২০২৬ সালে ক্লাউড-নেটিভ ব্যাংকিং DORA অডিট পর্যায়ে রয়েছে। Regulation (EU) 2022/2554 ⧉ ১৭ জানুয়ারি ২০২৫ থেকে কার্যকর। Articles 28-44-এর অধীনে সংকটপূর্ণ তৃতীয়-পক্ষ প্রদাতা (CTPP) মনোনয়ন ব্যবস্থা ২০২৫-২০২৬ জুড়ে খুলছে, যেখানে AWS, Microsoft (Azure), Google (GCP) এবং Salesforce মনোনয়ন পরিধির ভেতরে বা কাছাকাছি অবস্থান করছে। European Supervisory Authorities (EBA, EIOPA, ESMA) ২০২৪ সালে Register of Information ⧉-এর চূড়ান্ত RTS ও ITS প্রকাশ করেছে। ECB Banking Supervision দল ২০২৬-২৮ তত্ত্বাবধান অগ্রাধিকারে ⧉ ক্লাউড-বিঘ্ন প্রস্তুতি ও হুমকি-চালিত পেনিট্রেশন টেস্টিংয়ের ওপর সুস্পষ্ট কর্মসূচি ধারণ করে। প্রাতিষ্ঠানিক প্রশ্নটি আর ক্লাউড কৌশলকে DORA-র সঙ্গে সংরেখ করা উচিত কি না তা নয় — সেটি নিষ্পত্তি হয়ে গেছে — বরং প্রশ্ন হলো প্রতিষ্ঠানের প্ল্যাটফর্ম ইঞ্জিনিয়ারিং প্রিমিটিভগুলো ডিপ্লয়মেন্ট পাইপলাইনের গতিতে প্রমাণ তৈরি করে, নাকি পরীক্ষার এক সপ্তাহ আগে সমাবেশ করা PDF-এ।
নির্বাহী সারসংক্ষেপ / মূল উপলব্ধি
- ১৭ জানুয়ারি ২০২৫ থেকে DORA ক্লাউড স্থিতিস্থাপকতা সক্রিয় প্রয়োগে। Articles 6, 8, 18, 26 এবং 28-44 — সবই কার্যকর। প্রথম পরীক্ষা তরঙ্গের তত্ত্বাবধান ফাইন্ডিং Q4 2025-এ এসেছে। "প্রস্তুতি" ফ্রেমিং দুই চক্র পেছনে।
- CTPP মনোনয়ন ব্যবস্থা খুলছে। AWS, Microsoft, Google, Salesforce — ভেতরে বা কাছাকাছি। মনোনয়ন ESA-গুলোকে তথ্য অনুরোধ, অন-সাইট পরিদর্শন এবং তত্ত্বাবধানমূলক সুপারিশসহ সরাসরি তত্ত্বাবধান অধিকার দেয়।
- প্ল্যাটফর্ম ইঞ্জিনিয়ারিং হলো ডেলিভারেবল। Kubernetes পেভড রোড (EKS / AKS / GKE / OpenShift), Backstage-স্টাইল ডেভেলপার পোর্টাল, GitOps (ArgoCD বা Flux), অ্যাডমিশনে Open Policy Agent, এন্ড-টু-এন্ড OpenTelemetry। পাঁচটি নামকৃত প্রিমিটিভ; যে কোনো একটি অনুপস্থিত মানেই একটি ফাইন্ডিং।
- সার্বভৌম ক্লাউড ইঞ্জিনিয়ারিং, ব্র্যান্ডিং নয়। AWS European Sovereign Cloud, Microsoft EU Data Boundary, Bleu (Capgemini + Orange + Microsoft), Thales / S3NS, Oracle EU Sovereign Cloud — প্রত্যেকটি একটি নির্দিষ্ট Schrems II + DORA Article 28 মাত্রায় উত্তর দেয়; কোনোটিই টার্নকি উত্তর নয়।
- পরীক্ষিত এক্সিট প্রমাণ প্রয়োজন। EBA/GL/2019/02 প্যারাগ্রাফ ৮১ এবং ১১৩-১১৭। ত্রৈমাসিক টেবিলটপ যথেষ্ট নয়; তত্ত্বাবধায়করা প্রতিটি সংকটপূর্ণ বা গুরুত্বপূর্ণ ফাংশনের জন্য বার্ষিক এন্ড-টু-এন্ড এক্সিট-এক্সিকিউশন পরীক্ষা প্রত্যাশা করেন।
- CIF ইনভেন্টরি থেকে RTO / RPO। Tier 1: ২ঘ / ১৫মিনিট। Tier 2: ৪ঘ / ১ঘ। Tier 3: ২৪ঘ / ৪ঘ। বিজনেস-ইমপ্যাক্ট অ্যানালাইসিস থেকে উদ্ভূত, প্ল্যাটফর্ম-দলের সক্ষমতা থেকে নয়।
কেন DORA ক্লাউড স্থিতিস্থাপকতা অডিট পর্যায়ে #
২০২৬ সালে "প্রস্তুতি" ফ্রেমিং ভুল হওয়ার তিনটি কারণ।
প্রথমত, সময়সূচি। DORA ডিসেম্বর ২০২২-এ প্রকাশিত হয়। ২৪-মাসের প্রয়োগ সময়কাল ১৭ জানুয়ারি ২০২৫-এ শেষ হয়। ESA-গুলোর চূড়ান্ত RTS ও ITS — CTPP মনোনয়নের জন্য ব্যবহৃত Register of Information-এর ITS সহ — ২০২৪ জুড়ে প্রকাশিত হয়। তত্ত্বাবধান পরীক্ষার প্রথম তরঙ্গ ২০২৫ জুড়ে চলে; Article 6 ICT ঝুঁকি-ব্যবস্থাপনা কাঠামোর পূর্ণতা এবং Article 8 রেজিস্টার সমন্বয়ের ওপর ফাইন্ডিং Q4 2025-এ একাধিক টিয়ার-১ প্রতিষ্ঠানে এসেছে।
