२०२६ मधील क्लाउड नेटिव्ह बँकिंग निर्देशांक: DORA, प्लॅटफॉर्म अभियांत्रिकी, सार्वभौम क्लाउड आणि परिचालन लवचिकता
२०२६ मधील क्लाउड-नेटिव्ह बँकिंग हे DORA ऑडिट टप्प्यात आहे. नियमन (EU) 2022/2554 ⧉ हे १७ जानेवारी २०२५ पासून अंमलात आहे. कलम २८-४४ अंतर्गत गंभीर तृतीय-पक्ष प्रदाता (CTPP) नामनिर्देशन प्रणाली २०२५-२०२६ दरम्यान उघडत आहे, आणि AWS, Microsoft (Azure), Google (GCP) व Salesforce हे नामनिर्देशन परिघाच्या आत किंवा जवळ आहेत. युरोपियन पर्यवेक्षी प्राधिकरणांनी (EBA, EIOPA, ESMA) माहितीची नोंदवही ⧉ वरील अंतिम RTS आणि ITS २०२४ मध्ये प्रकाशित केले. ECB बँकिंग पर्यवेक्षण संघाकडे २०२६-२८ पर्यवेक्षी प्राधान्यक्रम ⧉ मध्ये क्लाउड-व्यत्यय सज्जता आणि धोका-आधारित प्रवेश चाचणीवर स्पष्ट कार्यक्रम आहेत. संस्थात्मक प्रश्न हा नाही की क्लाउड धोरण DORA शी संरेखित करायचे की नाही — तो निकाली निघाला आहे — तर प्रश्न हा आहे की संस्थेची प्लॅटफॉर्म-अभियांत्रिकी मूलतत्त्वे परीक्षेच्या आठवडाभर आधी जमवलेल्या PDF मध्ये नव्हे तर तैनाती पाइपलाइनच्या वेगाने पुरावा तयार करतात का.
कार्यकारी सारांश / प्रमुख मुद्दे
- १७ जानेवारी २०२५ पासून DORA क्लाउड लवचिकता सक्रिय अंमलबजावणीत. कलम ६, ८, १८, २६ आणि २८-४४ सर्व अंमलात. पहिल्या परीक्षा लाटेतील पर्यवेक्षी निष्कर्ष २०२५ च्या चौथ्या तिमाहीत आले. "तयारी" ही मांडणी दोन चक्रे मागे आहे.
- CTPP नामनिर्देशन प्रणाली उघडत आहे. AWS, Microsoft, Google, Salesforce — आत किंवा जवळ. नामनिर्देशनामुळे ESAs ला माहिती विनंत्या, स्थळ-तपासण्या आणि पर्यवेक्षी शिफारशींसह थेट देखरेख अधिकार मिळतात.
- प्लॅटफॉर्म अभियांत्रिकी हे वितरणीय आहे. Kubernetes पेव्ह्ड रोड्स (EKS / AKS / GKE / OpenShift), Backstage-शैलीचे डेव्हलपर पोर्टल, GitOps (ArgoCD किंवा Flux), अॅडमिशनवर Open Policy Agent, संपूर्णभर OpenTelemetry. पाच नामित मूलतत्त्वे; यापैकी काहीही गहाळ म्हणजे एक निष्कर्ष.
- सार्वभौम क्लाउड हे अभियांत्रिकी आहे, ब्रँडिंग नाही. AWS European Sovereign Cloud, Microsoft EU Data Boundary, Bleu (Capgemini + Orange + Microsoft), Thales / S3NS, Oracle EU Sovereign Cloud — प्रत्येकी एका विशिष्ट Schrems II + DORA कलम २८ परिमाणाला संबोधित करते; कोणतेही तयार-उत्तर नाही.
- चाचणी केलेला निर्गमन पुरावा आवश्यक. EBA/GL/2019/02 परिच्छेद ८१ आणि ११३-११७. त्रैमासिक टेबलटॉप अपुरे आहे; पर्यवेक्षक प्रत्येक गंभीर किंवा महत्त्वाच्या कार्यासाठी दरवर्षी संपूर्ण निर्गमन-अंमलबजावणी चाचणीची अपेक्षा करतात.
- RTO / RPO CIF यादीतून. श्रेणी १: २ता / १५मिनि. श्रेणी २: ४ता / १ता. श्रेणी ३: २४ता / ४ता. व्यवसाय-प्रभाव विश्लेषणातून निष्पन्न, प्लॅटफॉर्म-संघाच्या क्षमतेतून नव्हे.
DORA क्लाउड लवचिकता ऑडिट टप्प्यात का आहे
२०२६ मध्ये "तयारी" ही मांडणी चुकीची असण्याची तीन कारणे.
पहिले, कालक्रम. DORA डिसेंबर २०२२ मध्ये प्रकाशित झाले. २४-महिन्यांचा अंमलबजावणी कालावधी १७ जानेवारी २०२५ रोजी संपला. ESAs चे अंतिम RTS आणि ITS — CTPP नामनिर्देशनासाठी वापरल्या जाणाऱ्या माहितीच्या नोंदवहीवरील ITS सह — २०२४ दरम्यान प्रकाशित झाले. पर्यवेक्षी परीक्षांची पहिली लाट २०२५ भर चालली; कलम ६ ICT जोखीम-व्यवस्थापन आराखडा पूर्णतेवर आणि कलम ८ नोंदवही समेटावरील निष्कर्ष अनेक श्रेणी-१ संस्थांमध्ये २०२५ च्या चौथ्या तिमाहीत आले.
