Definindo uma estratégia de múltiplas contas na AWS para bancos digitais
O mercado bancário global vem passando por transformações significativas nos anos recentes. Clientes desejam, cada vez mais, uma experiência conectada, totalmente digital e personalizada, diferente da maioria dos serviços bancários existentes atualmente.
Enquanto a constante evolução das expectativas de clientes e os avanços tecnológicos são os principais impulsionadores do crescimento de bancos digitais, o apoio regulatório fornece um ambiente que propicia esta jornada.
Isso pode ser observado através de uma série de regulações publicadas nos últimos anos, como Sistema de Pagamento Instantâneo (SPI/PIX), através da introdução do Open Banking e outras iniciativas como Open Insurance, culminando em um agrupamento genérico de Open Finance, assim como o Sandbox Regulatório e também a LGPD (Lei Geral de Proteção de Dados Pessoais).
O mercado de bancos digitais continua a atrair um grupo diverso de participantes da indústria, desde bancos incumbentes construindo uma nova experiência digital, como por exemplo Banco Itaú, BTG Pactual Digital e Banco Inter, até bancos emergentes que desafiam este modelo tradicional, como Nubank, Banco Midway e C6Bank. Segundo levantamento feito pela empresa Cantarino Brasileiro, existiam 40 bancos digitais no Brasil em 2021.
Neste artigo, focaremos em bancos digitais que estão buscando construir sua fundação desde o início de forma segura, resiliente, de acordo com conformidades do mercado e, ao mesmo tempo, de maneira ágil e escalável.
Entretanto, vale ressaltar que muitos dos conceitos discutidos neste blog post também são aplicáveis a outros tipos de bancos digitais, como extensões digitais de bancos que possuem presença física.
Por que criar uma estratégia de múltiplas contas na AWS?
Muitas instituições de serviços financeiros possuem o desafio de ter times com processos de negócio diferentes que necessitam isolar suas cargas de trabalho e têm diferentes requerimentos para os controles de segurança e rede. Com uma conta AWS, empresas podem atingir o mais alto nível de isolamento de suas cargas de trabalho. O uso de múltiplas contas AWS se torna fundamental para atingir os requerimentos de negócio, governança, segurança e operação.
Alguns dos benefícios de criar uma estratégia de múltiplas contas na AWS são:
Inovação rápida seguindo diversos requerimentos
Você pode alocar contas AWS para diferentes times, projetos e produtos dentro da sua empresa, garantindo que cada um deles possa inovar rapidamente ao mesmo tempo que seguem seus requerimentos de segurança, sem impactar outros. Clientes AWS podem criar novas contas segregadas de seus ambientes produtivos, desenvolver novos produtos, testá-los seguindo as regulamentações e, caso aprovados, integrar este ambiente a seus sistemas produtivos.
Faturamento simplificado
Usando múltiplas contas AWS, você simplifica como aloca os custos relacionados à nuvem, ajudando a identificar qual produto ou serviço é responsável pelos gastos na AWS. Com isso, novas iniciativas ou produtos existentes que estão migrando para a nuvem, podem ter um resumo de conta segregado para que seja possível isolar os custos, possibilitando estratégias de showback ou de chargeback dentro da empresa.
Controles de segurança flexíveis
Você pode usar múltiplas contas AWS para isolar as cargas de trabalho ou aplicações que tenham requisitos de segurança específicos ou precisam estar em conformidade com certificações já determinadas.
O uso de múltiplas contas pode, inclusive, ajudar na conformidade com a LGPD. Através de data lakes com dados anonimizados em contas isoladas, os usuários da empresa podem utilizá-los forma independente e com a governança adequada, evitando exposição desnecessária ao risco de vazamentos.
Adaptação fácil aos processos de negócio
Você pode organizar as múltiplas contas AWS de forma que melhor reflita as diferentes necessidades dos processos de sua empresa, que possivelmente terão diferentes requerimentos regulatórios, orçamentários e operacionais.
Como, por exemplo:
- Ter uma conta que atenda às aplicações que fazem conexão com o Sistema de Pagamentos Brasileiro (SPB) e o Sistema de Pagamentos Instantâneos (SPI), que precisam seguir a LGPD, assinar digitalmente mensagens, entre outras normas
- E uma outra conta para sistemas que envolvam pagamentos com cartão de crédito que precisam seguir conformidades como PCI-DSS.
Dessa forma, você consegue reduzir o impacto deste esforço, agilizando a adequação do seu ambiente e permitindo um custo operacional reduzido.
