dat veel problemen op hun bord worden gelegd. Privacy, security, anti-witwassen (AML), antiterrorisme en klantidentificatie (KYC) zijn taken geworden die net zo belangrijk zijn, en misschien nog wel meer kosten, dan de bewaking van balansen en de stabiliteit van het betalingssysteem. FI’s hebben daarom veel meer unieke eisen voor CSP’s dan veel andere bedrijven. Een eisenpakket dat niet altijd coherent is, en niet per definitie zorgt voor een warm ontvangst of begrip bij breed ingestelde CSP’s als AWS en Microsoft Azure. Want, ook al zijn FI’s nog zo groot en machtig, voor Cloud Service Providers zijn het een van de vele partijen die zij bedienen.

Verenigde krachten in de ECUC

Om vorm te geven aan een gezamenlijke positie als sterk gereguleerde industrie mét een grote cloudbehoefte, hebben Europese FI’s samen de ‘ECUC’ opgericht: de European Cloud User Coalition. De ECUC is een soort belangengroep van FI’s als het gaat om bijna onvermijdelijk cloudgebruik. Een gezamenlijke stem weegt immers zwaarder. En tegenover de cloudgiganten of de EU ‘regulatory entities’ zijn zelfs banken klein. In de Benelux zijn grote FI’s als ING en KBC Bank aangesloten bij de ECUC. In de coalitie wordt gewerkt aan best practices binnen de geldende standaarden, maar wordt ook bewust ‘positie genomen’ door middel van een ‘position paper’.

“De ECUC is een soort belangengroep van FI’s als het gaat om bijna onvermijdelijk cloudgebruik.”

ECUC position paper

In mei 2021 verscheen versie 1.0 van de ECUC position paper. Naast dat er positie wordt ingenomen ten opzichte van nieuwe wetgeving als de Europese DORA (Digital Operations Resillience Act, een voorstel rond regelgeving voor FI's), kiest de ECUC ook positie ten opzichte van de Cloud Solution Providers (CSP’s). Gericht aan Microsoft, Amazon, Google en spelers als Digital Ocean dus.

Om het voor Financial Insitutions behapbaar te maken om op Public Cloud infrastructuur te draaien, is een hoge mate van standaardisatie nodig en moeten de CSP’s de juiste functionele zaken bieden op hun cloud omgevingen. De ECUC brengt FI’s bij elkaar om gezamenlijk op te trekken en ervoor te zorgen dat er veel meer aansluiting komt tussen wat FI’s willen, en hoe de CSP’s dat kunnen (gaan) bieden. De FI’s beogen hiermee de cloud giganten een beetje (bij) te kunnen sturen richting hun zo sterk gereguleerde context.

‘Main challenges’ voor cloudgebruik

De Morgan Lewis blog, een industry-leading opinieplatform, vatte de kern van de ECUC Position Paper effectief samen in drie punten, de ‘main challenges’ voor cloudgebruik door Financial Institutions:

1. "Overall public cloud adoption for financial services institutions is challenging due to the specifics of cloud computing being regarded as outsourcing;"

2. "Legislation such as the proposed EU Digital Operational Resilience Act (DORA) and rulings such as Schrems II currently make it difficult for financial services institutions to adopt public cloud services;"

3. "Financial services institutions engaging CSPs individually leads to additional administrative effort and time, as well as misdirection of priorities."

iO en de ECUC Position paper

Als partner van veel FI’s in de ontwikkeling van platformen, apps en online services, wil iO zo veel mogelijk ontzorgen. Veel FI’s hebben met hun eigen IT-ontwikkelteams alleen tijd voor de kern van hun business. Ze willen het ontwerp, de ontwikkeling én de aanpak van hosting & cloud infrastructuur voor veel andere projecten uitbesteden aan specialisten zoals iO.

Indirect is de ECUC Position Paper daarom ook voor iO belangrijk, want onze oplossingen voor deze FI’s landen meestal in de Public Cloud van AWS of Microsoft Azure. De standaarden en richtlijnen die in het ECUC Position Paper worden aangestipt, nemen wij graag over om het totale ‘landschap’ aan ‘controls’ op de software die we voor FI’s ontwikkelen overzichtelijk te houden. Wel zo fijn voor de Chief Information Security Officers (CISO’s) en Cloud Operations Teams van de Financial Institutions die we bedienen, die een continue storm van audits en andere ‘regulatory burden’ van de regulators doorstaan. Als onze aansluiting op en hulp bij de ECUC-richtlijnen het leven op die afdelingen makkelijker maakt, is dat flinke winst.

We voorzien dan ook spoedig dat we niet meer alleen de vraag krijgen:

  • Is jullie software veilig?

  • Werken jullie volgens OWASP?

  • Willen jullie je ISO27001-certificaat laten zien?

  • Wat is jullie SSDLC en hoe gaan jullie om met Dependencies?

Maar dat we aanvullend een antwoord moeten geven op:

  • Volgt jullie voorstel de requirements van de ECUC voor Public Clouds?

  • Kunnen jullie een inrichting zoals de ECUC die schetst voorzien voor mijn API of app project?

Alleen dan lijkt een zorgeloze deployment van een project naar AWS of Microsoft Azure in de toekomst nog voorbij alle ‘checks and controls’ te komen.

Op Money2020 Europe, in september 2021, hebben we dan ook goed onze oren te luisteren gelegd rond het ECUC Position Paper en de belangrijkste aspecten die nu al spelen in de markt. Veel richtlijnen van de ECUC zijn nog voorlopig en de DORA-regelgeving is nog niet in steen gehouwen, maar de contouren tekenen zich af. Wat stelt versie 1.0 (mei 2021) van het ECUC Position Paper nu eigenlijk? En hoe kunnen wij daarin ondersteunen als digitale partner voor FI’s?