दुसरे, CTPP नामनिर्देशन प्रणाली. कलम ३१ गंभीर तृतीय-पक्ष प्रदाता म्हणून नामनिर्देशनाचे निकष निश्चित करते: अपयशाच्या बाबतीत प्रणालीगत परिणाम, पुरवलेल्या सेवांची गंभीरता, सेवांचे प्रमाण आणि गुंतागुंत, प्रतिस्थापनक्षमता. ESAs नोंदवही राखतात आणि नामनिर्देशन निर्णय प्रकाशित करतात. AWS, Microsoft (Azure), Google (GCP) आणि Salesforce प्रत्येक सदस्य-राज्यानुसार वित्तीय-सेवा बाजारपेठेतील हिश्श्यावर अवलंबून नामनिर्देशन परिघाच्या आत किंवा जवळ आहेत. नामनिर्देशनामुळे मुख्य देखरेखकर्त्याला (ESAs पैकी एक, प्रति प्रदाता वाटप केलेला) थेट देखरेख अधिकार मिळतात: कलम ३७ अंतर्गत माहिती विनंत्या, कलम ३८ अंतर्गत स्थळ-तपासण्या, कलम ३५ अंतर्गत शिफारशी आणि कलम ४१ अंतर्गत सार्वजनिक-प्रकटीकरण प्रणाली. त्या CTPPs वर पर्यवेक्षित बँकांवर, त्या नामनिर्देशित अवलंबित्वाचे व्यवस्थापन कसे करतात यावर संबंधित पर्यवेक्षी अपेक्षा लागू होतात.
तिसरे, ECB चे २०२६-२८ पर्यवेक्षी प्राधान्यक्रम. प्राधान्यक्रम दस्तऐवजात क्लाउड-नेटिव्ह बँकिंगवर थेट परिणाम करणारे दोन स्पष्ट कार्यक्रम नमूद आहेत: मोठ्या क्लाउड-सेवा व्यत्ययासाठी सज्जता (प्रारूपित पर्यवेक्षी परिस्थिती नामनिर्देशित CTPP च्या दीर्घकालीन खंडाला सहन करण्याच्या संस्थेच्या क्षमतेची चाचणी घेतात) आणि TIBER-EU-संरेखित TLPT (प्रत्येक TIBER-EU अभ्यास संस्थेच्या गंभीर व महत्त्वाच्या कार्यांचा आवाका ठरवतो, ज्यात आता सार्वजनिक-क्लाउड-होस्टेड सेवांचा समावेश आहे). २०२६ ची परीक्षा लाट या दोन्हींवर निष्कर्ष तयार करेल.
२०२६ ची मांडणी "DORA येत आहे" अशी नाही; ती अशी आहे की "DORA परीक्षा निष्कर्ष तुमच्या संस्थेच्या टपालपेटीत येत आहेत, आणि २०२४-२०२५ दरम्यान तुम्ही घेतलेले प्लॅटफॉर्म-अभियांत्रिकी निर्णय हेच त्या निष्कर्षांमध्ये पर्यवेक्षक तपासतो."
२०२६ निर्देशांक स्थापत्य
| निर्देशांक स्तर | "सज्ज" कसे दिसते | सज्जता मापदंड | अपयश प्रकार |
|---|---|---|---|
| प्लॅटफॉर्म परिपक्वता | >८०% कार्यभार पेव्ह्ड-रोड Kubernetes प्लॅटफॉर्मवर (EKS / AKS / GKE / OpenShift) पॉलिसी-अॅज-कोड अॅडमिशन, GitOps तैनाती, स्वयंचलित DR चाचणीसह | पेव्ह्ड-रोड प्लॅटफॉर्मवरील CIFs चे %; छाया-तैनाती संख्या; नवीन सेवा प्लॅटफॉर्मवर आणण्याचा सरासरी वेळ | विसंगत नियंत्रणांसह छाया प्लॅटफॉर्म; कलम ८ नोंदवही समेटास अदृश्य असलेल्या न-पेव्ह्ड पायाभूत संरचनेवर चालणारे CIFs |
| कलम ८ नोंदवही अखंडता | माहितीची नोंदवही प्लॅटफॉर्मच्या तृतीय-पक्ष API वापर + क्लाउड-बिल-ऑफ-मटेरियल्सशी आपोआप समेट होते; गंभीरता वर्गीकरण संस्थेच्या CIF यादीशी सुसंगत | प्लॅटफॉर्म टेलिमेट्रीशी समेट झालेल्या नोंदवही नोंदींचे %; अनाथ-नोंद संख्या; CTPP-परिघ अखंडता तपासणी | संस्थेने कलम ८ अंतर्गत उघड न केलेले नामनिर्देशित CTPP अवलंबित्व ESAs ओळखते; वैयक्तिक निष्कर्ष आणि CTPP-परिघ परिणाम |
| क्लाउड केंद्रीकरण | गंभीर कार्ये क्लाउड प्रदात्यांशी आणि उप-क्लाउड क्षेत्रांशी आणि सेवांशी आणि प्रतिस्थापनक्षमता मूल्यांकनाशी नकाशीत; CIF-आंतर सहसंबंधित संपर्क परिमाणित | प्रति CIF केंद्रीकरण गुण; एक नामनिर्देशित CTPP क्षेत्र सामायिक करणाऱ्या CIFs मधील सहसंबंधित संपर्क | एकच AWS us-east-1 IAM खंड चार CIFs खाली आणतो जे संस्थेला स्वतंत्रपणे संसाधित वाटत होते |
| चाचणी केलेली निर्गमन क्षमता | नामनिर्देशित CTPP वर अवलंबून प्रत्येक CIF साठी दरवर्षी संपूर्ण निर्गमन अंमलबजावणी चाचणी; दस्तऐवजीकृत RTO / RPO BIA-निष्पन्न लक्ष्यांची पूर्तता करते; डेटा-पोर्टेबिलिटी मार्ग चाचणी केलेला | प्रति CIF चाचणी उत्तीर्ण दर; RTO लक्ष्याविरुद्ध सरासरी निर्गमन-अंमलबजावणी वेळ; डेटा-पोर्टेबिलिटी मार्ग विलंब | केवळ PDF म्हणून अस्तित्वात असलेली निर्गमन योजना; टेबलटॉप ४ता RTO म्हणतो, प्रत्यक्ष चाचणी पहिल्या प्रयत्नात ४८ता दाखवते |