Configurando um ambiente de múltiplas contas para um banco digital
Uma Unidade Organizacional (UO) é um container de contas em uma conta raiz (root). Uma UO também pode conter outras UOs, permitindo que você crie uma estrutura hierárquica.
Vamos considerar agora quais são UOs que recomendamos para você criar para um banco digital.
Uma UO deve ser baseada em uma função e propósito de controle comum, ao invés de se espelhar nas estruturas da sua empresa. A AWS recomenda que você inicie com as UOs Segurança e Infraestrutura.
A maioria das empresas tem equipes centralizadas que fornecem serviços para toda a organização. Para isso, a AWS recomenda a criação de um conjunto de UOs fundamentais para essas funções específicas. O diagrama a seguir mostra a estrutura de UO recomendada para um banco digital.
Nós adicionamos aqui, como sugestão, duas UOs para cargas de trabalhos uma chamada Banking Applications e outra chamada Data & Analytics, juntamente com as UOs Infraestrutura, Segurança, Deployments, Sandbox, Policy Staging e Suspended UOs.
UO Banking Application
Essa UO é útil para rodar aplicações bancárias. Ela terá as contas que hospedam as cargas de trabalhos como core bancários, pagamentos, on-boarding, decisão de crédito e regulações. Essa UO pode futuramente ser dividida em Retail UO (para unidade de negócio de varejo) e UO Corporativa (para Corporate Banking) baseada nos interesses de negócio do banco.
Isso é útil quando você quer isolar uma carga de trabalho de uma unidade de negócio e aplicar diferentes políticas. Nós iremos cobrir sobre estrutura de contas com mais detalhes na próxima seção.
UO Data & Analytics
Muitos clientes separam uma UO para analytics. Uma UO com esse propósito provê segurança, governança e controle de custo em funções analíticas. Ela terá contas com cargas de trabalhos para análise de dados e machine learning. Esta estrutura de contas também será explicada mais adiante.
Estrutura de contas na AWS para bancos digitais
Após ter estabelecidos uma estrutura de UO, vamos olhar sobre contas AWS que farão parte de cada UO.
O diagrama a seguir mostra as contas AWS recomendadas fundamentais requeridas para configurar em um banco digital. No entanto, isso pode variar com base nas ofertas de produtos fornecidas pelo banco digital.
Contas AWS abaixo da UO Banking Applications
Vejamos as camadas funcionais de alto nível de um banco digital que nos ajudam a chegar às contas da AWS exigidas por uma UO de Banking Applications.
Será semelhante ao diagrama a seguir (para simplificar, omitimos serviços horizontais, como rede, segurança, DevOps, outras camadas de infraestrutura e gerenciamento).
A camada de Core Products hospedará todos os produtos principais, como Core banking, e será abstraída usando microsserviços personalizados, que, por sua vez, serão consumidos pelas APIs hospedadas em Experience APIs. A camada Experience tem o propósito de ser uma API para interface do usuário usando canais digitais e aplicações de engajamento com o cliente. As mudanças no ciclo de vida do cliente e do core banking irão emitir eventos para o Event Hub e para os assinantes desses eventos, que por sua vez orquestrarão as ações necessárias.
A seção a seguir cobre cada uma dessas camadas em detalhes e inclui recomendações de como você pode executar essas camadas em múltiplas contas. A seguir estão as contas recomendadas abaixo da UO de Banking Applications e a segregação de contas baseada na propriedade e nos diferentes requisitos de segurança de cada carga de trabalho.
Conta para Core Products
Um banco digital tem vários produtos principais implantados como Core Banking, Decisão de Crédito, Sistema de Pagamentos, Gerenciamento de Cartão, Sistemas de Risco e Conformidade, Contabilidade, Tesouraria etc.
Alguns bancos digitais desejam construir alguns desses recursos sozinhos e outros escolhem Fornecedores de Software Independentes (ISV). A escolha é motivada pela cultura organizacional, pelo conjunto de habilidades e recursos disponíveis e pela rapidez com que o banco deseja lançar seus produtos e serviços para o mercado. Dependendo do software, o cliente terá a opção de implantar soluções ISV em sua conta da AWS ou usar uma versão SaaS para reduzir os esforços de gerenciamento e operação.
Para aumentar a segurança e o isolamento, recomendamos que você tenha contas AWS separadas para os sistemas principais. O número de contas de que você precisa dependerá da quantidade de produtos principais desenvolvidos. Por exemplo, certos produtos de core bancário disponíveis no mercado vêm com módulos de core banking, pagamentos, gestão de patrimônio e tesouraria, enquanto outros provedores simplesmente fornecem módulos de core banking e pagamentos.
