La startup australiana Payble acelera su proceso de conformidad con el CDR gracias a la colaboración con los socios de AWS

Cuando los legisladores australianos promulgaron la iniciativa Derecho de datos del consumidor (Consumer Data Right, CDR) en 2020, las empresas financieras de todo el país pudieron acceder a la banca abierta, una práctica que ofrece a los consumidores acceso a sus datos bancarios y control sobre ellos. Sin embargo, para recibir los datos bancarios abiertos de los clientes, los bancos y otras instituciones tenían que convertirse en destinatarios de datos acreditados (ADR), título otorgado por la Comisión Australiana de Competencia y Consumidores (ACCC). Esto implica la implementación de normas y medidas de seguridad estrictas para la privacidad, que ayudan a garantizar la protección y la administración seguras de los datos.

El proceso de acreditación CDR es complejo y lleva mucho tiempo, un desafío que Payble conoce muy bien. La misión de la empresa de tecnología financiera australiana es erradicar la ansiedad de facturación, la sensación evitable de angustia y ansiedad que causan las malas experiencias de facturación o pago. Su complemento innovador de facturación ayuda a las empresas y al Gobierno local a ofrecer a los clientes opciones de pago cómodas y flexibles.

“El hecho de que el CDR sea relativamente nuevo en Australia significa que no hay un método fácil de copiar e implementar”, dice Elliott Donazzan, cofundador y director general de Payble. “Además de los requisitos específicos, hay matices que no se aplican a las normas generales a las que estamos acostumbrados. Además, se requiere mucho trabajo para crear la tecnología adecuada que lo respalde todo. El CDR no es nuestra actividad principal, por lo que necesitábamos los socios adecuados para lograr la acreditación”.

Payble utiliza la nube de Amazon Web Services (AWS) desde que se creó y emplea una gama de sus servicios para respaldar el entorno de las aplicaciones. Gracias a esta relación, Payble conoció una red de socios de AWS que se especializan en acelerar las soluciones tecnológicas y de acreditación de CDR para el sector de la tecnología financiera. En esta red, se encuentran DNX, una empresa de consultoría de tecnología en la nube; AssuranceLab, una empresa moderna de aseguramiento que ofrece acreditaciones para estándares globales y de CDR; Astero, una empresa de ciberseguridad especializada en la banca abierta y el CDR; y Adatree, una plataforma de CDR patentada y creada por AWS para destinatarios de datos. Helder Klemp, CEO de DNX, afirma: “Conversamos con Adatree y empezamos a discutir estrategias de ingeniería. Tras debatir con AWS sobre algunos de los otros socios con los que podríamos trabajar, decidimos desarrollar conjuntamente una solución para ayudar a las empresas a acreditarse”.

Los socios crearon “CDR in a Box”, una solución que se enfoca en que las empresas cumplan con los requisitos de CDR y se conviertan en ADR. La solución incluye una plataforma de socios basada en el marco de AWS Well-Architected Framework e incluye las principales características de seguridad de AWS, como AWS Security Hub, Amazon GuardDuty, AWS Identity and Access Management (IAM) y AWS Key Management Service (KMS).

“CDR in a Box” incluye el acelerador de ADR, una solución empresarial basada en plantillas que fue desarrollada en conjunto por Adatree y Astero y que está diseñada para ayudar a las empresas a acelerar la solicitud de ADR. Adatree ofrece un paquete de plantillas para la preparación de ADR, el cual se enfoca en las aplicaciones empresariales necesarias para obtener la acreditación. La plataforma de Adatree también se basa en AWS y se ejecuta en una variedad de servicios de AWS.

Astero utilizó su experiencia en ciberseguridad para respaldar “CDR in a Box”, incluida la documentación técnica de seguridad y los servicios de evaluación de controles necesarios para la acreditación. “CDR in a Box garantiza que los clientes sigan un enfoque de conformidad que priorice la seguridad y el riesgo”, afirma Sandeep Kumar, CEO de Astero. “Lo primero es ayudar a los clientes a definir los límites y los flujos de datos de los entornos de datos de CDR, a realizar evaluaciones de amenazas y a implementar los controles de seguridad adecuados”.