| निरीक्षणक्षमता + घटना अहवाल | सेवांमध्ये संपूर्णभर OpenTelemetry ट्रेस; घटना-व्यवस्थापन प्लॅटफॉर्ममध्ये जोडलेला स्वयंचलित कलम १८ ४-तास वर्गीकरण साहाय्यक | OTel ट्रेसने व्यापलेल्या CIF रहदारीचे %; घटना शोधापासून कलम १८ वर्गीकरण निर्णयापर्यंतचा सरासरी वेळ | गंभीरता निश्चितीसाठी त्रिवारण बैठक आवश्यक असल्याने मोठी घटना ४-तासांच्या खिडकीबाहेर वर्गीकृत; कलम १८ निष्कर्ष |
| TLPT एकीकरण | TLPT आवाका CIF यादीतून निष्पन्न आणि सतत नूतनीकृत; निष्कर्ष प्लॅटफॉर्म पॉलिसी-अॅज-कोडमध्ये परत जातात; बंद निष्कर्ष पर्यवेक्षी-सज्ज पुरावा पॅकेट तयार करतात | TLPT निष्कर्ष बंद होण्याचा दर; निष्कर्ष-ते-पॉलिसी-अद्ययावत चक्र वेळ | TLPT अशी असुरक्षा शोधते जी संस्थेचा प्लॅटफॉर्म-अभियांत्रिकी संघ दोन रिलीज चक्रांपेक्षा कमी वेळात दुरुस्त करू शकत नाही |
मागोवा घेण्यासारखे सध्याचे संकेत
| संकेत | बँकांसाठी याचा अर्थ | स्रोत |
|---|---|---|
| १७ जानेवारी २०२५ पासून DORA सक्रिय अंमलबजावणीत | पहिल्या-लाटेतील पर्यवेक्षी निष्कर्ष २०२५ च्या चौथ्या तिमाहीत आले; दुसऱ्या-लाटेतील निष्कर्ष २०२६ च्या उत्तरार्धात अपेक्षित | EUR-Lex ⧉ |
| २०२५-२०२६ दरम्यान CTPP नामनिर्देशन उघडत आहे | AWS, Microsoft, Google, Salesforce परिघाच्या आत किंवा जवळ; नामनिर्देशन ESAs ला थेट देखरेख अधिकार देते | EBA ⧉ |
| ECB २०२६-२८ पर्यवेक्षी प्राधान्यक्रम क्लाउड व्यत्यय स्पष्टपणे नमूद करतात | प्रारूपित पर्यवेक्षी परिस्थिती दीर्घकालीन नामनिर्देशित-CTPP खंड सहन करण्याच्या क्षमतेची चाचणी घेतात | ECB बँकिंग पर्यवेक्षण ⧉ |
| TIBER-EU DORA कलम २६ शी संरेखित | TLPT आवाका क्लाउड-होस्टेड सेवांसह गंभीर / महत्त्वाची कार्ये व्यापतो | ECB TIBER-EU ⧉ |
| EBA आउटसोर्सिंग मार्गदर्शक तत्त्वे (EBA/GL/2019/02) DORA कलम २८ शी जोडलेली | ठोस उपस्थिती (¶६४), प्रतिस्थापनक्षमता मूल्यांकन (¶८१), निर्गमन धोरण (¶११३-११७) — पर्यवेक्षक ज्या परिच्छेदांची प्रत्यक्ष चाचणी घेतात | EBA ⧉ |
| EU क्लाउड सेवा योजना (EUCS) मसुदा पुढे जात आहे | EU सायबरसुरक्षा कायद्याअंतर्गत भावी सार्वभौम-क्लाउड प्रमाणन योजना; ENISA-प्रकाशित मसुदा | ENISA EUCS ⧉ |
प्लॅटफॉर्म अभियांत्रिकी: पाच नामित मूलतत्त्वे
२०२६ मधील क्लाउड-नेटिव्ह परिपक्वता पाच अभियांत्रिकी मूलतत्त्वांपर्यंत आटोक्यात येते, जी तैनाती पाइपलाइनच्या वेगाने पर्यवेक्षी पुरावा तयार करण्यासाठी परस्पर जोडलेली आहेत. यापैकी कोणतेही एक गहाळ असणे म्हणजे घडण्याच्या तयारीत असलेला एक निष्कर्ष.
१. Kubernetes-आधारित पेव्ह्ड रोड्स
प्रत्येक CIF व्यवस्थापित Kubernetes प्लॅटफॉर्मवर चालतो — नामनिर्देशित CTPP वर EKS, AKS, GKE किंवा OpenShift, किंवा विक्रेता-व्यवस्थापित पर्याय. प्लॅटफॉर्म संघ नियंत्रित विचलनासह एकच सुवर्ण-क्लस्टर नमुना चालवतो: दस्तऐवजीकृत मूळ प्रतिमेतील नोड्स; प्रति-संघ नेमस्पेस विलगीकरण; pod-security-standards-restricted प्रोफाइल; नेटवर्क धोरणे; आंतर-सेवा प्रमाणीकरण व निरीक्षणक्षमतेसाठी सर्व्हिस-मेश इंजेक्शन (Istio किंवा Linkerd). नवीन सेवा एका टेम्प्लेटेड ऑनबोर्डिंग वर्कफ्लोद्वारे पेव्ह्ड रोडमध्ये सामील होतात, जो कलम ८ नोंदवही नोंद तैनाती कलाकृती म्हणून तयार करतो.
२. Backstage-शैलीचे डेव्हलपर पोर्टल
एक केंद्रीय डेव्हलपर पोर्टल — Spotify चे ओपन-सोर्स Backstage ⧉ हे संदर्भ अंमलबजावणी आहे, विविध एंटरप्राइझ पर्यायांसह — काय कुठे चालते याची नोंद-प्रणाली पुरवते. कॅटलॉगमध्ये प्रत्येक सेवा, मालक, अवलंबित्व, गंभीरता वर्गीकरण, रनबुक, ऑन-कॉल आवर्तन यादीबद्ध केले जाते. पोर्टल कलम ८ नोंदवहीशी जोडलेले असते: प्रत्येक कॅटलॉग नोंद एका नोंदवही नोंदीशी नकाशीत होते; नोंदवही संदर्भांशिवाय नोंदी CI अपयश घडवतात; कॅटलॉग उपस्थितीशिवाय नोंदवही नोंदी पर्यवेक्षक-आधी सूचना घडवतात.
