Первый исламский финтех запустился на Yandex Cloud в Казахстане

Финтех-приложение для мусульман Tayyab запустилось в Казахстане с помощью технологий Yandex Cloud. Провайдер помог развернуть инфраструктуру приложения и построить облачную среду разработки. Соответствие Yandex Cloud стандарту PCI DSS позволило Tayyab пройти сертификационный QSA-аудит.

Облачная инфраструктура позволила поддерживать международную команду из 30 человек, которая включает и команду в Казахстане, и команды в других странах. Всё это позволило стартапу быстро запустить бизнес и начать обслуживать первых клиентов.

Tayyab — в переводе с арабского «чистый, хороший, правильный» — это финансовый сервис, предоставляющий банковские услуги для физических лиц в соответствии с нормами шариата. По этому исламскому своду правил, мусульманам запрещено размещать деньги на депозитах или брать кредиты. Из‑за соблюдения норм шариата многие представители традиционного мусульманского общества не пользуются банковскими картами и финансовыми приложениями, хотя и имеют запрос на денежные переводы и оплату услуг картами в маркетплейсах и обычных магазинах. Решением должно было стать современное финтех‑приложение с возможностью завести виртуальную карту и пользоваться другими популярными услугами, не нарушая шариата. Помимо финансовой функциональности Tayyab добавил важные для мусульман возможности: время совершения намаза, указание направления на Мекку, невозможность оплатить алкоголь и табак такой картой, а также использовать её в казино и ночных клубах.

Tayyab — стартап, команда которого проходила обучение в международном акселераторе в ОАЭ и привлекла в проект венчурных инвесторов. Стартапы сильно ограничены в ресурсах, поэтому команда была нацелена на быстрое развёртывание бизнеса и кратный рост. Первой страной, где запустился Tayyab, стал родной для создателей сервиса Казахстан. Технически планировалось развернуть всю IT‑систему на облачных технологиях, так как построение собственной инфраструктуры — это долго и дорого. Для развёртывания сервиса была необходима сертификация по стандарту PCI DSS (Payment Card Industry Data Security Standard). Этот стандарт безопасности данных платёжных карт включает в себя 12 основных требований к информационной безопасности и применяется повсеместно. Соответствие этому сертификату — обязательное условие для всех компаний, которые обрабатывают данные Visa, Mastercard, МИР, JCB и других платёжных систем. Кроме того, Tayyab ориентируется на 300 тысяч транзакций в год, поэтому по стандарту PCI DSS сервис был обязан пройти QSA‑аудит, в рамках которого предоставить скриншоты, логи и выгрузки из системы, подтверждающие, что вся техническая инфраструктура соответствует сертификату.

Выбор изединственногоВыбор из единственного

Теоретически компания могла бы построить собственную инфраструктуру и пройти с ней всю сертификацию самостоятельно, но на это потребовалось бы очень много ресурсов. Однако можно использовать облачные технологии и воспользоваться сертификатами провайдера. Тогда при заключении договора облачный провайдер и клиент подписывают матрицу распределения ответственности за выполнение стандарта PCI DSS. По ней провайдер гарантирует безопасность на уровне дата‑центров, сети и той инфраструктуры, которую он предоставляет клиенту.

Yandex Cloud — единственный облачный провайдер в Казахстане с нужной сертификацией и мощностями, которые позволили быстро развернуть приложение и пройти аудит по стандарту PCI DSS. По этому сертификату у Yandex Cloud высший уровень безопасности — УЗ‑1, а в мае платформа получила подтверждение соответствия международным стандартам безопасности данных PCI PIN Security и PCI 3DS. Это позволяет клиентам Yandex Cloud из финансовой отрасли разрабатывать платёжные шлюзы или системы электронных денежных переводов, а также безопасно обрабатывать и передавать PIN‑коды в облаке и управлять ими.

Кроме того, инфраструктура Yandex Cloud позволяет Tayyab при необходимости быстро масштабировать бизнес.

Архитектура сервиса была разработана техническим партнёром Tayyab — CORE 24/7. Это официальный партнёр Yandex Cloud в Казахстане, поэтому именно эта компания занималась интеграцией с облаком.

Yandex Cloud предоставляет сертификацию, которую могут наследовать клиенты облака: это сертификаты на отказоустойчивость и надёжность дата‑центров, ОС и т. д. Всё это подробно описано в документах и регламентах платформы. Приложение Tayyab было сделано на базе микросервисной архитектуры и развёрнуто за неделю через Yandex Managed Service for Kubernetes. Специалисты техподдержки CORE 24/7 помогли Tayyab с настройкой всей системы: шифрованием данных, системами паролей и комплаенс. Чуть более трёх месяцев заняла аудиторская проверка всей информационной безопасности. Всё прошло быстро, так как служба технической поддержки Yandex Cloud вовремя предоставляла обратную связь и даже предлагала помощь при прохождении QSA‑аудита.

В итоге команды Yandex Cloud и CORE 24/7 создали автоматизированную облачную среду разработки, протестировали и развернули её в соответствии со всеми международными стандартами безопасности финансовых технологий. Облачная инфраструктура на основе Yandex Cloud позволила поддерживать международную команду из 30 человек, которая включает как in‑house в Казахстане, так и outstaff‑команды в двух других странах.

В результате Tayyab быстро прошел QSA‑аудит на соответствие международной информационной безопасности и быстро выпустил приложение. Сейчас стартап готовится к выходу на международный рынок и планирует экспансию в Турцию, а затем в страны Юго‑Восточной Азии.