দ্বিতীয়ত, CTPP মনোনয়ন ব্যবস্থা। Article 31 সংকটপূর্ণ তৃতীয়-পক্ষ প্রদাতা হিসেবে মনোনয়নের মানদণ্ড নির্ধারণ করে: ব্যর্থতার ক্ষেত্রে সিস্টেমিক প্রভাব, প্রদত্ত সেবার সংকটপূর্ণতা, সেবার পরিসর ও জটিলতা, প্রতিস্থাপনযোগ্যতা। ESA-গুলো রেজিস্টার রক্ষণাবেক্ষণ করে এবং মনোনয়ন সিদ্ধান্ত প্রকাশ করে। সদস্য রাষ্ট্রভেদে আর্থিক-পরিষেবা বাজার অংশীদারিত্বের উপর নির্ভর করে AWS, Microsoft (Azure), Google (GCP) এবং Salesforce মনোনয়ন পরিধির ভেতরে বা কাছাকাছি অবস্থান করছে। মনোনয়ন প্রধান তত্ত্বাবধায়ককে (প্রদাতা-প্রতি বরাদ্দকৃত একটি ESA) সরাসরি তত্ত্বাবধান কর্তৃত্ব দেয়: Article 37-এর অধীনে তথ্য অনুরোধ, Article 38-এর অধীনে অন-সাইট পরিদর্শন, Article 35-এর অধীনে সুপারিশ এবং Article 41-এর অধীনে জনসাধারণ-প্রকাশ ব্যবস্থা। সেই CTPP-গুলোর উপর তত্ত্বাবধান-প্রাপ্ত ব্যাংকগুলো সেই মনোনীত নির্ভরতা কীভাবে পরিচালনা করে তার ওপর সংশ্লিষ্ট তত্ত্বাবধান প্রত্যাশার অধীন।
তৃতীয়ত, ECB-এর ২০২৬-২৮ তত্ত্বাবধান অগ্রাধিকার। অগ্রাধিকার দলিলটি ক্লাউড-নেটিভ ব্যাংকিংকে সরাসরি প্রভাবিত করে এমন দুটি সুস্পষ্ট কর্মসূচির নাম দেয়: প্রধান ক্লাউড-পরিষেবা বিঘ্নের জন্য প্রস্তুতি (মডেলকৃত তত্ত্বাবধান দৃশ্যকল্প একটি মনোনীত CTPP-এর দীর্ঘস্থায়ী আউটেজ শোষণ করার প্রতিষ্ঠানের ক্ষমতা পরীক্ষা করে) এবং TIBER-EU-অনুসারী TLPT (প্রতিটি TIBER-EU অনুশীলন প্রতিষ্ঠানের সংকটপূর্ণ ও গুরুত্বপূর্ণ ফাংশনগুলোকে স্কোপ করে, যা এখন পাবলিক-ক্লাউড-হোস্টেড সেবা অন্তর্ভুক্ত করে)। ২০২৬ পরীক্ষা তরঙ্গ দুটোতেই ফাইন্ডিং তৈরি করবে।
২০২৬-এর ফ্রেমিং "DORA আসছে" নয়; বরং "DORA পরীক্ষা ফাইন্ডিং আপনার প্রতিষ্ঠানের মেইলবক্সে আসছে, এবং ২০২৪-২০২৫ জুড়ে নেওয়া আপনার প্ল্যাটফর্ম ইঞ্জিনিয়ারিং সিদ্ধান্তগুলোই সেই ফাইন্ডিংয়ে তত্ত্বাবধায়ক যাচাই করছেন।"
২০২৬ ইনডেক্স স্থাপত্য #
| ইনডেক্স স্তর | "প্রস্তুত" কেমন দেখায় | প্রস্তুতি মেট্রিক | ব্যর্থতার ধরন |
|---|---|---|---|
| প্ল্যাটফর্ম পরিপক্বতা | পলিসি-অ্যাজ-কোড অ্যাডমিশন, GitOps ডিপ্লয়মেন্ট, স্বয়ংক্রিয় DR টেস্টিং সহ একটি পেভড-রোড Kubernetes প্ল্যাটফর্মে (EKS / AKS / GKE / OpenShift) ৮০%-এর বেশি ওয়ার্কলোড | পেভড-রোড প্ল্যাটফর্মে CIF-এর %; শ্যাডো-ডিপ্লয়মেন্ট সংখ্যা; প্ল্যাটফর্মে নতুন পরিষেবা অনবোর্ড করার গড় সময় | অসামঞ্জস্যপূর্ণ নিয়ন্ত্রণসহ শ্যাডো প্ল্যাটফর্ম; Article 8 রেজিস্টার সমন্বয়ের কাছে অদৃশ্য আনপেভড অবকাঠামোয় চলমান CIF |
| Article 8 রেজিস্টার অখণ্ডতা | Register of Information প্ল্যাটফর্মের তৃতীয়-পক্ষ API ব্যবহার + ক্লাউড-বিল-অফ-ম্যাটেরিয়ালসের সঙ্গে স্বয়ংক্রিয়ভাবে সমন্বিত; সংকটপূর্ণতা শ্রেণীবিভাগ প্রতিষ্ঠানের CIF ইনভেন্টরির সঙ্গে সামঞ্জস্যপূর্ণ | প্ল্যাটফর্ম টেলিমেট্রির সঙ্গে সমন্বিত রেজিস্টার এন্ট্রির %; অরফান-এন্ট্রি সংখ্যা; CTPP-পরিধি অখণ্ডতা যাচাই | প্রতিষ্ঠান Article 8-এর অধীনে প্রকাশ করতে ব্যর্থ হয়েছে এমন একটি মনোনীত CTPP নির্ভরতা ESA শনাক্ত করে; ব্যক্তিগত ফাইন্ডিং ও CTPP-পরিধি পরিণতি |