Conta de microsserviços
Essa conta hospedará os microsserviços para criar uma camada de abstração e agregação sobre os produtos principais do banco que serão expostos à uma camada de API (Experience). Ela terá integrações com os produtos principais em vários protocolos e modelos de dados. Terá também microsserviços para recuperar informações da conta, perfil do cliente, configuração de instruções de pagamento, etc.
Os serviços da AWS como Amazon API Gateway, AWS Fargate, Amazon Elastic Kubernetes Service (Amazon EKS) e Amazon Elastic Container Service podem ser usados para a construção de contêineres dos microsserviços com banco de dados como Amazon DynamoDB e Amazon Relational Database Service (Amazon RDS).
Conta para Gerenciamento de API
Os microsserviços principais serão expostos aos consumidores finais usando Experience APIs. Essas APIs são construídas para fins específicos que orquestram várias chamadas de microsserviços com base em requisitos de dispositivos móveis, web e outros canais.
Essa camada também terá os recursos de gerenciamento de API, como limitação de taxa, throttling e proteção de segurança como serviços de firewall de aplicativo web e proteção de negação de serviços distribuída (DDoS).
As APIs podem ser expostas usando o Amazon API Gateway com AWS Web Application Firewall (AWS WAF) para fornecer proteção contra ataques de aplicação, como DDoS, SQL Injection, Cross Site Scripting (XSS) entre outros. O AWS Shield fornece proteção DDoS contra todos os ataques de infraestrutura conhecidos (camadas 3 e 4), protegendo os aplicativos em execução na AWS. O AWS AppSync pode ser usado para construir APIs com GraphQL, que é um padrão comum para implantar APIs de camada de experiência agregando dados de vários microsserviços e centrais de domínio subjacentes.
Conta de aplicativo de canal digital
Um banco digital pode ter vários canais para influenciar a experiência bancária, por exemplo, um aplicativo da web e móvel para seus clientes e parceiros. Esses aplicativos impactam a origem do cliente/parceiro e a jornada de onboarding.
Alguns dos serviços que a AWS oferece neste espaço são AWS Amplify para criar rapidamente aplicativos móveis e da web, Amazon Step Functions para criar fluxos de trabalho, Amazon Simple Storage Service (Amazon S3) e Amazon Elastic Compute Cloud (Amazon EC2) para hospedar qualquer software de terceiros.
Conta de engajamento com o cliente
Na ausência de agências físicas, o engajamento com cliente é a chave para um banco digital. A conta de Engajamento do Cliente terá funcionalidades em torno do fornecimento de suporte de centro de contato omnichannel por voz e chat, produtos de marketing e fidelidade, software de Gerenciamento de Relacionamento com o Cliente (CRM) e software de gerenciamento de campanha.
Alguns dos serviços que a AWS oferece neste espaço são Amazon Connect, Amazon Pinpoint e Amazon Lex.
Conta para Gerenciamento de Eventos
As arquiteturas orientadas a eventos ajudam os bancos digitais a crescer e também oferecem recursos de processamento quase em tempo real.
Quaisquer eventos no sistema de transação central devem ser emitidos e capturados nesta conta para que os assinantes do evento possam orquestrar as ações necessárias, como enviar uma notificação de transação a um cliente ou executar verificações contra lavagem de dinheiro.
Alguns dos serviços que a AWS oferece neste espaço são Amazon Managed Streaming para Apache Kafka (Amazon MSK), Amazon Kinesis e Amazon Simple Notification Service (Amazon SNS).
Conta de Open Banking
Esta conta hospedará as APIs necessárias para atender aos requisitos regulatórios de um país e se integrar às contas de microsserviços para buscar as informações necessárias. Essa conta também hospeda gerenciamento de consentimento, sandbox e portais de desenvolvedor para parceiros que consomem APIs de open banking.
Conta para Depósito de Dados
Um depósito de dados é uma conta segura que manterá dados como backups de dados, snapshots, modelos do AWS CloudFormation e imagens de máquina da Amazon (AMI) em um local seguro dentro da região primária da AWS.
Os dados serão criptografados em repouso usando serviços como AWS Key Management Service (AWS KMS) e em trânsito usando TLS. No caso improvável de qualquer perda de dados na conta principal, essa conta é usada para recuperar os dados e backups do banco. O privilégio mínimo é concedido aos membros da equipe de segurança do banco digital para acessar esta conta.
Todas as contas devem seguir as melhores práticas de segurança da AWS. A mesma estrutura de conta pode ser seguida para ambientes de desenvolvimento e teste abaixo da UO de Banking Application. Você pode ter vários ambientes de teste, como de User Acceptance Testing (UAT) e outro para os testes de integração do sistema.
