Pomelo proporciona a los servicios de tecnología financiera un lago de datos seguro, escalable y con costos optimizados basado en Amazon S3

Fundada en Argentina en abril de 2021, Pomelo ofrece soluciones de tecnología financiera a más de 100 clientes empresariales y sus millones de usuarios en seis países de América Latina. Pomelo brinda a sus clientes, como grandes bancos y firmas financieras, formas de emitir y procesar tarjetas de crédito, ofrecer cuentas digitales y prevenir el fraude, al tiempo que cumplen con la normativa PCI DSS.

Un panel de inteligencia empresarial seguro permite a los clientes de Pomelo ver las transacciones de sus clientes y utilizar los datos para predecir las compras, calcular los riesgos, detectar anomalías y realizar análisis. “Cuando la velocidad de acceso a los datos es muy lenta, te frena”, afirma Juan Jose Behrend, Director of Engineering de Pomelo. “Y la seguridad es muy, muy importante. Para nosotros, AWS es una elección obvia”.

La empresa creó su arquitectura de acuerdo con el Marco de AWS Well-Architected, que proporciona las mejores prácticas arquitectónicas para diseñar y operar sistemas confiables, seguros, eficientes, rentables y sostenibles en la nube. Pomelo utilizó el Marco de AWS Well-Architected como base para su lago de datos en Amazon S3 y obtuvo una capacidad de almacenamiento excepcional con controles de seguridad ajustados que cumplen con la normativa PCI DSS. “Necesitábamos un repositorio de datos que pudiera expandirse de forma dinámica prácticamente sin mantenimiento, conectarse con otros servicios de AWS y cumplir con todos nuestros requisitos de conformidad”, afirma Behrend. “Amazon S3 era la combinación perfecta”.

Pomelo almacena la información de los usuarios, los datos no estructurados y los registros de miles de millones de transacciones financieras en su lago de datos creado en Amazon S3. El tráfico nunca sale de la Amazon Virtual Private Cloud (Amazon VPC) de Pomelo, donde las organizaciones definen y lanzan sus recursos de AWS en una red virtual aislada de forma lógica. Pomelo usa puntos de conexión de VPC para Amazon S3 para limitar el acceso a través de conexiones seguras y altamente fiables. Para definir mejor el perímetro de datos de los conjuntos de datos individuales, la empresa utiliza políticas de bucket de S3.

A nivel de cuenta, Pomelo activa el Bloqueo del acceso público de Amazon S3, que bloquea todo el acceso público en sus buckets de S3 con un solo clic. Pomelo protege aún más el acceso mediante la configuración Propietario del bucket aplicado en Propiedad de objetos de S3, un control a nivel de bucket que desactiva las listas de control de acceso y exige el uso de políticas de administración de acceso. La empresa aplica el principio del privilegio mínimo al establecer controles de acceso detallados basados en roles mediante AWS Identity and Access Management (IAM), que administra de forma segura las identidades y el acceso a los servicios y recursos de AWS. La lista de permisos de acceso de Pomelo utiliza protocolos basados en roles de AWS IAM como parte de un marco de confianza cero. “Lo que más me gusta de AWS es que se puede personalizar todo”, afirma Behrend. Para una mayor supervisión, Pomelo obtiene registros detallados de todas las solicitudes realizadas a los buckets de S3 mediante la implementación del registro de acceso al servidor de S3, que proporciona registros detallados de las solicitudes y ayuda a los clientes a obtener información sobre los patrones de acceso.

Para el cifrado, Pomelo protege los objetos de Amazon S3 mediante el cifrado del lado del servidor con claves administradas por el cliente (SSE-KMS) de AWS Key Management Service (AWS KMS), que permiten a las organizaciones crear, administrar y controlar las claves criptográficas en las aplicaciones y los servicios de AWS. “Sabíamos que queríamos cifrar nuestros sistemas con una clave que creada y controlada por nosotros”, explica Kevin Santos, Data Engineer de Pomelo. Sin embargo, como startup en crecimiento, Pomelo buscaba reducir sus principales costos de administración. Trabajó junto con los arquitectos de soluciones de AWS para identificar qué objetos de su lago de datos recibían la mayoría de las solicitudes de AWS KMS. Para ello, Pomelo utilizó Lente de almacenamiento de S3, que brinda visibilidad en toda la organización del uso de almacenamiento de objetos y las tendencias de actividad y realiza recomendaciones prácticas para optimizar costos y aplicar prácticas recomendadas de protección de datos. Con Lente de almacenamiento de S3, Pomelo descubrió que S3 hacía una llamada a AWS KMS cada vez que una aplicación necesitaba acceder a un objeto cifrado. Esto generaba dos mil millones de solicitudes de AWS KMS al mes.

Para limitar el número de solicitudes de AWS KMS y reducir los costos, Pomelo implementó las claves de bucket de Amazon S3, que utilizan una clave de nivel de bucket de AWS KMS para reducir el tráfico de solicitudes de S3 a AWS KMS. La clave a nivel de bucket crea claves de datos para cifrar nuevos objetos durante su ciclo de vida. Como resultado, Pomelo redujo el tráfico de S3 a AWS KMS y redujo sus costos de cifrado del lado del servidor mediante AWS KMS en un 95 %.

Con el objetivo de seguir mejorando la rentabilidad, Pomelo utiliza la clase de almacenamiento Amazon S3 Glacier Flexible Retrieval, una clase de almacenamiento ideal para las empresas que buscan archivar datos que no requieren acceso inmediato y, al mismo tiempo, conservar la flexibilidad para recuperar grandes conjuntos de datos sin costo alguno. “La flexibilidad de las opciones de recuperación de S3 Glacier nos permite equilibrar la rentabilidad con los tiempos de recuperación de datos”, afirma Behrend. Con S3 Lifecycle, la empresa configura un conjunto de reglas de ciclo de vida que transfieren automáticamente sus objetos a la clase de almacenamiento S3 Glacier Flexible Retrieval, de bajo costo, después de un período de tiempo designado. Pomelo estima que logrará ahorros a largo plazo de entre el 40 y el 50 % en almacenamiento de datos al utilizar Amazon S3 Lifecycle para hacer la transición de datos inactivos a la clase de almacenamiento S3 Glacier Flexible Retrieval.