| ক্লাউড ঘনত্ব | সংকটপূর্ণ ফাংশন ক্লাউড প্রদাতা, সাব-ক্লাউড অঞ্চল, পরিষেবা এবং প্রতিস্থাপনযোগ্যতা মূল্যায়নের সঙ্গে ম্যাপড; ক্রস-CIF সম্পর্কিত এক্সপোজার পরিমাণে প্রকাশিত | CIF-প্রতি ঘনত্ব স্কোর; একটি মনোনীত CTPP অঞ্চল ভাগ করা CIF-গুলোর জুড়ে সম্পর্কিত এক্সপোজার | একটি একক AWS us-east-1 IAM আউটেজ চারটি CIF-কে অচল করে দেয় যেগুলোকে প্রতিষ্ঠান স্বাধীনভাবে রিসোর্সড মনে করত |
| পরীক্ষিত এক্সিট সক্ষমতা | একটি মনোনীত CTPP-নির্ভর প্রতিটি CIF-এর জন্য বার্ষিক এন্ড-টু-এন্ড এক্সিট-এক্সিকিউশন পরীক্ষা; নথিভুক্ত RTO / RPO BIA-উদ্ভূত লক্ষ্যপূরণ করে; ডেটা-পোর্টেবিলিটি পথ পরীক্ষিত | CIF-প্রতি পরীক্ষা পাস হার; RTO লক্ষ্যের বিপরীতে গড় এক্সিট-এক্সিকিউশন সময়; ডেটা-পোর্টেবিলিটি পথের লেটেন্সি | শুধু একটি PDF হিসেবে বিদ্যমান এক্সিট প্ল্যান; টেবিলটপ বলে ৪ঘ RTO, প্রথম প্রচেষ্টায় বাস্তব পরীক্ষা ৪৮ঘ দেখায় |
| পর্যবেক্ষণযোগ্যতা + ঘটনা রিপোর্টিং | পরিষেবা জুড়ে এন্ড-টু-এন্ড OpenTelemetry ট্রেস; ঘটনা-ব্যবস্থাপনা প্ল্যাটফর্মে যুক্ত স্বয়ংক্রিয় Article 18 ৪-ঘণ্টা শ্রেণীবিভাগ সহায়ক | OTel ট্রেস দ্বারা আবৃত CIF ট্র্যাফিকের %; ঘটনা সনাক্তকরণ থেকে Article 18 শ্রেণীবিভাগ সিদ্ধান্ত পর্যন্ত গড় সময় | সংকটপূর্ণতা নির্ধারণে একটি ট্রায়াজ মিটিং লাগায় বড় ঘটনা ৪-ঘণ্টা জানালার বাইরে শ্রেণীবদ্ধ; Article 18 ফাইন্ডিং |
| TLPT সংহতকরণ | TLPT স্কোপ CIF ইনভেন্টরি থেকে উদ্ভূত এবং ক্রমাগত নবায়নকৃত; ফাইন্ডিং প্ল্যাটফর্ম পলিসি-অ্যাজ-কোডে ফিডব্যাক দেয়; বন্ধ হওয়া ফাইন্ডিং তত্ত্বাবধান-প্রস্তুত প্রমাণ প্যাকেট তৈরি করে | TLPT ফাইন্ডিং সমাপ্তির হার; ফাইন্ডিং-থেকে-পলিসি-আপডেট চক্র সময় | TLPT এমন একটি দুর্বলতা আবিষ্কার করে যা প্রতিষ্ঠানের প্ল্যাটফর্ম ইঞ্জিনিয়ারিং দল দুই রিলিজ চক্রের কম সময়ে ঠিক করতে পারে না |
ট্র্যাক করার বর্তমান সংকেত #
| সংকেত | ব্যাংকগুলোর জন্য এর অর্থ | উৎস |
|---|---|---|
| ১৭ জানুয়ারি ২০২৫ থেকে DORA সক্রিয় প্রয়োগে | প্রথম-তরঙ্গ তত্ত্বাবধান ফাইন্ডিং Q4 2025-এ এসেছে; দ্বিতীয়-তরঙ্গ ফাইন্ডিং ২০২৬ H2 জুড়ে প্রত্যাশিত | EUR-Lex ⧉ |
| ২০২৫-২০২৬ জুড়ে CTPP মনোনয়ন খুলছে | AWS, Microsoft, Google, Salesforce পরিধির ভেতরে বা কাছাকাছি; মনোনয়ন ESA-গুলোকে সরাসরি তত্ত্বাবধান অধিকার দেয় | EBA ⧉ |
| ECB ২০২৬-২৮ তত্ত্বাবধান অগ্রাধিকার ক্লাউড বিঘ্নের নাম স্পষ্টভাবে দেয় | মডেলকৃত তত্ত্বাবধান দৃশ্যকল্প দীর্ঘস্থায়ী মনোনীত-CTPP আউটেজ শোষণ করার ক্ষমতা পরীক্ষা করে | ECB Banking Supervision ⧉ |
| TIBER-EU DORA Article 26-এর সঙ্গে সংরেখ | TLPT স্কোপ ক্লাউড-হোস্টেড সেবাসহ সংকটপূর্ণ / গুরুত্বপূর্ণ ফাংশন আবৃত করে | ECB TIBER-EU ⧉ |
| EBA আউটসোর্সিং নির্দেশিকা (EBA/GL/2019/02) DORA Article 28-এর সঙ্গে যুক্ত | মৌলিক উপস্থিতি (¶64), প্রতিস্থাপনযোগ্যতা মূল্যায়ন (¶81), এক্সিট কৌশল (¶113-117) — যে প্যারাগ্রাফগুলো তত্ত্বাবধায়করা আসলেই পরীক্ষা করেন | EBA ⧉ |