३. ArgoCD किंवा Flux द्वारे GitOps तैनाती
उत्पादन तैनाती एका GitOps नियंत्रकाद्वारे चालते — ArgoCD किंवा Flux हे २०२६ मधील उत्पादन मानक आहे — जो Git-आवृत्तीकृत घोषणात्मक स्थितीचा चालू क्लस्टरशी समेट करतो. हाताने kubectl apply अक्षम केलेले असते; उत्पादनाकडे जाण्याचा एकमेव मार्ग म्हणजे विलीन झालेला पुल रिक्वेस्ट. Git भांडार हे लेखापरीक्षण मागोवा आहे; "मला Y तारखेला X सेवेची संरचना दाखवा" असे विचारणाऱ्या पर्यवेक्षकांना स्क्रीनशॉट नव्हे तर Git टॅग मिळतो.
४. अॅडमिशनवर Open Policy Agent
Open Policy Agent (OPA) प्लॅटफॉर्म धोरण अंमलात आणत क्लस्टर अॅडमिशन साखळीत बसतो: pod-security प्रोफाइल अनुपालन, प्रतिमा उगमस्थान, संसाधन मर्यादा, नेटवर्क-धोरण उपस्थिती, गंभीरता-श्रेणी-योग्य प्रतिकृतीकरण, सार्वभौम-क्लाउड मर्यादांखाली उप-क्षेत्र स्थान. धोरणे Git-आवृत्तीकृत असतात आणि सेवा संरचनांसोबत बदल-व्यवस्थापित असतात. नाकारलेल्या तैनात्या पुनरावलोकनयोग्य कारणे तयार करतात जी बदल-व्यवस्थापन पुरावा पॅकेटात जातात.
५. संपूर्णभर OpenTelemetry
प्रत्येक सेवा OpenTelemetry ट्रेस, मेट्रिक्स आणि लॉग उत्सर्जित करते. प्लॅटफॉर्म संघ एक केंद्रीकृत निरीक्षणक्षमता पाइपलाइन चालवतो — साधारणतः ट्रेससाठी Tempo किंवा Jaeger, मेट्रिक्ससाठी Prometheus, लॉगसाठी Loki किंवा OpenSearch — जी संपूर्णभर CIF आरोग्य, अवलंबित्व नकाशीकरण आणि घटना-वर्गीकरण निविष्ट उघड करते. ४-तास कलम १८ वर्गीकरण खिडकी शोधापासून सुरू होते; OTel पाइपलाइन शोधापासून वर्गीकरणापर्यंतचा मार्ग त्रिवारण बैठकीऐवजी एका क्वेरीयोग्य शोधापर्यंत लहान करते.
सार्वभौम क्लाउड अभियांत्रिकी म्हणून, ब्रँडिंग म्हणून नव्हे
२०२६ मधील सार्वभौम-क्लाउड धोरणाने चार विशिष्ट Schrems II + DORA + EBA आउटसोर्सिंग प्रश्नांची उत्तरे दिली पाहिजेत:
- डेटा कुठे प्रक्रिया आणि संग्रहित केला जातो? EU सदस्य-राज्य स्थान; उच्च-गंभीरता प्रवाहांसाठी उप-क्षेत्र; लेखी डेटा निवास वचनबद्धता.
- डेटावर कोणाला कायदेशीर प्रवेश आहे? केवळ-स्थानिक-कर्मचारी परिचालन; स्थानिक-न्यायालय प्रक्रियेच्या अधीन विदेशी-सरकारी प्रवेश विनंत्या; कायदेशीर-प्रवेश विनंत्यांना चाचणी केलेला प्रतिसाद.
- प्रतिस्थापनक्षमता प्रोफाइल काय आहे? EBA/GL/2019/02 ¶८१ प्रतिस्थापनक्षमता मूल्यांकन; चाचणी केलेली निर्गमन-अंमलबजावणी; पर्यायी प्रदाता ओळखलेला आणि करारबद्ध (किंवा का शक्य नाही याचे दस्तऐवजीकरण).
- तांत्रिक सार्वभौमत्व प्रारूप काय आहे? ग्राहक-नियंत्रित की; क्रिप्टोग्राफिक विलगीकरण; सार्वभौम व्यवस्थापन विमान; लेखापरीक्षणयोग्य पुरवठा साखळी.
या प्रश्नांना संबोधित करणारे २०२६ चे विक्रेता पर्याय:
- AWS European Sovereign Cloud (२०२३ मध्ये घोषित, GA २०२६ च्या उत्तरार्धात अपेक्षित): EU-निवासी AWS उपकंपनीद्वारे चालवलेले भौतिक क्षेत्र; EU-निवासी परिचालन आणि समर्थन; KMS-XKS नमुन्याद्वारे ग्राहक-नियंत्रित की. २०२६ मध्ये DORA कलम २८ कराराच्या आशयाशी संरेखन प्रलंबित.
- Microsoft EU Data Boundary (GA २०२४) + Bleu (Capgemini + Orange + Microsoft, फक्त-फ्रान्स): Data Boundary EU ग्राहक डेटा EU क्षेत्रांमध्ये ठेवते; Bleu हे फ्रेंच परिचालन नियंत्रणाखाली Microsoft Azure स्टॅक चालवणारे SecNumCloud-संरेखित फ्रेंच सार्वभौम क्लाउड आहे.
- Google Cloud सार्वभौम भागीदारी: फ्रान्समध्ये Thales / S3NS (Bleu समकक्ष); जर्मनीत T-Systems.
