Финансовая отрасль остается одной из крупнейших и наиболее жёстко контролируемых и регулируемых отраслей в мире. В одних только Соединённых Штатах FINRA - некоммерческая организация, уполномоченная Конгрессом США защищать американских инвесторов – следит за деятельностью 633 тысяч брокеров, представляющих более 3800 брокерско-дилерских фирм. В 2016 году FINRA передала 785 дел в Федеральную комиссию по ценным бумагам и биржам (Securities and Exchange Commission, SEC) и другие ведомства для судебного преследования, и взыскала более 200 миллионов долларов штрафов и возмещения ущерба. Поэтому несложно понять, почему управление данными, и в особенности хранение электронных документов, оставалось в числе приоритетных вопросов для всех и каждого, начиная от центров обработки данных, исполнения нормативных требований и деятельности юридических отделов, и вплоть до уровня совета директоров.
Чтобы соответствовать требованиям правила SEC 17a-4, финансовой отрасли в течение длительного времени приходилось закупать устанавливаемые на собственных площадках непомерно дорогие и требующие больших усилий для управления ими программное обеспечение и аппаратные средства хранения. Затем появились дорогостоящие облачные архивы, где Вы оказывались заложниками платформы, и где Вам приходилось платить умопомрачительно высокие штрафы, если у Вас хватало нахальства попробовать уйти от поставщика.
Для справки: Федеральная комиссия США по ценным бумагам и биржам, в соответствии полномочиями, предоставленными ей Законом США о ценных бумагах от 1934 года (US Securities Exchange Act of 1934), устанавливает требования для брокеров-дилеров и иных лиц, касающиеся хранения документов в электронной форме. В соответствии с правилами 17a-3 и 17a-4, электронные документы должны храниться исключительно в неперезаписываемом и нестираемом формате (WORM). Правилами 17a-3 и 17a-4 далее предусматривается, что оказывающие финансовые услуги организации должны использовать систему хранения, которая предотвращает изменение или стирание документов на протяжении срока их хранения, также указанного в этих правилах. (Подробности можно найти здесь: https://www.sec.gov/rules/interp/34-47806.htm )Итак, что я имею в виду под облачных решениях, которые делают Вас своим заложником? Многие оказывающие финансовые услуги компании, которые хранят свой контент в проприетарных облачных архивах с целью исполнить требования SEC, просто ошарашены односторонним отношением их облачного поставщика – переместить огромные объёмы данных в облачные архивы стоит дёшево или вообще ничего не стоит, однако совсем другой разговор начинается, если они хотят снова получить эти материалы. Нужно ли Вам экспортировать большой набор данных, реагируя на запрос в рамках э-раскрытия; или, избави боже, если у Вас накопилось недовольство поставщиком облачных услуг и Вы захотели переместить данные в иное место (даже обратно к себе), - затраты на извлечение данных во многих случаях достигают абсурдных уровней, порядка, например 50 долларов за гигабайт. В зависимости от объёма Ваших данных, это удовольствие может обойтись Вам в сотни тысяч, если не в миллионы долларов.
Так как же этим облачным бандитам сходят с рук подобные завышенные расценки? Одна из отговорок, которую мы часто слышим, заключается в том, что «Мы должны преобразовать данные обратно в исходный формат, чтобы ими можно было пользоваться ...». Это вызывает пару вопросов: зачем вообще данные были преобразованы в иной формат, и действительно ли их обратная конверсия стоит в 30-50 раз дороже? На деле это просто тактика, нацеленная на то, чтобы помешать Вам уйти от поставщика.
Далее, есть такие поставщики облачных услуг, которые в письменной форме заверяют, насколько недорогим будет перемещение Ваших данных в их среду хранения или из неё. Разумеется, при этом мелким шрифтом разъясняется, что поставщик вправе ограничить объем данных, которые Вы можете извлечь из его облака, каким-нибудь невероятно маленьким объёмом, типа 100 Гб в неделю. Представьте, сколько времени потребуется, чтобы переместить ваши 10 петабайт архивных данных в другое решение и сколько денег Вы будете продолжать платить поставщику облачных услуг за этот период времени?
Вернемся к требованиям ... Требования SEC по использованию носителей информации однократной записи и многократного чтения (Write Once Read Many, WORM) первоначально были введены для оказывающих финансовые услуги организаций потому, что все хранилища документов, сохраняемых согласно нормативным требованиям, по необходимости располагались на собственных площадках организаций (облачного хранения тогда ещё не существовало). Главное требование SEC предусматривало немедленный захват обмена информацией между брокерами и дилерами, а впоследствии обеспечение того, чтобы эти сообщения (электронные письма / вложения) не могли быть изменены или удалены. Связано это было с тем, что SEC хотела обеспечить доступность для анализа переписки между брокерами-дилерами в неизменном состоянии на тот случай, если впоследствии будут поданы жалобы против организации – поставщика финансовых услуг или отдельного брокера-дилера. И снова, поскольку всё хранение осуществлялось локально, SEC нужно было обеспечить, чтобы документы были оригинальными и неизменными.
Однако, хотя WORM-совместимое хранение и позволило финансовым организациям выполнить требования правила SEC 17a-4, у него выявились кажущиеся неизбежными недостатки:
- Технология, - как оборудование, так и программное обеспечение, - остается дорогостоящей и сложной для управления;
- Расходы на обеспечение безопасности этих высококонфиденциальных данных продолжают экспоненциально расти.
Одно замечательное предложение, которое очень продвигалось, как я читал и слышал, и на конференциях, и в беседах один-на-один с профессионалами, заключается в том, что любой поставщик технологических решений в данной области поступил бы мудро, если бы привлёк уважаемую стороннюю юридическую фирму для проведения анализа его решения, а затем для подготовки юридически защитимого мнения о том, что решение действительно соответствует установленным стандартам.
Хорошей новостью является то, что некоторые разработчики и поставщики услуг уже сделали это, а другие также продвигаются в том же направлении. Однако до тех пор, пока такой подход не будет применяться повсеместно, Вы, как лицо, принимающее связанное с закупками технологий решения либо влияющее на них, должны добавить этот вопрос в свой контрольный список. Ниже приведен готовый контрольный список, включающий вопросы, которые помогут Вам обеспечить выбор наиболее эффективного и экономичного решения для удовлетворения требований SEC:
- Наличие юридического заключения от уважаемой сторонней юридической фирмы, подтверждающего способность решения удовлетворить требования правил SEC;
- Расценки на ввод данных в среду облачного хранения, на хранение на вывод данных из среды хранения поставщика облачных услуг.
- Гарантии производительности, касающиеся объёмов и скорости, с которой Вы сможете перемещать данные в среду поставщика облачных услуг и из неё;
- Гарантии в соглашения об уровне обслуживания (Service level agreement, SLA) по вопросам безопасности, доступности, масштабируемости и производительности.
- Перечень всех типов данных, которые могут быть приняты на хранение (т.е. может ли поставщик напрямую или через партнера предоставить Вам возможность находить, подбирать, сортировать, мигрировать и управлять данными / файлами иных типов помимо электронной почты);
- Поддержка исходного формата (т.е. поставщик должен захватывать / управлять всей информацией и метаданными в её первоначальном формате, поэтому конверсии никогда не требуются);
Билл Толсон (Bill Tolson)
Источник: сайт Bob’sGuide
http://www.bobsguide.com/guide/news/2017/Aug/14/worm-compliant-storage-in-the-cloud-putting-the-finance-industry-on-cloud-9/
Интересно. Принял к сведению.
ОтветитьУдалитьНаташа - спасибо!