Das australische Startup Payble beschleunigt den Weg zur CDR-Compliance durch die Zusammenarbeit mit AWS-Partnern

Als der australische Gesetzgeber die CDR-Initiative im Jahr 2020 in Kraft setzte, erhielten Finanzdienstleistungsunternehmen im ganzen Land die Möglichkeit, Open Banking anzubieten – darunter versteht man die Praxis, Verbrauchern Zugang zu ihren Bankdaten zu gewähren und ihnen die Kontrolle darüber zu ermöglichen. Um jedoch Open-Banking-Daten von Kunden zu erhalten, mussten Banken und andere Institutionen von der Australian Competition and Consumer Commission (ACCC) als akkreditierter Datenempfänger (ADR) anerkannt werden. Dies beinhaltet die Implementierung strenger Datenschutzvorkehrungen und -regeln, um den sicheren Schutz und die sichere Verwaltung von Daten zu gewährleisten.

Der Weg zur CDR-Akkreditierung ist komplex und zeitaufwändig, eine Herausforderung, die Payble nur zu gut kennt. Das australische Fintech hat es sich zur Aufgabe gemacht, die sogenannte Billxiety zu beenden – das vermeidbare Gefühl von Stress und Angst, das durch ein schlechtes Rechnungs- oder Zahlungserlebnis verursacht wird. Das innovative Rechnungs-Add-on hilft Unternehmen und Kommunalverwaltungen, ihren Kunden bequeme flexible Zahlungsoptionen anzubieten.

„Die Tatsache, dass CDR in Australien relativ neu ist, zeigt, dass es keine einfache Methode gibt, den Vorgang zu kopieren und zu implementieren“, sagt Elliott Donazzan, Mitbegründer und Geschäftsführer von Payble. „Zusätzlich zu den spezifischen Anforderungen gibt es Nuancen, die nicht für die allgemeinen Vorschriften gelten, an die wir gewöhnt sind. Außerdem ist viel Arbeit erforderlich, um die richtige Technologie zu entwickeln, die alles unterstützt. CDR ist nicht unser Kerngeschäft, daher brauchten wir die richtigen Partner, um die Akkreditierung zu erreichen.“

Payble läuft seit der Gründung des Unternehmens in der Amazon Web Services (AWS) Cloud und nutzt eine Reihe seiner Dienste zur Unterstützung seiner Anwendungsumgebung. Durch diese Beziehung wurde Payble in ein Netzwerk von AWS-Partnern eingeführt, die sich darauf spezialisiert haben, die CDR-Akkreditierungs- und Technologielösungen der Finanztechnologiebranche zu beschleunigen. Zu diesem Netzwerk gehören DNX, ein Beratungsunternehmen für Cloud-Technologie, AssuranceLab, ein modernes Prüfungsunternehmen, das Akkreditierungen für CDR und globale Standards anbietet, Astero, ein auf Cybersicherheit spezialisiertes Unternehmen, das sich auf Open Banking und CDR spezialisiert hat, und Adatree, eine proprietäre, von AWS entwickelte CDR-Plattform für Datenempfänger. Helder Klemp, CEO von DNX, sagt: „Wir hatten Gespräche mit Adatree und begannen, technische Strategien auszutauschen. Nachdem wir mit AWS über einige der anderen Partner gesprochen hatten, mit denen wir zusammenarbeiten könnten, beschlossen wir, gemeinsam eine Lösung zu entwickeln, die Unternehmen bei der Akkreditierung unterstützt.“

Die Partner entwickelten „CDR in a Box“, eine Lösung, die darauf ausgerichtet ist, Unternehmen dabei zu unterstützen, CDR-konform zu werden und ADR zu werden. Die Lösung umfasst eine Partnerplattform, die auf dem AWS Well-Architected Framework basiert und wichtige AWS-Sicherheitskomponenten wie AWS Security Hub, Amazon GuardDuty, AWS Identity and Access Management (IAM) und AWS Key Management Service (KMS) umfasst.

„CDR in a Box“ beinhaltet den ADR Accelerator, eine vorlagenbasierte Geschäftslösung, die gemeinsam von Adatree und Astero entwickelt wurde und Unternehmen dabei helfen soll, ihre ADR-Anwendung zu beschleunigen. Adatree bietet ein Vorlagenpaket für die ADR-Bereitschaft an, das sich auf Geschäftsanwendungen konzentriert, die für eine Akkreditierung erforderlich sind. Die Plattform von Adatree basiert ebenfalls auf AWS und läuft auf einer Reihe von AWS-Services.