- Oracle EU Sovereign Cloud (GA २०२३): EU-निवासी परिचालनासह द्वि-क्षेत्र नमुना (फ्रँकफर्ट + माद्रिद); स्वच्छपणे Schrems II-अनुपालित.
- Gaia-X-संरेखित प्रदाते (OVHcloud, Scaleway, Stackit, Aruba Cloud, IONOS): Gaia-X लेबलिंगसह मूळ-EU प्रदाते; हायपरस्केलर्सपेक्षा लहान प्रमाण आणि परिसंस्था, पण Foreign Intelligence Surveillance Act संपर्क नाही.
धोरणात्मक निर्णय क्वचितच द्विअंकी असतो. श्रेणी-१ बँका सहसा बहुतांश कार्यभारांसाठी हायपरस्केलर-सह-Data-Boundary संरचना, नामनिर्देशित उच्च-संवेदनशीलता प्रवाहांसाठी एक सार्वभौम-क्लाउड पर्याय (उदा. EU-निवासी वैयक्तिक डेटा हाताळणारी AML / निर्बंध केस-व्यवस्थापन प्रणाली), आणि DORA कलम २८ अंतर्गत दरवर्षी चाचणी केलेला आकस्मिक-प्रतिस्थापनक्षमता मार्ग चालवतात.
चाचणी केलेली निर्गमन अंमलबजावणी
EBA/GL/2019/02 ⧉ चे परिच्छेद ११३-११७ हे निर्गमन-धोरण तरतुदी आहेत. काय आवश्यक आहे याबद्दल मजकूर स्पष्ट आहे: "संस्था आणि पेमेंट संस्थांनी हे सुनिश्चित केले पाहिजे की त्या आपल्या व्यवसाय क्रियाकलापांमध्ये अवाजवी व्यत्यय न आणता आउटसोर्सिंग व्यवस्थांमधून बाहेर पडू शकतात… निर्गमन धोरणे आउटसोर्सिंग व्यवस्थांच्या नियमित पुनरावलोकनांचा भाग म्हणून दस्तऐवजीकृत आणि चाचणी केली पाहिजेत."
२०२६ मधील पर्यवेक्षी अपेक्षा म्हणजे नामनिर्देशित CTPP वर अवलंबून प्रत्येक CIF साठी दरवर्षी संपूर्ण निर्गमन-अंमलबजावणी चाचणी. टेबलटॉप अभ्यास आणि दस्तऐवज पुनरावलोकने अपुरी आहेत. चाचणीने पुढील गोष्टी तयार केल्या पाहिजेत:
- पुनर्स्थापना-वेळ मोजमाप: निर्गमन घोषणेपासून पर्यायी प्रदात्यावर कार्यभार पुनर्स्थापनेपर्यंतचा प्रत्यक्ष गेलेला वेळ, BIA-निष्पन्न RTO लक्ष्याविरुद्ध.
- डेटा-पोर्टेबिलिटी पुरावा: प्राथमिकातून चाचणी केलेला डेटा निर्यात, गंतव्य प्रदात्याच्या आयात मार्गाविरुद्ध पडताळलेला, समेट पुराव्यासह.
- कार्यात्मक समकक्षता: समकक्ष SLOs सह पर्यायी प्रदात्यावर चालणारा चाचणी केलेला कार्यभार.
- खर्च पुरावा: संस्थेच्या आकस्मिक नियोजनातील पुनर्स्थापना-खर्च गृहीतकाविरुद्ध दस्तऐवजीकृत निर्गमन-अंमलबजावणी खर्च.
एखाद्या CIF साठी संपूर्ण निर्गमन चाचणीचा पहिला प्रयत्न सहसा दस्तऐवजीकृत RTO आणि प्रत्यक्ष RTO यांच्यात ५-१०× दरी उघड करतो. ती दरी बंद करणे हे महिने लागणारे अभियांत्रिकी कार्य आहे. स्वतःच्या वार्षिक चाचणी चक्रादरम्यान नव्हे तर पर्यवेक्षी तपासणीदरम्यान हे शोधणाऱ्या बँकांना त्या तिसऱ्या तिमाहीच्या निष्कर्ष चक्राला सामोरे जावे लागते जे त्या टाळू शकल्या असत्या.
CIF यादीतून RTO / RPO लक्ष्ये
प्रत्येक गंभीर किंवा महत्त्वाचे कार्य संस्थेच्या व्यवसाय-प्रभाव विश्लेषणातून निष्पन्न झालेल्या श्रेणी वर्गीकरणाशी नकाशीत होते. ही श्रेणी RTO आणि RPO लक्ष्ये चालवते जी वितरित करण्यासाठी प्लॅटफॉर्म अभियांत्रिकी संघ वचनबद्ध होतो.
| श्रेणी | उदाहरणे | RTO | RPO |
|---|---|---|---|
| श्रेणी १ (अत्यावश्यक) | RTGS संपर्क (CHAPS / T2 / Fedwire), किरकोळ पेमेंट प्राधिकरण, डिजिटल वाहिन्यांसाठी ग्राहक प्रमाणीकरण | २ तास | १५ मिनिटे |
| श्रेणी २ (गंभीर) | AML / निर्बंध तपासणी, फसवणूक-शोध पाइपलाइन, ATM प्राधिकरण, बॅच पेमेंट प्रक्रिया | ४ तास | १ तास |
| श्रेणी ३ (महत्त्वाचे) | अहवाल आणि नियामक सादरीकरण, ग्राहक-केंद्रित ज्ञानकोश, अंतर्गत सहयोग प्लॅटफॉर्म | २४ तास | ४ तास |
| श्रेणी ४ (गैर-गंभीर) | अंतर्गत HR प्रणाली, विपणन साधने, गैर-ग्राहक-केंद्रित अहवाल | ७२ तास | २४ तास |
हे आकडे दृष्टान्तात्मक आहेत — संस्थेचे BIA स्वतःचे तयार करते. प्लॅटफॉर्म अभियांत्रिकी वितरणीय म्हणजे BIA-निष्पन्न लक्ष्ये पूर्ण करण्याची प्रतिगमन-चाचणी केलेली क्षमता, जी प्रति सेवा स्वयंचलित DR चाचणीद्वारे पुराव्यासह दाखवली जाते आणि CTPP-अवलंबित CIFs साठी वार्षिक निर्गमन-अंमलबजावणी चाचणीद्वारे पडताळली जाते.