| EU Cloud Services Scheme (EUCS) খসড়া এগিয়ে যাচ্ছে | EU Cybersecurity Act-এর অধীনে ভবিষ্যৎ সার্বভৌম-ক্লাউড সার্টিফিকেশন স্কিম; ENISA-প্রকাশিত খসড়া | ENISA EUCS ⧉ |
প্ল্যাটফর্ম ইঞ্জিনিয়ারিং: পাঁচটি নামকৃত প্রিমিটিভ #
২০২৬-এ ক্লাউড-নেটিভ পরিপক্বতা পাঁচটি ইঞ্জিনিয়ারিং প্রিমিটিভে সংকুচিত হয় যেগুলো ডিপ্লয়মেন্ট পাইপলাইনের গতিতে তত্ত্বাবধান প্রমাণ তৈরি করতে যুক্ত থাকে। যে কোনো একটি অনুপস্থিত মানে অপেক্ষায় থাকা একটি ফাইন্ডিং।
১. Kubernetes-ভিত্তিক পেভড রোড #
প্রতিটি CIF একটি ম্যানেজড Kubernetes প্ল্যাটফর্মে চলে — একটি মনোনীত CTPP-তে EKS, AKS, GKE বা OpenShift, অথবা একটি ভেন্ডর-ম্যানেজড বিকল্প। প্ল্যাটফর্ম দল নিয়ন্ত্রিত বিচ্যুতিসহ একটি একক গোল্ডেন ক্লাস্টার প্যাটার্ন পরিচালনা করে: একটি নথিভুক্ত বেস ইমেজ থেকে নোড; নেমস্পেস-প্রতি-দল আইসোলেশন; পড-সিকিউরিটি-স্ট্যান্ডার্ডস-রেস্ট্রিক্টেড প্রোফাইল; নেটওয়ার্ক পলিসি; আন্তঃ-পরিষেবা প্রমাণীকরণ ও পর্যবেক্ষণযোগ্যতার জন্য সার্ভিস-মেশ ইনজেকশন (Istio বা Linkerd)। নতুন পরিষেবা একটি টেমপ্লেটেড অনবোর্ডিং ওয়ার্কফ্লোর মাধ্যমে পেভড রোডে যুক্ত হয় যা Article 8 রেজিস্টার এন্ট্রিকে একটি ডিপ্লয়মেন্ট আর্টিফ্যাক্ট হিসেবে তৈরি করে।
২. Backstage-স্টাইল ডেভেলপার পোর্টাল #
একটি কেন্দ্রীয় ডেভেলপার পোর্টাল — Spotify-র ওপেন-সোর্স Backstage ⧉ রেফারেন্স ইমপ্লিমেন্টেশন, বিভিন্ন এন্টারপ্রাইজ বিকল্পসহ — কী কোথায় চলে তার সিস্টেম-অফ-রেকর্ড প্রদান করে। ক্যাটালগ প্রতিটি পরিষেবা, মালিক, নির্ভরতা, সংকটপূর্ণতা শ্রেণীবিভাগ, রানবুক, অন-কল রোটেশন তালিকাভুক্ত করে। পোর্টাল Article 8 রেজিস্টারের সঙ্গে যুক্ত: প্রতিটি ক্যাটালগ এন্ট্রি একটি রেজিস্টার এন্ট্রির সঙ্গে ম্যাপ করে; রেজিস্টার রেফারেন্স ছাড়া এন্ট্রি CI ব্যর্থতা ট্রিগার করে; ক্যাটালগ উপস্থিতি ছাড়া রেজিস্টার এন্ট্রি তত্ত্বাবধায়ককে আগেভাগে সংকেত দেয় এমন সতর্কতা ট্রিগার করে।
৩. ArgoCD বা Flux-এর মাধ্যমে GitOps ডিপ্লয়মেন্ট #
প্রোডাকশন ডিপ্লয়মেন্ট একটি GitOps কন্ট্রোলারের মাধ্যমে চলে — ২০২৬-এ ArgoCD বা Flux হলো প্রোডাকশন স্ট্যান্ডার্ড — যা একটি Git-ভার্সনড ঘোষণামূলক অবস্থাকে চলমান ক্লাস্টারের সঙ্গে সমন্বয় করে। ম্যানুয়াল kubectl apply নিষ্ক্রিয়; প্রোডাকশনে যাওয়ার একমাত্র পথ একটি মার্জড পুল রিকোয়েস্ট। Git রিপোজিটরি হলো অডিট লগ; "X পরিষেবার কনফিগারেশন Y তারিখে দেখান" জিজ্ঞাসা করা তত্ত্বাবধায়করা একটি স্ক্রিনশট নয়, একটি Git ট্যাগ পান।
৪. অ্যাডমিশনে Open Policy Agent #
Open Policy Agent (OPA) ক্লাস্টার অ্যাডমিশন চেইনে বসে প্ল্যাটফর্ম নীতি প্রয়োগ করে: পড-সিকিউরিটি প্রোফাইল সম্মতি, ইমেজ উৎপত্তি, রিসোর্স সীমা, নেটওয়ার্ক-পলিসি উপস্থিতি, সংকটপূর্ণতা-টিয়ার-উপযুক্ত প্রতিলিপি, সার্বভৌম-ক্লাউড সীমাবদ্ধতার অধীনে সাব-অঞ্চল স্থাপন। নীতিগুলো Git-ভার্সনড এবং পরিষেবা কনফিগারেশনের পাশাপাশি পরিবর্তন-ব্যবস্থাপিত। প্রত্যাখ্যাত ডিপ্লয়মেন্ট পর্যালোচনাযোগ্য যৌক্তিকতা তৈরি করে যা পরিবর্তন-ব্যবস্থাপনা প্রমাণ প্যাকেটে যোগায়।
৫. এন্ড-টু-এন্ড OpenTelemetry #
