A víziótól a valóságig: A BinX az AWS-el és a TC2-vel együttműködve biztonságos, skálázható Neobankot hozott létre 

A BinX egy hazai magántőkéből megvalósuló, magyar tulajdonú, 2024. júniusában indult neobank. Teljes mértékben digitális platformon működik, nincsenek fizikai bankfiókok, minden szolgáltatást online vagy mobilalkalmazásokon keresztül nyújt, hasonlóan a Revolut-hoz vagy a Wise-hoz. 

Egyedi modelljének köszönhetően azonban az ügyfelek számláit a BinX maga kezeli a Magyar Nemzeti Banknál vezetett bankszámlája bevonásával, biztosítva az ügyfelektől kapott pénzek védelmét. Célközönsége a hazai kis- és középvállalati kör, szoros a kapcsolata az egyik legnagyobb hazai online számlázó szolgáltatással, a szamlazz.hu-val, amelynek az ügyfelei a BinX-en belül plusz szolgáltatásokat érhetnek el. 

“Már a BinX alapításakor kiemelten fontos volt számunkra, hogy egy stabil, megbízható és könnyen skálázható rendszert hozzunk létre, amely hosszú távon is képes lesz kiszolgálni a gyorsan növekvő ökoszisztémát, amelynek egyik építőköve maga a BinX. 

A skálázhatóság és rendelkezésre állás mellett a pénzügyi szektorra jellemző legfontosabb kihívás a biztonság és a megfelelőség. Ezért volt számunkra fontos olyan szolgáltató partnerrel együttműködni, aki mindenben megfelel a különböző iparági szabványoknak és előírásoknak, beleértve az Európai Bankhatóság (EBA) iránymutatásait is. 

Egy startup életében a skálázhatóság nemcsak azért fontos, hogy kiszolgálhassa a gyorsan növekvő, vagy akár „felrobbanó” üzleti használati igényeket, hanem hogy az ezekhez társuló induló költség is a használaton alapuljon.  

Az AWS széleskörű menedzselt szolgáltatás-portfólióval rendelkezik, beleértve a mesterséges intelligenciát, az adatbázis-kezelést, a biztonsági szolgáltatásokat, automatizáló rendszereket, amelyek nagyban támogatják a gyors piacra lépést és annak fenntartható, költségoptimalizált menedzselését is. 

Nem gyakran fordul elő, hogy egy induló vállalat zöldmezős beruházásként teremthet meg egy potenciálisan nagy impact-tel rendelkező pénzügyi rendszert, melynek a sikere szinte garantált.  

Ha mégis történik ilyen, az komoly kihívás és egyben hatalmas lehetőség is, ennek minden előnyével és hátrányával. 

Ezen szempontok figyelembevétele mellett született meg az elhatározás, hogy a BinX számára az egyetlen lehetséges és egyben tökéletes választás az AWS felhőszolgáltatása. 

A 2020-as év nemcsak a BinX alapítása miatt vált emlékezetessé, hanem a Covid első járványhullámának kitörése miatt is. Ebben a helyzetben a felhőszolgáltatásokhoz értő architect-ek iránt felrobbant a külföldi kereslet, és szinte lehetetlenné vált saját, megfizethető, professzionális team gyors felépítése. Így adta magát, hogy megkeressük az AWS-es kapcsolattartónkat, aki figyelmünkbe ajánlotta lokális kiemelt partnerüket a TC2-t.  

 Az együttműködés az első telefonos kapcsolatfelvételtől kezdve tökéletes volt. Sikerült egy olyan dinamikusan növekvő, komoly tapasztalattal rendelkező csapatra lelni, aki az első pillanattól kezdve érteni akarta a kihívásainkat és igényeinket. Ezeket figyelembe véve képes olyan megoldást szállítani, amely a szigorú iparági követelményeknek nemcsak megfelel, hanem túl is mutat rajtuk. A TC2 erőssége részben a kooperatív gondolkodás, amellyel a problémák mélységét sikerül feltárniuk, részben pedig az a professzionális projektvezetés, valamint tervezési gyakorlat, amelyekkel a megoldásokhoz vezető út első lépéseitől, így a High Level Designés Low Level Design-től az éles rendszerig bezárólag szállít.” tette hozzá Hadnagy Tamás, a BinX Zrt operációs igazgatója. 