बँक प्रकारानुसार याचा अर्थ काय
जागतिक प्रणालीगत महत्त्वाच्या बँका
कठीण समस्या म्हणजे व्यवसाय शाखांमध्ये प्रमाण: हजारो सेवा, शेकडो CIFs, उत्पादने, अधिकारक्षेत्रे आणि लवचिकता प्रोफाइलांमध्ये अनेक नामनिर्देशित-CTPP संपर्क. गुंतवणूक म्हणजे केंद्रीय प्लॅटफॉर्म-अभियांत्रिकी क्षमता — Kubernetes पेव्ह्ड रोड्स, Backstage पोर्टल, GitOps, OPA, OTel — जी प्रति-व्यवसाय-शाखा वैयक्तिक बांधकामाशिवाय कलम ८ नोंदवही समेट, CTPP केंद्रीकरण नकाशा आणि CIF-दर-CIF निर्गमन-अंमलबजावणी क्षमता तयार करते.
सार्वत्रिक आणि मध्यम-आकाराच्या बँका
या श्रेणीवर प्लॅटफॉर्म-अभियांत्रिकी गुंतवणूक न्याय्य आहे पण आवाका मर्यादित आहे: दोन किंवा तीन सर्वोच्च-गंभीरता CIFs निवडा, त्यांच्याभोवती पेव्ह्ड-रोड नमुना बांधा, मध्यम-मुदतीसाठी वारसा संपत्ती विद्यमान नियंत्रणांवर चालू राहू द्या. प्लॅटफॉर्म व्याप्तीपेक्षा पर्यवेक्षी स्थान अधिक महत्त्वाचे आहे — शीर्ष तीन CIFs साठी DORA कलम ८ नोंदवही अखंडता आणि चाचणी केलेला निर्गमन पुराव्यासह दाखवता येणे पर्यवेक्षकाच्या प्राथमिक चिंता व्यापते.
प्रादेशिक आणि लहान बँका
अंतर्गत बांधकामापेक्षा विक्रेता निवड. अशा बँकिंग-प्लॅटफॉर्म विक्रेत्याची निवड करा ज्याचे Kubernetes-नेटिव्ह स्थापत्य दस्तऐवजीकृत आहे, ज्याचे कलम ८ नोंदवही एकीकरण अंगभूत आहे, आणि ज्याच्या DORA कलम २८ कराराच्या आशय वचनबद्धता स्पष्ट आहेत. अंतर्गत अभियांत्रिकी क्षमता संरचना, निरीक्षण आणि घटना प्रतिसादाभोवती असते — प्लॅटफॉर्म बांधकामाभोवती नव्हे.
फिनटेक, PSPs आणि बँकांना सेवा देणारे SaaS प्रदाते
२०२६ मध्ये EU बँकांना विकणाऱ्या विक्रेत्यांसाठी उत्पादन प्रश्न हा आहे की प्लॅटफॉर्म बँकेच्या अनुपालन कार्याला आवश्यक असलेल्या कलम ८ नोंदवही नोंदी आणि DORA कलम २८ कराराचा आशय तयार करतो का. संरचित निर्गमांसह विक्रेते एंटरप्राइझ करार जिंकतात; PDF टेम्प्लेट्ससह विक्रेते संरचित JSON असलेल्या प्रतिस्पर्ध्यांकडे हरतात.
निष्कर्ष
DORA क्लाउड लवचिकता ऑडिट टप्प्यात आहे. २०२४-२०२५ दरम्यान घेतलेले प्लॅटफॉर्म-अभियांत्रिकी निर्णय हेच २०२६ च्या पर्यवेक्षी चक्रात तपासले जातात. २०२६-२०२८ मध्ये ECB आणि EBA ला विश्वासार्ह दिसणाऱ्या संस्था त्या आहेत ज्या Backstage-शैलीच्या पोर्टलांसह Kubernetes पेव्ह्ड रोड्स आणि Open Policy Agent अॅडमिशनखाली GitOps तैनाती संपूर्णभर OpenTelemetry सह चालवतात — कलम ८ नोंदवही पुरावा तैनाती कलाकृती म्हणून आणि चाचणी केलेला निर्गमन-अंमलबजावणी पुरावा पर्यवेक्षी विनंती प्रतिसाद म्हणून नव्हे तर वार्षिक चक्र म्हणून तयार करतात.
ज्या संस्थांनी त्या गुंतवणुका केल्या नाहीत त्यांना दुसरी फेरी येण्यापूर्वी त्यांचा द्वितीय-श्रेणी अनुपालन संघ पहिल्या फेरीतील पर्यवेक्षी निष्कर्ष सामावून घेऊ शकतो का हे कळेल.
प्लॅटफॉर्म कोणत्याही परिचालन कार्यक्रमाप्रमाणे मोजा: पेव्ह्ड-रोड व्याप्ती, नोंदवही समेट दर, CTPP केंद्रीकरण गुण, RTO लक्ष्याविरुद्ध चाचणी केलेला निर्गमन वेळ, कलम १८ वर्गीकरण सरासरी वेळ, TLPT बंद होण्याचा दर. पाइपलाइनच्या वेगाने पुरावा; दस्तऐवज पॅकेट फक्त तेव्हाच जेव्हा पर्यवेक्षक एखादे मागतो.
वारंवार विचारले जाणारे प्रश्न
२०२६ मध्ये DORA क्लाउड लवचिकता अजूनही तयारीच्या टप्प्यात आहे का?