Contas AWS abaixo da UO de Data & Analytics
Os bancos digitais estão inovando e oferecendo ofertas personalizadas aos clientes, procurando oportunidades de vendas cruzadas e fornecendo melhores serviços ao cliente. Para alcançar tudo isso, os bancos digitais exigem uma plataforma de análise segura, flexível e escalável.
Uma arquitetura de várias contas para UO de dados e análises é um tópico abrangente com uma série de variações e poderia ser um blog dedicado em si. Uma arquitetura de várias contas para um ambiente de dados oferece suporte a uma arquitetura de Lake House, fornecendo dados em escala, o melhor preço-desempenho, acesso contínuo aos dados para resolver os desafios de negócios e governança unificada. Recomendamos três contas para começar, mas que podem ser estendidas à medida que o ambiente aumenta.
Conta de ingestão de dados
É uma conta intermediária que permite a ingestão de dados de uma variedade de fontes na conta de armazenamento Lake House (data-lake-house-storage-account). Essa conta oferece a capacidade de se conectar a fontes de dados internas e externas por meio de uma variedade de protocolos.
Por exemplo: dados de diferentes LOBs, aplicativos ERP, aplicativos de CRM e aplicativos da web e móveis serão entregues à conta de armazenamento da Lake House por meio desta conta.
Ela aproveitará os serviços da AWS, como Amazon Simple Storage Service (Amazon S3), Amazon Kinesis, Amazon Managed Streaming para Apache Kafka, AWS Database Migration Service e AWS DataSync.
Conta de armazenamento de dados do Lake House
Essa conta fornece componentes duráveis, escaláveis e econômicos para armazenar e gerenciar grandes quantidades de dados. Em uma arquitetura Lake House, o data lake, o data warehouse e outros armazenamentos construídos para fins específicos se integram nativamente para fornecer uma camada de armazenamento integrada e econômica que oferece suporte a dados não estruturados, bem como altamente estruturados e modelados.
A camada de armazenamento pode armazenar dados em diferentes estados de prontidão para consumo, incluindo estado bruto (raw), em conformidade com a confiabilidade (trusted-conformed), enriquecido (enriched) e modelado (modelled).
Ela também terá os componentes da camada de processamento para transformar os dados em um estado consumível por meio de validação, limpeza, normalização, transformação e enriquecimento de dados.
Essa conta aproveitará os serviços da AWS como Amazon S3, Amazon Redshift e Amazon OpenSearch para armazenamento; Amazon Elastic Map Reduce(Amazon EMR) e AWS Glue para processamento e catálogo de dados; e AWS Lake Formation para governança.
Conta de consumo de dados
Esta conta fornece componentes escaláveis e de alto desempenho, que usam interfaces unificadas para acessar todos os dados armazenados na conta de armazenamento e todos os metadados armazenados no catálogo da Lake House. Ela será acessada pelas equipes de cientistas e analistas de dados.
Pode haver várias contas de consumidor com base nos controles de uso e segurança, como também uma para aprendizado de máquina e outro para análises padrão.
Esta conta aproveitará os serviços da AWS, como Amazon Sagemaker Studio, AWS Glue DataBrew, Amazon QuickSight e Amazon Athena.
A mesma estrutura de conta pode ser seguida para ambientes de desenvolvimento e teste para esta UO.
Como a AWS e a DNX Brasil podem ajudá-lo a implantar esta estratégia?
Criar e gerenciar uma estratégia de múltiplas contas requer segurança, governança, e controles de custos além da automação adequada que possa orquestrar esse ambiente.
AWS Control Tower fornece a maneira mais fácil para configurar e governar um ambiente seguro, de múltiplas contas, que chamamos de landing zone. O AWS Control Tower cria a sua landing zone usando o AWS Organizations. Isso traz a gerência e governança contínua assim como implementa as melhores práticas da AWS, com milhares de clientes que migraram para a nuvem.
Ao implementar o AWS Control Tower você pode estender a governança para contas novas ou existentes, e ganhar visibilidade da conformidade de seus recursos rapidamente.
A DNX Brasil é parceira reconhecida e premiada da Amazon Web Services. Nossos especialistas são certificados para implementar os produtos e/ou serviços mais adequadas para as necessidades da sua instituição financeira.
Entre em contato com a DNX Brasil e aproveite o poder da inovação da inteligência artificial com a AWS!
Este artigo foi adaptado e reproduzido a partir do Blog da AWS.