Projekt előkészítés 

A Magyar Nemzeti Bank szigorú elvárásai komoly követelményeket támasztanak informatikai területen is a hazai pénzintézetek számára. A BinX 2021-ben, a projekt indulásakor ezeket figyelembe véve, fontos elvárásokat fogalmazott meg területekre bontva a felépítendő informatikai architektúrával kapcsolatban. Ezek közül néhány kiemelve: 

Biztonság 

• Adatvédelem: Biztosítani kell, hogy a neobank ügyfeleinek személyes és pénzügyi adatai védettek legyenek. Titkosításra van szükség mind az adattárolás, mind az adatátvitel során. 

• Hozzáférés-szabályozás: Erős hozzáférés-szabályozási folyamatokra és technikai eszközökre van szükség, amelyek biztosítják, hogy csak a jogosult személyek férjenek hozzá kritikus rendszerekhez és információkhoz. 

• Fenyegetettségek: Védelmet kell nyújtani a külső és belső fenyegetések ellen, megfelelően használva és beállítva a tűzfalakat, behatolásjelző rendszereket (IDS/IPS), és a rendszeres biztonsági auditokat is tudni kell támogatni. 

Megbízhatóság 

Kockázatkezelés: Be kell építeni a különböző kockázatkezelési stratégiákat a rendszer kiválasztásába és tervezésébe annak érdekében, hogy minimalizáljuk a banki szolgáltatások kiesésének lehetőségét. 

• Üzemidő: Erre építve magas rendelkezésre állási SLA-kat (Service Level Agreement) lehet definiálni és nyújtani, hogy a banki szolgáltatások szinte mindig elérhetők legyenek az ügyfelek számára. 

• Redundancia: Használni kell redundáns rendszereket, komponenseket, szolgáltatásokat, és adatközpontokat is. Biztonsági mentési megoldásokra is szükség van az üzemzavarok megelőzése és gyors helyreállítása érdekében. 

Teljesítmény 

 Skálázhatóság: A tervezett Microservice alapú architektúrának rugalmasan bővíthetőnek kell lennie a növekvő ügyfélbázis és tranzakció növekedés kezelése érdekében. 

• Teljesítmény-optimalizálás: Biztosítani kell, hogy a komplett architektúra teljesítménye optimális legyen, azaz a skálázhatóság igény függvényében, automatikusan tudjon változni, hogy az ügyfelek gyors és hatékony szolgáltatást kapjanak. 

 A fent felsorolt és minden egyéb követelményt figyelembe véve a BinX számára nem volt kétséges, hogy valamelyik publikus cloud szolgáltatót kell kiválasztaniuk. Végül a AWS-t választották széles körű globális elérhetősége, robusztus biztonsági megoldásai és innovatív szolgáltatásai – beleértve a nagyon fontos analitikai, prediktív lehetőségei – miatt.  

A BinX a közös munkához Magyarország vezető, legtöbb kompetenciával rendelkező, a hazai piacon mai napig egyedüliként Migration Competency Partner minősítéssel rendelkező AWS partnert, a TC2-t választotta.  

Projekt és architektúra 

A BinX és a TC2 a közös munkát több szakaszban végezte el. Ennek része volt mind az üzleti igények felmérése, mind a technikai követelmények összegyűjtése. A tervezett architektúra megvalósítása több iterációban zajlott, egyrészt a cloud adta lehetőségeket kihasználva kisebb Proof of Concept miniprojektek alapján került kiválasztásra a leghatékonyabb megoldás az adott feladatra, másrészt a projekt alatt az AWS-ben megjelenő szolgáltatás fejlesztések is beépítésre kerültek.  

 A munka során folyamatos volt a biztonsági és compliance követelményeknek való megfelelőség szem előtt tartása, ugyanakkor a könnyű üzemeltethetőség elősegítése. A tervezés és kialakítás az AWS Well-Architected Framework ajánlásában leírtakhoz igazodva történt.  