नाही. DORA १७ जानेवारी २०२५ पासून सक्रिय अंमलबजावणीत आहे. कलम २८-४४ अंतर्गत CTPP नामनिर्देशन प्रणाली २०२५-२०२६ दरम्यान उघडत आहे. कलम ६ ICT जोखीम-व्यवस्थापन आणि कलम ८ नोंदवही अखंडतेवरील ECB परीक्षा निष्कर्ष अनेक श्रेणी-१ संस्थांमध्ये २०२५ च्या चौथ्या तिमाहीत आले. २०२६ चा पर्यवेक्षी प्रश्न म्हणजे संस्था-विशिष्ट परीक्षा पुरावा, नियामक सज्जता नव्हे.
कोणते क्लाउड प्रदाते CTPPs म्हणून नामनिर्देशित आहेत?
ESAs त्यांच्या संकेतस्थळांवर नामनिर्देशन निर्णय प्रकाशित करतात. २०२६ मध्ये परिघाच्या आत किंवा जवळ असलेल्या संस्थांमध्ये AWS, Microsoft (Azure), Google (GCP), Salesforce आणि प्रत्येक सदस्य-राज्यानुसार वित्तीय-सेवा बाजारपेठेतील हिश्श्यावर अवलंबून इतर काही मोजक्या संस्था समाविष्ट आहेत. त्या प्रदात्यांवर पर्यवेक्षित बँकांना, त्या अवलंबित्वाचे व्यवस्थापन कसे करतात यावर संबंधित पर्यवेक्षी अपेक्षांना सामोरे जावे लागते.
सार्वभौम क्लाउड DORA कलम २८ कराराच्या आशयाची गरज नाहीशी करतो का?
नाही. सार्वभौम क्लाउड Schrems II + डेटा-निवास परिमाणाला संबोधित करतो; DORA कलम २८ कराराचा आशय हे एक स्वतंत्र बंधन आहे जे डेटा कुठेही असला तरी लागू होते. सार्वभौम-क्लाउड प्रदात्याच्या करारात कलम २८ नुसार डेटा प्रवेशयोग्यता, सुरक्षा, निवास, लेखापरीक्षण अधिकार, निर्गमन धोरणे आणि सातत्य अजूनही व्यापले पाहिजे.
DORA क्लाउड लवचिकता दाखवणारे अभियांत्रिकी वितरणीय काय आहे?
पाच प्लॅटफॉर्म-अभियांत्रिकी मूलतत्त्वे परस्पर जोडलेली: Kubernetes पेव्ह्ड रोड्स (धोरण-नियंत्रित विचलनासह व्यवस्थापित क्लस्टर), Backstage-शैलीचे डेव्हलपर पोर्टल (कलम ८ नोंदवहीशी समेट होणारे कॅटलॉग), GitOps तैनाती (ArgoCD किंवा Flux), अॅडमिशनवर Open Policy Agent, संपूर्णभर OpenTelemetry. परीक्षेच्या वेळी नव्हे तर पाइपलाइनच्या वेगाने पुरावा.
निर्गमन अंमलबजावणीची चाचणी किती वेळा घ्यावी लागते?
नामनिर्देशित CTPP वर अवलंबून प्रत्येक CIF साठी दरवर्षी संपूर्ण निर्गमन-अंमलबजावणी चाचणी. टेबलटॉप अभ्यास आणि दस्तऐवज पुनरावलोकने अपुरी आहेत. चाचणीने पुनर्स्थापना-वेळ, डेटा-पोर्टेबिलिटी पुरावा, कार्यात्मक समकक्षता आणि खर्च पुरावा तयार केला पाहिजे — BIA-निष्पन्न RTO आणि RPO लक्ष्यांविरुद्ध मोजलेला.
संदर्भ
- European Union, (2022). नियमन (EU) 2022/2554 — Digital Operational Resilience Act (DORA) ⧉.
- European Banking Authority, (2019). EBA/GL/2019/02 — आउटसोर्सिंग व्यवस्थांवरील मार्गदर्शक तत्त्वे ⧉.
- European Banking Authority, (2026). Digital Operational Resilience Act ⧉.
- European Supervisory Authorities, (2024). DORA अंतर्गत माहितीच्या नोंदवहीवरील ITS वरील अंतिम अहवाल ⧉.
- ECB Banking Supervision, (2025). पर्यवेक्षी प्राधान्यक्रम २०२६-२८ ⧉.
- European Central Bank, (2024). TIBER-EU आराखडा ⧉.
- ENISA, (2024). क्लाउड सेवांसाठी EU सायबरसुरक्षा योजना (EUCS) ⧉.
- Spotify, (2020-2024). Backstage डेव्हलपर पोर्टल ⧉.
- Cloud Native Computing Foundation, (2018). Open Policy Agent (OPA) ⧉.
- Cloud Native Computing Foundation, (2019). OpenTelemetry ⧉.
शेवटचे पुनरावलोकन .