AssuranceLab aportó a “CDR in a Box” su experiencia y habilidades en acreditación para crear la documentación técnica de seguridad requerida para las auditorías de CDR. “Como grupo, combinamos cuatro ofertas de expertos en una solución perfecta para Payble”, comenta Paul Wenham, director ejecutivo de AssuranceLab. “Al comprender el enfoque de los demás y trabajar juntos de manera eficaz, eliminamos las conjeturas y las interrupciones empresariales, lo que permitió a Payble centrarse en lo que mejor sabe hacer”.

Payble utilizó el acelerador de ADR para brindar la documentación de preparación empresarial para la auditoría de las solicitudes de ADR de la empresa. DNX también apoyó a Payble durante todo el proceso de auditoría con capacidades de conformidad automatizadas. La oferta general combinada de socios incluye orientación y soporte diseñados específicamente para el negocio de Payble.

Gracias a Industry Sandbox de Adatree y la solución de buena arquitectura desarrollada en conjunto por los socios de AWS, Payble desarrolló un entorno listo para la auditoría en solo cuatro semanas. “Para la industria australiana, el acceso al CDR es demasiado difícil debido a los compromisos de tiempo y de costos. Sin embargo, es necesario para que las startups ofrezcan algo atractivo al mercado”, afirma Kumar. “Intentamos simplificar el acceso a los CDR sin dejar de cumplir con todos los requisitos de conformidad”.

“Al ser una startup, necesitamos avanzar con rapidez y acceder a los beneficios de la conformidad del CDR lo antes posible”, dice Donazzan. “Gracias al trabajo con los socios de AWS, completamos la solicitud de ADR antes de lo previsto, lo que nos permitió enfocarnos en nuestro negocio principal y no en el proceso de conexión al CDR”. Además de la acreditación, Payble también se beneficia de una base sólida de seguridad y conformidad para su negocio.

Payble redujo la necesidad de contratar personal de auditoría interna especializado, gracias a los servicios combinados de evaluación de controles, tecnología, documentación y seguridad de los socios de AWS. “Solo tenemos una persona encargada de trabajar en los problemas de conformidad; con la solución de socios de AWS no tenemos la necesidad de contratar a más personas para el proceso de acreditación”, comenta Donazzan.

La solución también simplificó el compromiso entre Payble y los auditores de conformidad. “Cumplir con el CDR es importante, pero las startups no cuentan necesariamente con los recursos para contratar a una persona que se ocupe de la conformidad de la seguridad a tiempo completo o a ingenieros costosos”, afirma Kumar. “Con las capacidades de automatización de nuestra solución, Payble no tuvo que empezar desde cero para entender las reglas de CDR y crear políticas de seguridad. En cambio, pudieron avanzar de manera rápida y eficaz durante todo el proceso”.

“CDR in a Box” de AWS permitió a Payble agilizar el proceso en su totalidad, eliminó la necesidad de contratación de personal especializado y evitó tener que dedicar mucho tiempo a la creación de tecnología y a la preparación de la documentación. “Estuvimos por elegir una solución de conformidad que costaba el doble que la opción que nos ofrecieron los socios de AWS”, comenta Donazzan. En general, Payble gastó menos de 90 000 USD en costos de infraestructura, documentación y auditoría. “En el sector de los servicios financieros, las soluciones de conformidad completas pueden ser aún más costosas”, indica Kumar.

En noviembre de 2021, Payble recibió la acreditación como destinatario de datos sin restricciones. Semanas después, alcanzó el estado activo gracias a la plataforma de Adatree. Así, Payble se convirtió en la primera empresa australiana en lograr el estado con la ayuda de un intermediario. Kumar concluye: “Las auditorías pueden ser complejas y difíciles, pero trabajamos en conjunto para simplificar el proceso. Nuestra relación con Payble continuará en el futuro”.

 Para obtener más información, visite aws.amazon.com/compliance.