FINGO i bezpieczna oraz zgodna z regulacjami chmura dla rozwiązań SaaS
Data realizacji: 2024
Branża: finanse
Google Cloud
FINGO zdecydowało się napisać przeglądarkową wersję swojej aplikacji on-premise do sprawozdawczości obligatoryjnej i osadzić ją w środowisku Google Cloud. Aby zapewnić nowemu rozwiązaniu odpowiedni poziom bezpieczeństwa oraz zgodność z regulacjami, firma zwróciła się o wsparcie do OChK. Eksperci OChK przeprowadzili audyt wdrożonej infrastruktury, pomagając w zaprojektowaniu architektury bezpieczeństwa, a także opracowali pakiet dokumentacji, tzw. compliance pack, który zawiera kompleksowe informacje dotyczące sposobu zabezpieczenia informacji w chmurze. Przeprowadzone działania pozwoliły FINGO m.in. zaplanować dalszy rozwój środowiska, w zgodzie z najlepszymi praktykami security/compliance, a także przyspieszyć rozpoczęcie sprzedaży rozwiązań w modelu SaaS.
O FINGO
FINGO dostarcza kompleksowe systemy do sprawozdawczości regulacyjnej (FINGO Systems), które obecnie są wykorzystywane przez ponad 500 banków i instytucji finansowych, w tym dwa banki centralne w Europie. Wspiera również firmy i startupy z sektora finansowego i regulacyjnego w transformacji cyfrowej, oferując zaawansowane usługi programistyczne. Zwraca szczególną uwagę na jakość i bezpieczeństwo tworzonych rozwiązań, co potwierdza certyfikat ISO 27001:2022.
Wyzwania
Szybki rozwój aplikacji do sprawozdawczości obligatoryjnej aSISt, konieczność dostosowania jej do aktualnych potrzeb klientów, a także nowe możliwości technologiczne sprawiły, że FINGO zdecydowało się na jej modernizację. Celem było osadzenie aplikacji w infrastrukturze chmurowej Google Cloud i zmiana sposobu oferowania produktu na model SaaS.
Kluczowym wyzwaniem, które pojawiło się na drodze do powstania nowej usługi, czyli eON SaaS, było zapewnienie odpowiedniego poziomu bezpieczeństwa docelowego środowiska. Dodatkowo, aby wyjść naprzeciw oczekiwaniom swoich klientów, FINGO już w początkowej fazie projektu chciało zapewnić swojej usłudze zgodność regulacyjną, uwzględniając w szczególności procesy i wymagania określone w tzw. komunikacie chmurowym UKNF.
FINGO zdecydowało się na technologiczny skok, zmieniając tradycyjną aplikację desktopową w nowoczesną usługę, dostępną z poziomu przeglądarki internetowej. Uzupełnienie posiadanej już wiedzy technicznej o know-how z obszaru security/compliance było niezbędne nie tylko do sprawnego przeprowadzenia całego procesu migracji danych do eON SaaS, ale także do działania w zgodzie ze zmieniającymi się regulacjami. Firma szukała więc odpowiedniego partnera, którego doświadczenie pozwoliłoby na wsparcie zarówno pod względem formalno-prawnym, jak i technologicznym. Wybór padł na OChK.
Rozwiązania i realizacja
W odpowiedzi na wyzwania, zespoły FINGO i OChK zaplanowały następujące działania:
1. Przeprowadzenie audytu Cloud Security Assessment. OChK, we współpracy z FINGO, przeprowadził przegląd i analizę wdrożonej infrastruktury na Google Cloud, a następnie pomógł w zaprojektowaniu architektury bezpieczeństwa. Cały proces został podzielony na trzy etapy:
zebranie informacji niezbędnych do uzyskania pełnego obrazu środowiska klienta oraz konfiguracji usług chmurowych,
sprawowanie nadzoru nad natychmiastowym wdrożeniem części zaleceń podczas warsztatów,
zebranie pozostałych zaleceń i obserwacji dotyczących obecnego poziomu cyberbezpieczeństwa, opisanie zagrożeń i przedstawienie planu ich mitygacji.