প্রতিটি পরিষেবা OpenTelemetry ট্রেস, মেট্রিক এবং লগ নির্গমন করে। প্ল্যাটফর্ম দল একটি কেন্দ্রীভূত পর্যবেক্ষণযোগ্যতা পাইপলাইন পরিচালনা করে — সাধারণত ট্রেসের জন্য Tempo বা Jaeger, মেট্রিকের জন্য Prometheus, লগের জন্য Loki বা OpenSearch — যা এন্ড-টু-এন্ড CIF স্বাস্থ্য, নির্ভরতা ম্যাপিং এবং ঘটনা-শ্রেণীবিভাগ ইনপুট সারফেস করে। ৪-ঘণ্টার Article 18 শ্রেণীবিভাগ জানালা সনাক্তকরণের সঙ্গে শুরু হয়; OTel পাইপলাইন সনাক্তকরণ থেকে শ্রেণীবিভাগ পর্যন্ত পথকে একটি ট্রায়াজ মিটিং থেকে কোয়েরিযোগ্য লুকআপে সংক্ষিপ্ত করে।
সার্বভৌম ক্লাউড ইঞ্জিনিয়ারিং হিসেবে, ব্র্যান্ডিং নয় #
২০২৬-এ সার্বভৌম-ক্লাউড কৌশলকে চারটি নির্দিষ্ট Schrems II + DORA + EBA আউটসোর্সিং প্রশ্নের উত্তর দিতে হবে:
- ডেটা কোথায় প্রক্রিয়াকৃত ও সংরক্ষিত হয়? EU সদস্য-রাষ্ট্র অবস্থান; উচ্চ-সংকটপূর্ণতা প্রবাহের জন্য সাব-অঞ্চল; লিখিতভাবে ডেটা রেসিডেন্সি প্রতিশ্রুতি।
- ডেটায় আইনগত অ্যাক্সেস কার? স্থানীয়-কর্মচারী-একমাত্র পরিচালনা; স্থানীয়-আদালত প্রক্রিয়ার অধীনে বিদেশি-সরকার অ্যাক্সেস অনুরোধ; বৈধ-অ্যাক্সেস অনুরোধের জন্য পরীক্ষিত প্রতিক্রিয়া।
- প্রতিস্থাপনযোগ্যতা প্রোফাইল কী? EBA/GL/2019/02 ¶81 প্রতিস্থাপনযোগ্যতা মূল্যায়ন; পরীক্ষিত এক্সিট-এক্সিকিউশন; বিকল্প প্রদাতা শনাক্ত ও চুক্তিবদ্ধ (অথবা কেন কার্যকর নয় তার নথি)।
- প্রযুক্তিগত সার্বভৌমত্ব মডেল কী? গ্রাহক-নিয়ন্ত্রিত কী; ক্রিপ্টোগ্রাফিক বিচ্ছিন্নতা; সার্বভৌম ম্যানেজমেন্ট প্লেন; অডিটযোগ্য সরবরাহ চেইন।
এই প্রশ্নগুলোর উত্তর দেওয়া ২০২৬ ভেন্ডর বিকল্পগুলো:
- AWS European Sovereign Cloud (২০২৩-এ ঘোষিত, GA প্রত্যাশিত H2 ২০২৬): EU-রেসিডেন্ট AWS সাবসিডিয়ারির পরিচালিত ফিজিক্যাল অঞ্চল; EU-রেসিডেন্ট পরিচালনা ও সহায়তা; KMS-XKS প্যাটার্নের মাধ্যমে গ্রাহক-নিয়ন্ত্রিত কী। ২০২৬-এ DORA Article 28 চুক্তিগত বিষয়বস্তু সংরেখকরণ অপেক্ষমাণ।
- Microsoft EU Data Boundary (GA ২০২৪) + Bleu (Capgemini + Orange + Microsoft, শুধু ফ্রান্স): Data Boundary EU গ্রাহক ডেটা EU অঞ্চলে রাখে; Bleu হলো SecNumCloud-অনুসারী ফরাসি সার্বভৌম ক্লাউড যা ফরাসি পরিচালনাগত নিয়ন্ত্রণের অধীনে Microsoft Azure স্ট্যাক চালায়।
- Google Cloud সার্বভৌম অংশীদারিত্ব: ফ্রান্সে Thales / S3NS (Bleu সমতুল্য); জার্মানিতে T-Systems।
- Oracle EU Sovereign Cloud (GA ২০২৩): EU-রেসিডেন্ট পরিচালনাসহ দ্বৈত-অঞ্চল প্যাটার্ন (Frankfurt + Madrid); পরিষ্কারভাবে Schrems II-অনুসারী।
- Gaia-X-অনুসারী প্রদাতা (OVHcloud, Scaleway, Stackit, Aruba Cloud, IONOS): Gaia-X লেবেলিংসহ নেটিভ-EU প্রদাতা; হাইপারস্কেলারের চেয়ে ছোট পরিসর ও ইকোসিস্টেম কিন্তু Foreign Intelligence Surveillance Act এক্সপোজার নেই।
কৌশলগত সিদ্ধান্ত খুব কমই বাইনারি। টিয়ার-১ ব্যাংকগুলো সাধারণত বেশিরভাগ ওয়ার্কলোডের জন্য হাইপারস্কেলার-উইথ-ডেটা-বাউন্ডারি কনফিগারেশন, মনোনীত উচ্চ-সংবেদনশীলতা প্রবাহের জন্য (যেমন EU-রেসিডেন্ট ব্যক্তিগত ডেটা পরিচালনাকারী AML / নিষেধাজ্ঞা কেস-ব্যবস্থাপনা সিস্টেম) একটি সার্বভৌম-ক্লাউড বিকল্প এবং DORA Article 28-এর অধীনে বার্ষিক পরীক্ষিত একটি কন্টিনজেন্সি-প্রতিস্থাপনযোগ্যতা পথ চালায়।
পরীক্ষিত এক্সিট এক্সিকিউশন #