A projekt a legelső pillanattól kezdve az automatizálásra, költséghatékonyságra és megbízhatóságra törekedett, így a legelső építőkockák is Infrastructure-as-Code (IaC) alapon kerültek kialakításra, ami szépen lassan egy robosztus GitOps alapú működéssé forrta ki magát. 

A kialakított architektúra legelső, egyben legnagyobb eleme egy Landing Zone. A Landing Zone magában foglalja az AWS ajánlásai alapján kialakított több, különböző célra létrehozott account-ot és az erre épülő organizációt, az alaposan megtervezett, többszintű védelemmel ellátott, elosztott hálózati architektúrát és security szolgáltatásokat. A hálózat alapos tervezése és kialakítása különösen fontos volt, hiszen a BinX különböző VPN megoldások segítségével állandó kapcsolatban kell, hogy legyen a Giro, Viber és Swift rendszerekkel. A hálózatnak nem csak AWS, hanem más szolgáltatótól származó elemei is vannak, ezek integrációja zökkenőmentesen megoldott az Amazon Gateway Load Balancer szolgáltatással.  

Az architektúra fontos elemei még a Microservice alapú core banking megoldást futtató, és e köré épülő szolgáltatások. Ilyen az Elastic Kubernetes Service (EKS), amely a terhelés függvényében mind az egyes Microservice-ek pod-jait, mind pedig a cluster node-jait képes skálázni. Az adatok tárolását az Amazon saját engine-jével működő Aurora, a magas rendelkezésre állású és teljesítményű relációs adatbázisszolgáltatás végzi.  

A Microservice-ek közötti aszinkron kommunikációra az AWS Managed Streaming for Apache Kafka (MKS) szolgáltatás került kiválasztásra, ezzel is növelve az alkalmazások rugalmasságát, skálázhatóságát és megbízhatóságát. Folyamatvezérlésre, ütemezésre pedig a megbízhatóságot szem előtt tartva az AWS Managed Apache Airflow van használatban. 

Az AWS biztonsági szolgáltatásai közül mind a Compliance-t elősegítő mind pedig az aktív védelmet jelentő elemek bevezetésre kerültek, mint az AWS Config, a SecurityHub, a GuardDuty, és más szolgáltatótól származó elemek. Ezek mellett kiépítésre került egy robosztus, log-ok kezelését is végző monitoring rendszer, az AWS alapmegoldását jelentő CloudWatch-on túl a manage-elt Prometheus, Grafana és OpenSearch szolgáltatások igénybevételével. 

Számtalan elemet fel lehetne még sorolni, az Elasticache-től kezdve a Lambda-n át az AWS saját, Backup szolgáltatásáig. A végeredményt tekintve az elmúlt években a BinX és a TC2 csapata közösen létrehozott egy olyan, az AWS adta rugalmasságra és biztonságra épülő architektúrát, amely biztosítja az üzleti szolgáltatások moduláris, könnyen skálázható és megbízható működését, az ügyfelek – és így a BinX – legnagyobb elégedettségére.  

Hogyan tovább? 

Az élet nem áll meg. 

A TC2 továbbra is a BinX mellett állva segít, egyrészt az üzemeltetés-támogatási feladatok ellátásában, a folyamatos optimalizálásban, a proaktív támogatásban, másrészt új területek megnyitásával, új szolgáltatások bevezetésében. 

“A partnerségi viszonyunk mindig is a korrektségre, nyíltságra és az őszinteségre épült, amelyet a közel 4 éves együttműködésünk során sikerült folyamatosan fenntartanunk. 

A kialakított rendszer üzemeltetését az elmúlt években lépésről lépésre jelentős mértékben internalizáltuk, de a TC2 továbbra is támogat minket L2, L3-ban, valamint az új rendszerek tervezésekor, és a régiek újratervezésekor továbbra is aktív szerepet vállal.  

Az AWS-es alapoknak, valamint az alapos tervezésnek köszönhetően sikerült egy olyan rendszert összeraknunk a TC2-vel, melynek hibatűrése kiemelkedően magas, nagyon kevés manuális beavatkozást igényel, és maximálisan megfelel a kor előírásainak.” – foglalta össze Hadnagy Tamás a közös projekt sikerét.