Astero nutzte sein Fachwissen im Bereich Cybersicherheit, um „CDR in a Box“ zu unterstützen, einschließlich der für die Akkreditierung erforderlichen technischen Sicherheitsdokumentationen und Kontrollanalysen. „CDR in a Box stellt sicher, dass Kunden bei der Einhaltung von Vorschriften einen sicherheits- und risikoorientierten Ansatz verfolgen“, sagt Sandeep Kumar, CEO von Astero. „Dies beginnt damit, dass wir Kunden dabei unterstützen, die Grenzen und Datenflüsse ihrer CDR-Datenumgebung zu definieren, Bedrohungsanalysen durchzuführen und angemessene Sicherheitskontrollen zu implementieren.“

AssuranceLab trug zu „CDR in a Box“ bei, indem es sein Fachwissen und seine Fähigkeiten im Bereich Akkreditierung nutzte, um die erforderliche technische Sicherheitsdokumentation für CDR-Audits zu erstellen. „Als Gruppe haben wir vier Expertenangebote zu einer nahtlosen Lösung für Payble kombiniert“, sagt Paul Wenham, CEO von AssuranceLab. „Indem wir den Ansatz des jeweils anderen verstanden und effektiv zusammengearbeitet haben, fanden Rätselraten und Geschäftsunterbrechungen ein Ende, sodass Payble sich auf das konzentrieren konnte, was sie am besten können.“

Payble nutzte den ADR Accelerator, um die Unterlagen zur Geschäftsbereitschaft für das ADR-Antragsaudit des Unternehmens bereitzustellen. DNX unterstützte Payble auch während des gesamten Auditprozesses und bot automatisierte Compliance-Funktionen. Das gesamte kombinierte Partnerangebot umfasst Beratung und Support, die speziell auf das Geschäft von Payble zugeschnitten sind.

Durch die Nutzung der Industry Sandbox von Adatree und der gut durchdachten Lösung, die von den AWS-Partnern gemeinsam entwickelt wurde, entwickelte Payble in nur vier Wochen eine audit-fähige Umgebung. „In der australischen Branche herrscht die Meinung, dass CDR aufgrund von Kosten- und Zeitverpflichtungen zu schwierig ist. Aber Startups brauchen es, um etwas Überzeugendes auf den Markt zu bringen“, sagt Kumar. „Wir versuchen, den Zugriff auf CDR zu vereinfachen und gleichzeitig alle Compliance-Anforderungen zu erfüllen.“

„Als Startup müssen wir schnell handeln und die Vorteile der CDR-Konformität so schnell wie möglich nutzen“, sagt Donazzan. „Durch die Zusammenarbeit mit AWS-Partnern konnten wir die Antragstellung für ADR vorzeitig abschließen und uns auf unser Kerngeschäft konzentrieren, anstatt uns mit dem Prozess zur Verbindung mit CDR zu befassen.“ Neben der Akkreditierung profitiert Payble auch von einer soliden Sicherheits- und Compliance-Grundlage für sein Geschäft.

Payble reduzierte aufgrund der kombinierten Kontroll-, Bewertungs-, Technologie-, Dokumentations- und Sicherheitsdienste der AWS-Partner die Notwendigkeit, spezialisiertes internes Auditpersonal einzustellen. „Wir haben nur einen Ansprechpartner, der sich mit Compliance-Fragen befasst, und dank der AWS-Partnerlösung konnten wir vermeiden, mehr Mitarbeiter für den Akkreditierungsprozess einzustellen“, sagt Donazzan.

Die Lösung hat auch die Zusammenarbeit zwischen Payble und Compliance-Auditoren optimiert. „Es ist wichtig, CDR-konform zu werden, aber Startups verfügen nicht unbedingt über die Ressourcen, um eine Vollzeitperson für die Einhaltung der Sicherheitsbestimmungen oder teure Techniker einzustellen“, sagt Kumar. „Durch die Nutzung der Automatisierungsfunktionen unserer Lösung musste Payble nicht bei Null anfangen, als es darum ging, die CDR-Regeln zu verstehen und Sicherheitsrichtlinien zu erstellen. Stattdessen konnte das Unternehmen den gesamten Prozess schnell und effektiv vorantreiben.“

„CDR in a Box“ auf AWS ermöglichte es Payable, den gesamten Prozess zu rationalisieren, eine kostspielige Beauftragung von Spezialisten überflüssig zu machen und zeitraubende Exkursionen in die Konstruktion der Technologie und die Vorbereitung der Dokumentation zu vermeiden. „Wir haben über eine Compliance-Lösung nachgedacht, die doppelt so viel gekostet hätte wie die von den AWS-Partnern angebotene Option“, sagt Donazzan. Insgesamt gab Payble weniger als 90.000 USD für Infrastruktur-, Dokumentations- und Prüfungskosten aus. „In der Finanzdienstleistungsbranche können komplette Compliance-Lösungen ein Vielfaches mehr kosten“, sagt Kumar.

Im November 2021 erhielt Payble die Akkreditierung als uneingeschränkter Datenempfänger. Wochen später erreichte es über die Plattform von Adatree den aktiven Status. Damit ist Payble das erste Unternehmen in Australien, das dies über einen Vermittler erreicht. Kumar kommt zu dem Schluss: „Audits können komplex und schmerzhaft sein, aber als Team haben wir zusammengearbeitet, um den Prozess zu vereinfachen. Unsere Beziehung zu Payble wird weit in die Zukunft reichen.“

 Weitere Informationen finden Sie unter aws.amazon.com/compliance.