EBA/GL/2019/02 ⧉ প্যারাগ্রাফ ১১৩-১১৭ হলো এক্সিট-কৌশল বিধান। পাঠ্যটি স্পষ্ট কী প্রয়োজন সে বিষয়ে: "প্রতিষ্ঠান এবং পেমেন্ট প্রতিষ্ঠানগুলোকে নিশ্চিত করতে হবে যে তারা ব্যবসায়িক কার্যক্রমে অযাচিত বিঘ্ন ছাড়াই আউটসোর্সিং ব্যবস্থা থেকে বের হতে পারে… এক্সিট কৌশলগুলো আউটসোর্সিং ব্যবস্থার নিয়মিত পর্যালোচনার অংশ হিসেবে নথিভুক্ত ও পরীক্ষিত হওয়া উচিত।"
২০২৬-এ তত্ত্বাবধান প্রত্যাশা হলো একটি মনোনীত CTPP-নির্ভর প্রতিটি CIF-এর জন্য বার্ষিক এন্ড-টু-এন্ড এক্সিট-এক্সিকিউশন পরীক্ষা। টেবিলটপ অনুশীলন ও দলিল পর্যালোচনা যথেষ্ট নয়। পরীক্ষাটি তৈরি করতে হবে:
- টাইম-টু-রিস্টোর পরিমাপ: BIA-উদ্ভূত RTO লক্ষ্যের বিপরীতে এক্সিট ঘোষণা থেকে বিকল্প প্রদাতায় ওয়ার্কলোড পুনরুদ্ধার পর্যন্ত প্রকৃত অতিবাহিত সময়।
- ডেটা-পোর্টেবিলিটি প্রমাণ: প্রাথমিক থেকে পরীক্ষিত ডেটা এক্সপোর্ট, গন্তব্য প্রদাতার ইমপোর্ট পথের বিপরীতে যাচাইকৃত, সমন্বয় প্রমাণসহ।
- কার্যকরী সমতুল্যতা: বিকল্প প্রদাতায় চলমান পরীক্ষিত ওয়ার্কলোড সমতুল্য SLO-সহ।
- ব্যয় প্রমাণ: প্রতিষ্ঠানের কন্টিনজেন্সি পরিকল্পনায় পুনরুদ্ধার-ব্যয়ের অনুমানের বিপরীতে নথিভুক্ত এক্সিট-এক্সিকিউশন ব্যয়।
একটি CIF-এর জন্য এন্ড-টু-এন্ড এক্সিট পরীক্ষার প্রথম প্রচেষ্টা সাধারণত নথিভুক্ত RTO এবং প্রকৃত RTO-এর মধ্যে ৫-১০× ফাঁক প্রকাশ করে। সেই ফাঁক বন্ধ করা ইঞ্জিনিয়ারিং কাজ যা মাস লাগে। যেসব ব্যাংক নিজস্ব বার্ষিক পরীক্ষা চক্রের পরিবর্তে একটি তত্ত্বাবধান পরিদর্শনের সময় এটি আবিষ্কার করে, তারা এমন একটি Q3 ফাইন্ডিং চক্রের মুখোমুখি হয় যা তারা এড়াতে পারত।
CIF ইনভেন্টরি থেকে RTO / RPO লক্ষ্য #
প্রতিটি সংকটপূর্ণ বা গুরুত্বপূর্ণ ফাংশন প্রতিষ্ঠানের বিজনেস-ইমপ্যাক্ট অ্যানালাইসিস থেকে উদ্ভূত একটি টিয়ার শ্রেণীবিভাগে ম্যাপ করে। টিয়ার RTO ও RPO লক্ষ্য চালায় যা প্ল্যাটফর্ম ইঞ্জিনিয়ারিং দল সরবরাহ করতে প্রতিশ্রুতিবদ্ধ।
| টিয়ার | উদাহরণ | RTO | RPO |
|---|---|---|---|
| Tier 1 (মিশন-সংকটপূর্ণ) | RTGS সংযোগ (CHAPS / T2 / Fedwire), খুচরা পেমেন্ট অনুমোদন, ডিজিটাল চ্যানেলের জন্য গ্রাহক প্রমাণীকরণ | ২ ঘণ্টা | ১৫ মিনিট |
| Tier 2 (সংকটপূর্ণ) | AML / নিষেধাজ্ঞা স্ক্রিনিং, জালিয়াতি-সনাক্তকরণ পাইপলাইন, ATM অনুমোদন, ব্যাচ পেমেন্ট প্রক্রিয়াকরণ | ৪ ঘণ্টা | ১ ঘণ্টা |
| Tier 3 (গুরুত্বপূর্ণ) | রিপোর্টিং ও নিয়ন্ত্রক জমা, গ্রাহক-মুখী জ্ঞান-ভিত্তি, অভ্যন্তরীণ সহযোগিতা প্ল্যাটফর্ম | ২৪ ঘণ্টা | ৪ ঘণ্টা |
| Tier 4 (অ-সংকটপূর্ণ) | অভ্যন্তরীণ HR সিস্টেম, মার্কেটিং টুলিং, অ-গ্রাহক-মুখী রিপোর্টিং | ৭২ ঘণ্টা | ২৪ ঘণ্টা |
এই সংখ্যাগুলো দৃষ্টান্তমূলক — প্রতিষ্ঠানের BIA নিজস্ব সংখ্যা তৈরি করে। প্ল্যাটফর্ম ইঞ্জিনিয়ারিং ডেলিভারেবল হলো BIA-উদ্ভূত লক্ষ্যপূরণের একটি রিগ্রেশন-পরীক্ষিত সক্ষমতা, যা পরিষেবা-প্রতি স্বয়ংক্রিয় DR টেস্টিংয়ের মাধ্যমে প্রমাণিত এবং CTPP-নির্ভর CIF-এর জন্য বার্ষিক এক্সিট-এক্সিকিউশন পরীক্ষার মাধ্যমে যাচাইকৃত।
ব্যাংকের ধরন অনুসারে এর অর্থ #
বৈশ্বিক সিস্টেমিক্যালি ইম্পরট্যান্ট ব্যাংক #