Ben jij online overal?

De tijd dat een website voldeed voor een goede digitale aanwezigheid ligt achter ons. Onze experts helpen je liever aan een volwaardig digitaal ecosysteem - geoptimaliseerd en on-brand – om écht je doelen mee na te jagen.

Laptop shopping data overview

De onderwerpen van het paper

Het ECUC Position Paper geeft requirements over vijf onderwerpen: privacy, security, governance & regulation, standard contractual clauses en operational resilience.

Binnen deze requirements zijn er deelgebieden gedefinieerd, waarvan sommige vrij concreet zijn. Andere deelgebieden focussen zich meer op het neerleggen van een abstract control framework. Rond onderwerpen zoals het exacte contract tussen een FI en een CSP moet het legal en procurement team van de FI meestal zelf aan de slag. Andere deelgebieden zijn prima samen met een digitale partner beet te pakken.

We lichten een paar requirements van deze deelgebieden uit, die volgens ons typisch thuishoren in de support die een digital partner als iO aan een FI geeft in een cloud project.

Governance & regulation

‘Exit Strategy requirements’ stelt dat goed moet worden nagedacht over hoe een oplossing kan worden weggehaald bij een Cloud Solution Provider. Een mogelijk antwoord hierop is de inzet van ‘cloud agnostische infrastructure-as-code’-frameworks. Wij denken daarbij aan Terraform voor IaaS (Infra-as-a-Service) en The Serverless Framework voor (i)PaaS en FaaS (integration platforms & functions-as-a-service). Intussen zijn de ervaringen met dergelijke tooling voor digitale FI-projecten bij iO groot en weten we hoe een ‘exit strategy’ eruit kan zien.

Security

‘Encryption at rest’ stelt dat alleen bepaalde HSM (Hardware Security Module)-based vormen van key management, door middel van bijvoorbeeld ‘Supply Your Own Key’ acceptabel zijn voor ECUC-leden. Dit vergt de nodige expertise met cryptografie en de precieze werking van cloud services zoals de AWS Key Management Service of Azure Key Vault. De CSPs bieden de juiste tooling doorgaans wel, maar de precieze inzet en het beheer eromheen is niet triviaal.

Logging en monitoring

‘Standardised monitoring interface’ vraagt om robuuste en complete audit logging, voor zowel de CSP, als de klant (FI’s of de digitale partner). Dit is een eis waarvoor de ECUC met de grote cloud providers rond de tafel moet, want het is zonder hun input lastig te bepalen hoe een CSP provider precies logt. Aan de kant van de klant kan cloud-agnostische logging of een abstractielaag tussen de applicatie en cloud platform worden ingezet. Op dit vlak ondersteunen we bij iO FI’s ook graag met een aantoonbaar complete setup van logging op zowel AWS als Microsoft Azure. Immutability (bescherming tegen wijzigingen) en het aantoonbaar veilig opslaan van bepaalde logs is hierbij doorgaans essentieel.

Back-up functionality

‘High Availability and Disaster Recovery’ bespreekt de gewenste functionaliteit en minimale eisen aan een CSP op dit vlak. De grote cloud providers hebben dit allemaal wat betreft features wel op orde. Ook hier is het vooral een kwestie van goed inrichten en het totale landschap overzien dat CSP’s bieden. Het maken van de juiste keuzes is vaak complex, maar als de inrichting eenmaal staat, is de totale ‘resilience’ doorgaans uitstekend.

Conclusies ECUC Position Paper

Al met al is het duidelijk dat het ECUC Position Paper zich vooral richt op de relatie tussen FI’s zoals banken met CSP’s zoals AWS en Azure. En dat de daarin beschreven onderwerpen en de manier waarop een CSP op elk vlak een mogelijke oplossing heeft voor een FI, veelomvattend zijn met een complexe (technische) inrichting tot gevolg. Als digital partner van veel FI’s vinden we het bij iO belangrijk om ontwikkelingen, zoals ECUC’s Position Paper en wetgeving als DORA, goed te monitoren en écht te begrijpen.

Wat dat betreft is het voor ons vergelijkbaar met een framework als PCI-DSS in de payment card industry. Want in de flexibele ruimte tussen de Financial Institutions, hun product teams, druk bezette IT en de CSP is veel werk te verzetten voor specialisten zoals wij. Werk dat noodzakelijk is om een project veilig, betrouwbaar, maar vooral ook ‘compliant’ op de Public Cloud te laten landen.

Wij houden de updates van de ECUC Position Paper en andere uitingen in de gaten. En juichen alleen maar toe dat hiermee waarschijnlijk ook de laatste plooien worden gladgestreken voor FI’s werkelijk all-out-cloud kunnen gaan.

Gerelateerde artikelen
Friso Geerlings
Over de auteur
Friso Geerlings
Chief Technology Officer - iO

Bij iO besteedt Friso zijn dagen aan de meest complexe tech uitdagingen voor diverse high-profile (financiële diensten) klanten. Deze combineert hij met ondersteunen van iO's tech teams en het bouwen aan verbindingen tussen developers, gebruikers en systemen. Hij kruipt regelmatig in de pen om met diepgaande, informatieve artikels deze banden verder aan te halen.

Blijf op de hoogte. Schrijf je in op onze nieuwsbrief

  • Laat je inspireren: onze strategen, technologen en creatievelingen delen hun kennis en inzichten.

  • Blijf up-to-date: ontvang relevante content over merkstrategie, bedrijfstransformatie, digitale ecosystemen of data-intelligentie.

  • Mis niks: ontdek onze nieuwe cases en blijf op de hoogte van onze laatste ontwikkelingen.