Zagadnienia uwzględnione w audycie obejmowały m.in. zarządzanie tożsamością chmurową, metody uwierzytelnienia, zastosowane procesy CI/CD oraz konfigurację sieciową GKE, Shared VPC i wdrożonych reguł w systemie SIEM.
Głównym celem audytu było wykazanie potencjalnych słabości oraz miejsc, w których istnieje możliwość wprowadzenia relatywnie łatwych zmian w celu mitygacji lub eliminacji zidentyfikowanych ryzyk. Wykonane działania stanowiły również pomoc w opracowaniu założeń do Analizy Ryzyka Przetwarzania Informacji w Publicznej Chmurze Obliczeniowej.
2. Stworzenie dokumentacji Compliance Pack. OChK pomógł FINGO w opracowaniu pakietu dokumentacji, który zawiera kompleksowe informacje dotyczące sposobu zabezpieczenia informacji w chmurze obliczeniowej – zarówno w kontekście technologicznym, jak i procesowym. Obejmuje ona m.in.:
klasyfikację i ocenę informacji pod kątem dopuszczalności przetwarzania ich w chmurze,
szacowanie ryzyka, z uwzględnieniem zagrożeń wskazanych w tzw. komunikacie chmurowym UKNF,
plan ciągłości działania (plan awaryjny i exit plan),
scenariusz testowy wdrożenia usług chmurowych,
sposób zarządzania kluczami szyfrującymi,
opisy wymaganych kompetencji,
plan przetwarzania danych w chmurze obliczeniowej.
Ostatnim elementem usługi Compliance Pack było przeprowadzenie warsztatów z jednym z pierwszych klientów FINGO, który zdecydował się skorzystać z nowej usługi.
Wykorzystane technologie
Google Kubernetes Engine
Shared VPC
Rezultaty
Przeprowadzenie sesji warsztatów technicznych z zespołem FINGO zaowocowało dostarczeniem rekomendacji w zakresie planu migracji i dalszego rozwoju środowiska, zgodnych z praktykami Google Cloud, Center of Internet Security (CIS) oraz UKNF. Firma zdobyła także wiedzę niezbędną do tego, by samodzielnie przeprowadzić proces wdrożenia usługi oraz łagodzić skutki niektórych zagrożeń bezpośrednio po ich wykryciu.
Dostarczone przez OChK know-how pozwoliło FINGO rozwinąć umiejętności w obszarze infrastruktury chmurowej Google Cloud oraz przetestować odporność zabezpieczeń chmurowych produktów FINGO Systems.
Stworzenie dokumentacji uwzględniającej wymagania nadzorców rynku finansowego pozwoliło klientom FINGO uzyskać pełną wiedzę na temat bezpieczeństwa rozwiązania, zweryfikować dostawców aplikacji, w sprawny sposób wdrożyć i udokumentować niezbędne procesy, a następnie notyfikować zamiar przetwarzania informacji w chmurze obliczeniowej do UKNF.
Takie rozwiązanie i jego pozytywny odbiór wśród klientów przyspieszyły także rozpoczęcie przez FINGO sprzedaży rozwiązań w modelu SaaS na szerszą skalę – firma może wspierać cykliczne raportowanie ponad 500 obsługiwanych klientów w Polsce i za granicą.
Podjęcie współpracy z OChK było dla nas ważnym krokiem w kierunku realizacji zmiany strategii w zakresie oferowanych produktów i usług dla wymagających klientów rynku finansowego. Myślę, że nie będzie przesadą, jeśli powiem, że dziś rozwiązania do sprawozdawczości obligatoryjnej FINGO Systems są najlepszymi rozwiązaniami chmurowymi oferowanymi w tej części Europy. Natomiast nie byłoby to możliwe właśnie bez początkowego wsparcia profesjonalistów z OChK.
Bartłomiej Knapik
Release & Platform Manager, FINGO
Jakie są Twoje wyzwania?
Wspólnie znajdziemy rozwiązanie!