কঠিন সমস্যা হলো ব্যবসায়িক লাইন জুড়ে পরিসর: হাজার হাজার পরিষেবা, শত শত CIF, পণ্য, অধিক্ষেত্র ও স্থিতিস্থাপকতা প্রোফাইল জুড়ে একাধিক মনোনীত-CTPP এক্সপোজার। বিনিয়োগ হলো কেন্দ্রীয় প্ল্যাটফর্ম ইঞ্জিনিয়ারিং সক্ষমতা — Kubernetes পেভড রোড, Backstage পোর্টাল, GitOps, OPA, OTel — যা প্রতি-ব্যবসায়িক-লাইন কাস্টম নির্মাণ ছাড়াই Article 8 রেজিস্টার সমন্বয়, CTPP ঘনত্ব মানচিত্র এবং CIF-প্রতি এক্সিট-এক্সিকিউশন সক্ষমতা তৈরি করে।
সর্বজনীন ও মাঝারি আকারের ব্যাংক #
প্ল্যাটফর্ম ইঞ্জিনিয়ারিং বিনিয়োগ এই টিয়ারে ন্যায্য কিন্তু পরিসর সীমাবদ্ধ: দুই বা তিনটি সর্বোচ্চ-সংকটপূর্ণতা CIF বেছে নিন, তাদের চারপাশে পেভড-রোড প্যাটার্ন তৈরি করুন, মধ্যমেয়াদে বিদ্যমান নিয়ন্ত্রণে লিগ্যাসি এস্টেট চলতে দিন। তত্ত্বাবধান অবস্থানকরণ প্ল্যাটফর্ম প্রসারিতার চেয়ে বেশি গুরুত্বপূর্ণ — শীর্ষ তিন CIF-এর জন্য DORA Article 8 রেজিস্টার অখণ্ডতা এবং পরীক্ষিত এক্সিটের প্রমাণ দেওয়া তত্ত্বাবধায়কের প্রাথমিক উদ্বেগ আবৃত করে।
আঞ্চলিক ও ছোট ব্যাংক #
অভ্যন্তরীণ নির্মাণের চেয়ে ভেন্ডর নির্বাচন। এমন একটি ব্যাংকিং-প্ল্যাটফর্ম ভেন্ডর বেছে নিন যার Kubernetes-নেটিভ স্থাপত্য নথিভুক্ত, যার Article 8 রেজিস্টার সংহতকরণ বিল্ট-ইন এবং যার DORA Article 28 চুক্তিগত বিষয়বস্তু প্রতিশ্রুতি স্পষ্ট। অভ্যন্তরীণ ইঞ্জিনিয়ারিং সক্ষমতা কনফিগারেশন, পর্যবেক্ষণ এবং ঘটনা প্রতিক্রিয়াকে ঘিরে — প্ল্যাটফর্ম নির্মাণ নয়।
ব্যাংককে পরিষেবা প্রদানকারী ফিনটেক, PSP এবং SaaS প্রদাতা #
২০২৬-এ EU ব্যাংকে বিক্রি করা ভেন্ডরদের জন্য পণ্য প্রশ্ন হলো প্ল্যাটফর্ম কি ব্যাংকের সম্মতি কার্য যে Article 8 রেজিস্টার এন্ট্রি এবং DORA Article 28 চুক্তিগত বিষয়বস্তু চায় তা তৈরি করে। স্ট্রাকচার্ড আউটপুটসহ ভেন্ডররা এন্টারপ্রাইজ চুক্তি জেতে; PDF টেমপ্লেটসহ ভেন্ডররা স্ট্রাকচার্ড JSON-সহ প্রতিযোগীদের কাছে হারে।
উপসংহার #
DORA ক্লাউড স্থিতিস্থাপকতা অডিট পর্যায়ে। ২০২৪-২০২৫ জুড়ে নেওয়া প্ল্যাটফর্ম ইঞ্জিনিয়ারিং সিদ্ধান্তগুলোই ২০২৬-এর তত্ত্বাবধান চক্র যাচাই করে। ২০২৬-২০২৮-এ ECB এবং EBA-র কাছে যেসব প্রতিষ্ঠান বিশ্বাসযোগ্য দেখায় সেগুলো হলো এন্ড-টু-এন্ড OpenTelemetry-সহ Open Policy Agent অ্যাডমিশনের অধীনে Backstage-স্টাইল পোর্টাল এবং GitOps ডিপ্লয়মেন্টসহ Kubernetes পেভড রোড চালানো প্রতিষ্ঠান — একটি ডিপ্লয়মেন্ট আর্টিফ্যাক্ট হিসেবে Article 8 রেজিস্টার প্রমাণ এবং একটি বার্ষিক চক্র হিসেবে পরীক্ষিত এক্সিট-এক্সিকিউশন প্রমাণ তৈরি করে, একটি তত্ত্বাবধান অনুরোধ প্রতিক্রিয়া হিসেবে নয়।
যেসব প্রতিষ্ঠান সেই বিনিয়োগ করেনি, তারা আবিষ্কার করবে যে দ্বিতীয় রাউন্ড আসার আগে তাদের সেকেন্ড-লাইন সম্মতি দল প্রথম রাউন্ডের তত্ত্বাবধান ফাইন্ডিং শোষণ করতে পারে কিনা।
প্ল্যাটফর্ম পরিমাপ করুন যেভাবে আপনি যেকোনো পরিচালনাগত কর্মসূচি পরিমাপ করেন: পেভড-রোড কভারেজ, রেজিস্টার সমন্বয় হার, CTPP ঘনত্ব স্কোর, RTO লক্ষ্যের বিপরীতে পরীক্ষিত এক্সিট সময়, Article 18 শ্রেণীবিভাগের গড় সময়, TLPT সমাপ্তি হার। পাইপলাইনের গতিতে প্রমাণ; তত্ত্বাবধায়ক চাইলে তবেই ডকুমেন্টেশন প্যাকেট।
প্রায়শই জিজ্ঞাসিত প্রশ্ন #
২০২৬-এ DORA ক্লাউড স্থিতিস্থাপকতা কি এখনও প্রস্তুতি পর্যায়ে?
