澳大利亞新創公司 Payble 透過與 AWS 合作夥伴合作加速推進 CDR 合規

當澳大利亞立法者於 2020 年簽署 (CDR) 倡議成為法律時，全國各地的金融服務公司都有資格享受開放式銀行服務，即讓消費者存取並控制自己的銀行資料。然而，為了接收客戶開放式銀行資料，銀行和其他機構需要成為澳大利亞競爭和消費者委員會 (ACCC) 認可的資料接收者 (ADR)。這涉及實作嚴格的隱私權保護措施和規則，以確保資料的安全保護和管理。

取得 CDR 認證的過程複雜且耗時，而 Payble 深知如何應對此挑戰。這家澳大利亞金融科技公司的使命是消除客戶的帳單焦慮症 — 這是一種由不良的帳單或付款體驗而引發的可避免的苦惱和焦慮感。其創新的帳單附加元件可協助企業和地方政府為客戶提供便捷的靈活付款方式。

Payble 共同創辦人兼執行董事 Elliott Donazzan 表示：「CDR 在澳大利亞屬於較新的認證，這意味著沒有可複製和實作的簡單方法。」「除了具體要求之外，還有一些細微差別不適用於我們熟悉的一般法規。而且，為了建置能支援所有需求的正確技術，需要付出大量的努力。CDR 不是我們的核心業務，因此我們需要合適的合作夥伴來協助取得認證。」

自公司成立以來，Payble 一直在 Amazon Web Services (AWS) 雲端上執行，並使用其一系列服務來支援其應用程式環境。透過這種關係，Payble 被介紹加入 AWS 合作夥伴網路，這些合作夥伴專注於加速推進金融技術產業的 CDR 認證和技術解決方案。該網路包括 DNX，一家雲端技術諮詢公司；AssuranceLab，一家提供 CDR 和全球標準認證的現代保證公司；Astero，專門從事開放式銀行和 CDR 的網路安全公司；Adatree，AWS 面向資料接收方建置的專有 CDR 平台。DNX 執行長 Helder Klemp 表示：「我們與 Adatree 進行對話，並開始分享工程策略。在與 AWS 討論一些可以合作的其他合作夥伴後，我們決定共同開發一種解決方案來協助企業取得認證。」

合作夥伴打造出「CDR in a Box (盒中的 CDR)」，這是專注於協助公司實現 CDR 合規和 ADR 的解決方案。該解決方案包括基於 AWS Well-Architected Framework 的合作夥伴平台，並配有核心 AWS 安全元件，涉及 AWS Security Hub、Amazon GuardDuty、AWS Identity and Access Management (IAM) 和 AWS Key Management Service (KMS)。

「盒中的 CDR」包括 ADR 加速器，這是 Adatree 和 Astero 共同開發的以範本為基礎的商業解決方案，旨在協助企業加速推進其 ADR 申請程序。Adatree 針對 ADR 準備工作提供一個範本套件，該套件專注於處理取得認證所需的商業應用程式。Adatree 的平台也建置在 AWS 上，並且在各種 AWS 服務上執行。

Astero 利用其網路安全專業知識來支援「盒中的 CDR」(CDR in a Box)，包括認證所需的技術安全文件和控制項評估服務。Astero 執行長 Sandeep Kumar 表示：「盒中的 CDR 可確保客戶遵循安全性和風險優先的法規遵循方法。該方法首先協助客戶定義其 CDR 資料環境的邊界和資料流程，執行威脅評估並實作適當的安全控制項。」

AssuranceLab 利用其認證專業知識和技能來建構 CDR 稽核所需的技術安全文件，從而助力採用「盒中的 CDR」。AssuranceLab 執行長 Paul Wenham 表示：「作為衣蛾團體，我們將四個專家產品合併為一個面向 Payble 的無縫解決方案。透過了解彼此的方法並有效地合作，該解決方案可消除各種猜測和業務中斷，使 Payble 能夠專注於他們最擅長的工作。」

Payble 使用 ADR 加速器提供用於公司 ADR 申請稽核的業務準備文件。DNX 還在整個稽核程序中支援 Payble，並且提供自動化合規功能。整體的聯合合作夥伴服務包括專門針對 Payble 業務打造的指引和支援。

Payble 利用 Adatree 的產業沙盒和 AWS 合作夥伴共同開發的架構良好解決方案，在短短四週內開發出稽核就緒型環境。「澳大利亞業內人士認為，由於大量的成本和時間投入，企業很難取得 CDR 認證。但是，新創公司需要此認證，以便向市場提供引人注目的產品，」Kumar 說道。「我們正在嘗試簡化 CDR 存取，同時仍符合所有合規要求。」

Donazzan 表示：「作為一家新創公司，我們需要快速行動並盡快享受 CDR 合規帶來的優勢。」「與 AWS 合作夥伴合作可讓我們提前完成 ADR 申請，這意味著我們可以專注於發展核心業務，而不是處理取得 CDR 認證的程序。」 除了認證之外，Payble 還受益於其業務擁有的強大安全和合規基礎。

由於 AWS 合作夥伴可提供綜合控制項評估、技術、文件和安全服務，Payble 可減少招募內部專業稽核人員的需求。Donazzan 表示：「我們僅可安排一名員工來處理合規問題，而 AWS 合作夥伴解決方案協助我們避免招募更多人員來處理認證程序。」

該解決方案還簡化了 Payble 和合規稽核人員之間的互動。Kumar 表示：「CDR 合規非常重要，但新創公司並不一定有資源聘請全職安全合規人員或工資高昂的工程師。」「透過使用我們解決方案的自動化功能，Payble 無需從頭開始嘗試了解 CDR 規則和建立安全政策。相反，他們可以在整個過程中快速有效地採取行動。」

AWS 提供的「盒中的 CDR」可讓 Payable 簡化整個程序，避免招募工資高昂的專業人員，並避免耗費時間建置技術和準備文件。Donazzan 表示：「我們過去考慮採用一種合規解決方案，其成本比 AWS 合作夥伴提供的選項高出兩倍。」總體而言，Payble 在基礎設施、文件和稽核成本方面的花費少於 90,000 美元。Kumar 說道：「在金融服務產業中，完整合規解決方案的成本可能會比此高出許多倍。」

截至 2021 年 11 月，Payble 已作為無限制資料收件方取得認證。幾週後，該公司透過 Adatree 的平台取得作用中狀態。這使得 Payble 成為澳大利亞第一家透過中介實現此目標的公司。Kumar 總結說道：「稽核工作可能很複雜且痛苦，但我們以團隊方式共同努力簡化該程序。我們與 Payble 的合作關係將長久持續。」

 若想進一步了解相關資訊，請瀏覽 aws.amazon.com/compliance。