澳大利亚初创公司 Payble 通过与 AWS 合作伙伴合作，加速实现 CDR 合规

澳大利亚立法者在 2020 年将 (CDR) 倡议签署为法律，根据该项法律，全国各地的金融服务公司都有资格参与开放银行业务，即让消费者能够访问和控制自己的银行数据。但是，要接收客户的开放银行数据，银行和其他机构需要成为澳大利亚竞争与消费者委员会 (ACCC) 的认可数据接收者 (ADR)。这包括实施严格的隐私保护和规则，以确保数据的安全保护和管理。

获得 CDR 认证的过程既复杂又耗时，Payble 对这一挑战深有体会。这家澳大利亚金融科技公司的使命是终结账单焦虑 —即由于糟糕的账单或支付体验而产生的可避免的痛苦和焦虑感。其创新的计费附加功能可帮助企业和地方政府为其客户提供方便灵活的付款方式。

Payble 联合创始人兼董事总经理 Elliott Donazzan 表示：“CDR 在澳大利亚相对较新，这意味着没有简单的方法可以复制和实施。”“除了具体要求外，还有一些细微差别并不适用于我们所习惯的一般法规。此外，还需要大量的工作来构建正确的技术，为各个方面提供支持。CDR 不是我们的核心业务，因此我们需要合适的合作伙伴来帮助获得认证。”

自公司成立以来，Payble 一直在 Amazon Web Services (AWS) 云上运行，并使用 AWS 的一系列服务来支持公司的应用程序环境。通过这一合作关系，Payble 被引入了 AWS 合作伙伴网络，该网络专门致力于加速取得金融科技行业 CDR 认证和技术解决方案。该网络包括云技术咨询公司 DNX；提供 CDR 和全球标准认证的现代担保公司 AssuranceLab；专门从事开放银行和 CDR 的网络安全公司 Astero；以及由 AWS 构建的专有数据接收者 CDR 平台 Adatree。DNX 首席执行官 Helder Klemp 表示：“我们与 Adatree 进行了对话并开始分享工程策略。在与 AWS 讨论了我们可以合作的其他一些合作伙伴之后，我们决定共同开发一个解决方案，以帮助企业获得认证。”

这些合作伙伴一起创建了 “CDR in a Box”，一种专注于帮助公司符合 CDR 要求并成为 ADR 的解决方案。该解决方案包括一个基于 AWS Well-Architected Framework 的合作伙伴平台，并具有核心 AWS 安全组件，包括 AWS Security Hub、Amazon GuardDuty、AWS Identity and Access Management (IAM) 以及 AWS Key Management Service (KMS)。

“CDR in a Box” 包括 ADR Accelerator，这是 Adatree 和 Astero 联合开发的基于模板的业务解决方案，旨在帮助企业加速其 ADR 申请。Adatree 提供了一个 ADR 就绪模板包，重点关注获得认证所需的业务申请。Adatree 的平台也建立在 AWS 上，并在一系列 AWS 服务上运行。

Astero 利用其网络安全专业知识来支持“CDR in a Box”，包括认证所需的技术安全文档和控制评估服务。Astero 首席执行官 Sandeep Kumar 表示：“CDR in a Box 确保客户遵循安全和风险第一的合规方法。”“首先要帮助客户定义其 CDR 数据环境的边界和数据流，执行威胁评估，并实施适当的安全控制。”

AssuranceLab 利用其认证专业知识和技能组合构建了 CDR 审计所需的技术安全文档，为“CDR in a Box”做出了贡献。AssuranceLab 首席执行官 Paul Wenham 表示：“作为一个团队，我们将四种专家产品整合为一个适用于 Payble 的无缝解决方案。”“通过了解彼此的方法并有效地合作，消除了臆测和业务中断，使 Payble 能够专注于他们最擅长的领域。”

Payble 使用 ADR Accelerator 为公司的 ADR 申请审计提供业务就绪文档。DNX 也通过提供各种自动化合规功能在整个审计过程中予以 Payble 支持。整体联合合作伙伴服务包括专门针对 Payble 业务量身定制的指导和支持。

通过利用 Adatree 的行业沙盒以及 AWS 合作伙伴共同开发的架构完善的解决方案，Payble 仅用四周时间就开发出了可供审计的环境。“澳大利亚业界的看法是，由于成本和时间方面的投入，CDR 很难入门。但是初创企业需要它来向市场提供一些有吸引力的东西，” Kumar 说。“我们正在努力简化 CDR 访问，同时仍满足所有合规性要求。”

“作为一家初创公司，我们需要快速行动，尽快享受 CDR 合规带来的好处，”Donazzan 说道。“与 AWS 合作伙伴合作使我们能够提前完成 ADR 申请，这意味着我们可以专注于核心业务，而不是连接 CDR 的过程。” 除了获得认证之外，Payble 还因其业务拥有了一个强大的安全性和合规性基础而受益。

由于 AWS 合作伙伴提供的综合控制评估、技术、文档和安全服务，Payble 减少了雇用专门内部审计人员的需要。Donazzan 说：“我们只有一名专门人员来处理合规问题，而 AWS 合作伙伴解决方案帮助我们避免雇用更多人员来处理认证流程。”

该解决方案还简化了 Payble 与合规审计员之间的合作。“符合 CDR 要求很重要，但初创公司不一定有资源聘请全职安全合规人员或昂贵的工程师，”Kumar 说。“通过使用我们解决方案的自动化功能，Payble 在尝试了解 CDR 规则和创建安全策略时不必从头开始。相反，他们可以在整个过程中快速有效地采取行动。”

借助 AWS 上的“CDR in a Box”，Payable 能够简化整个流程，无需花费高昂的费用聘请专业人员，并且避免了耗费大量时间去构建技术和准备文档。“我们之前曾考虑一种合规解决方案，其成本是 AWS 合作伙伴所提供选项的两倍，”Donazzan 说。总体而言，Payble 在基础设施、文档和审计成本上的支出不到 90,000 美元。Kumar 说：“在金融服务行业，完整的合规解决方案的成本可能比这高出很多倍。”

2021 年 11 月，Payble 已获得无限制数据接收者认证。数周后，它通过 Adatree 平台获得了活跃状态。这使得 Payble 成为澳大利亚第一家通过中介实现这一目标的公司。Kumar 总结道：“审计过程很复杂且痛苦，但作为一个团队，我们共同努力简化了这一流程。我们与 Payble 的合作关系将会长久持续下去。”

 要了解更多信息，请访问 aws.amazon.com/compliance。