না। ১৭ জানুয়ারি ২০২৫ থেকে DORA সক্রিয় প্রয়োগে। Articles 28-44-এর অধীনে CTPP মনোনয়ন ব্যবস্থা ২০২৫-২০২৬ জুড়ে খুলছে। Article 6 ICT ঝুঁকি-ব্যবস্থাপনা এবং Article 8 রেজিস্টার অখণ্ডতার ওপর ECB পরীক্ষা ফাইন্ডিং Q4 2025-এ একাধিক টিয়ার-১ প্রতিষ্ঠানে এসেছে। ২০২৬-এর তত্ত্বাবধান প্রশ্ন প্রতিষ্ঠান-নির্দিষ্ট পরীক্ষা প্রমাণ, নিয়ন্ত্রক প্রস্তুতি নয়।
কোন ক্লাউড প্রদাতা CTPP হিসেবে মনোনীত?
ESA-গুলো তাদের ওয়েবসাইটে মনোনয়ন সিদ্ধান্ত প্রকাশ করে। ২০২৬-এ পরিধির ভেতরে বা কাছাকাছি প্রতিষ্ঠানগুলোর মধ্যে রয়েছে AWS, Microsoft (Azure), Google (GCP), Salesforce এবং সদস্য রাষ্ট্রভেদে আর্থিক-পরিষেবা বাজার অংশীদারিত্বের উপর নির্ভর করে আরও অল্প সংখ্যক। সেই প্রদাতাদের উপর তত্ত্বাবধান-প্রাপ্ত ব্যাংকগুলো সেই নির্ভরতা কীভাবে পরিচালনা করে তার ওপর সংশ্লিষ্ট তত্ত্বাবধান প্রত্যাশার মুখোমুখি হয়।
সার্বভৌম ক্লাউড কি DORA Article 28 চুক্তিগত বিষয়বস্তুর প্রয়োজন দূর করে?
না। সার্বভৌম ক্লাউড Schrems II + ডেটা-রেসিডেন্সি মাত্রায় উত্তর দেয়; DORA Article 28 চুক্তিগত বিষয়বস্তু একটি পৃথক বাধ্যবাধকতা যা ডেটা কোথায় থাকে তা নির্বিশেষে প্রযোজ্য। সার্বভৌম-ক্লাউড প্রদাতার চুক্তিকে এখনও Article 28 অনুযায়ী ডেটা অ্যাক্সেসযোগ্যতা, নিরাপত্তা, রেসিডেন্সি, অডিট অধিকার, এক্সিট কৌশল এবং ধারাবাহিকতা আবৃত করতে হবে।
DORA ক্লাউড স্থিতিস্থাপকতা প্রদর্শনের ইঞ্জিনিয়ারিং ডেলিভারেবল কী?
পাঁচটি প্ল্যাটফর্ম ইঞ্জিনিয়ারিং প্রিমিটিভ যুক্ত: Kubernetes পেভড রোড (পলিসি-নিয়ন্ত্রিত বিচ্যুতিসহ ম্যানেজড ক্লাস্টার), Backstage-স্টাইল ডেভেলপার পোর্টাল (Article 8 রেজিস্টারের সঙ্গে সমন্বিত ক্যাটালগ), GitOps ডিপ্লয়মেন্ট (ArgoCD বা Flux), অ্যাডমিশনে Open Policy Agent, এন্ড-টু-এন্ড OpenTelemetry। পরীক্ষার সময়ের পরিবর্তে পাইপলাইনের গতিতে প্রমাণ।
এক্সিট এক্সিকিউশন কত ঘন ঘন পরীক্ষা করা প্রয়োজন?
একটি মনোনীত CTPP-নির্ভর প্রতি CIF-এর জন্য বার্ষিক এন্ড-টু-এন্ড এক্সিট-এক্সিকিউশন পরীক্ষা। টেবিলটপ অনুশীলন ও দলিল পর্যালোচনা যথেষ্ট নয়। পরীক্ষাটি BIA-উদ্ভূত RTO ও RPO লক্ষ্যের বিপরীতে পরিমাপকৃত টাইম-টু-রিস্টোর, ডেটা-পোর্টেবিলিটি প্রমাণ, কার্যকরী সমতুল্যতা এবং ব্যয় প্রমাণ তৈরি করতে হবে।
তথ্যসূত্র #
- European Union, (২০২২)। Regulation (EU) 2022/2554 — Digital Operational Resilience Act (DORA) ⧉।
- European Banking Authority, (২০১৯)। EBA/GL/2019/02 — Guidelines on outsourcing arrangements ⧉।
- European Banking Authority, (২০২৬)। Digital Operational Resilience Act ⧉।
- European Supervisory Authorities, (২০২৪)। Final Report on the ITS on the Register of Information under DORA ⧉।
- ECB Banking Supervision, (২০২৫)। Supervisory priorities 2026-28 ⧉।
- European Central Bank, (২০২৪)। TIBER-EU framework ⧉।
- ENISA, (২০২৪)। EU Cybersecurity Scheme for Cloud Services (EUCS) ⧉।
- Spotify, (২০২০-২০২৪)। Backstage developer portal ⧉।
- Cloud Native Computing Foundation, (২০১৮)। Open Policy Agent (OPA) ⧉।
- Cloud Native Computing Foundation, (২০১৯)। OpenTelemetry ⧉।
সর্বশেষ পর্যালোচনা ।
সর্বশেষ পর্যালোচনা .