हा लेख क्रॉस-पोस्ट करा
Medium साठी स्वरूपित कॉपी करा
# २०२६ मधील क्लाउड नेटिव्ह बँकिंग निर्देशांक: DORA, प्लॅटफॉर्म अभियांत्रिकी, सार्वभौम क्लाउड आणि परिचालन लवचिकता — Sebastien Rousseau > Originally published at [https://sebastienrousseau.com/mr/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/](https://sebastienrousseau.com/mr/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/) DORA सज्जता, प्लॅटफॉर्म अभियांत्रिकी परिपक्वता, क्लाउड केंद्रीकरण जोखीम, निर्गमन पुरावा आणि परिचालन लवचिकता मोजण्यासाठी २०२६ चा क्लाउड नेटिव्ह बँकिंग निर्देशांक. Read the full article on sebastienrousseau.com: https://sebastienrousseau.com/mr/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/
Mastodon साठी स्वरूपित कॉपी करा
२०२६ मधील क्लाउड नेटिव्ह बँकिंग निर्देशांक: DORA, प्लॅटफॉर्म अभियांत्रिकी, सार्वभौम क्लाउड आणि परिचालन लवचिकता — Sebastien Rousseau DORA सज्जता, प्लॅटफॉर्म अभियांत्रिकी परिपक्वता, क्लाउड केंद्रीकरण जोखीम, निर्गमन पुरावा आणि परिचालन लवचिकता मोजण्यासाठी २०२६ चा क्लाउड नेटिव्ह बँकिंग निर्देशांक. https://sebastienrousseau.com/mr/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/
LinkedIn साठी स्वरूपित कॉपी करा
२०२६ मधील क्लाउड नेटिव्ह बँकिंग निर्देशांक: DORA, प्लॅटफॉर्म अभियांत्रिकी, सार्वभौम क्लाउड आणि परिचालन लवचिकता — Sebastien Rousseau DORA सज्जता, प्लॅटफॉर्म अभियांत्रिकी परिपक्वता, क्लाउड केंद्रीकरण जोखीम, निर्गमन पुरावा आणि परिचालन लवचिकता मोजण्यासाठी २०२६ चा क्लाउड नेटिव्ह बँकिंग निर्देशांक. येथे मुख्य धोरणात्मक मुद्दे आहेत: - २०२६ मधील क्लाउड नेटिव्ह बँकिंग निर्देशांक: DORA, प्लॅटफॉर्म अभियांत्रिकी, सार्वभौम क्लाउड आणि परिचालन लवचिकता. २०२६ मधील क्लाउड-नेटिव्ह बँकिंग हे DORA ऑडिट टप्प्यात आहे. - DORA क्लाउड लवचिकता ऑडिट टप्प्यात का आहे. २०२६ मध्ये "तयारी" ही मांडणी चुकीची असण्याची तीन कारणे. - मागोवा घेण्यासारखे सध्याचे संकेत. २०२६ मधील क्लाउड-नेटिव्ह परिपक्वता पाच अभियांत्रिकी मूलतत्त्वांपर्यंत आटोक्यात येते, जी तैनाती पाइपलाइनच्या वेगाने पर्यवेक्षी पुरावा तयार करण्यासाठी परस्पर जोडलेली आहेत. - प्लॅटफॉर्म अभियांत्रिकी: पाच नामित मूलतत्त्वे. २०२६ मधील क्लाउड-नेटिव्ह परिपक्वता पाच अभियांत्रिकी मूलतत्त्वांपर्यंत आटोक्यात येते, जी तैनाती पाइपलाइनच्या वेगाने पर्यवेक्षी पुरावा तयार करण्यासाठी परस्पर जोडलेली आहेत. या लेखात मांडलेल्या आव्हानांसाठी तुमच्या संस्थेचा दृष्टिकोन काय आहे? → https://sebastienrousseau.com/mr/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/ #क्लाउडनेटिव्हबँकिंग२०२६ #Doraबँका #क्लाउडकेंद्रीकरणजोखीम #प्लॅटफॉर्मअभियांत्रिकीबँका #Ictतृतीयपक्षजोखीम Sebastien Rousseau | CC-BY-4.0
हा लेख उद्धृत करा
२०२६ मधील क्लाउड नेटिव्ह बँकिंग निर्देशांक: DORA, प्लॅटफॉर्म अभियांत्रिकी, सार्वभौम क्लाउड आणि परिचालन लवचिकता — Sebastien Rousseau
DORA सज्जता, प्लॅटफॉर्म अभियांत्रिकी परिपक्वता, क्लाउड केंद्रीकरण जोखीम, निर्गमन पुरावा आणि परिचालन लवचिकता मोजण्यासाठी २०२६ चा क्लाउड नेटिव्ह बँकिंग निर्देशांक.
BibTeX
@online{rousseau2026२०२६,
author = {Rousseau, Sebastien},
title = {{२०२६ मधील क्लाउड नेटिव्ह बँकिंग निर्देशांक: DORA, प्लॅटफॉर्म अभियांत्रिकी, सार्वभौम क्लाउड आणि परिचालन लवचिकता — Sebastien Rousseau}},
year = {2026},
url = {https://sebastienrousseau.com/mr/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/},
urldate = {2026}
}RIS
TY - GEN AU - Rousseau, Sebastien TI - २०२६ मधील क्लाउड नेटिव्ह बँकिंग निर्देशांक: DORA, प्लॅटफॉर्म अभियांत्रिकी, सार्वभौम क्लाउड आणि परिचालन लवचिकता — Sebastien Rousseau PY - 2026 UR - https://sebastienrousseau.com/mr/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/ ER -
Vancouver
Rousseau S. २०२६ मधील क्लाउड नेटिव्ह बँकिंग निर्देशांक: DORA, प्लॅटफॉर्म अभियांत्रिकी, सार्वभौम क्लाउड आणि परिचालन लवचिकता — Sebastien Rousseau. sebastienrousseau.com. 2026 Jun 5. Available from: https://sebastienrousseau.com/mr/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/
Chicago
Rousseau, Sebastien. "२०२६ मधील क्लाउड नेटिव्ह बँकिंग निर्देशांक: DORA, प्लॅटफॉर्म अभियांत्रिकी, सार्वभौम क्लाउड आणि परिचालन लवचिकता — Sebastien Rousseau." sebastienrousseau.com. June 5, 2026. https://sebastienrousseau.com/mr/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/.
APA
Rousseau, S. (2026, June 5). २०२६ मधील क्लाउड नेटिव्ह बँकिंग निर्देशांक: DORA, प्लॅटफॉर्म अभियांत्रिकी, सार्वभौम क्लाउड आणि परिचालन लवचिकता — Sebastien Rousseau. sebastienrousseau.com. https://sebastienrousseau.com/mr/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/
हा लेख पुनःप्रकाशित करा
२०२६ मधील क्लाउड नेटिव्ह बँकिंग निर्देशांक: DORA, प्लॅटफॉर्म अभियांत्रिकी, सार्वभौम क्लाउड आणि परिचालन लवचिकता — Sebastien Rousseau
DORA सज्जता, प्लॅटफॉर्म अभियांत्रिकी परिपक्वता, क्लाउड केंद्रीकरण जोखीम, निर्गमन पुरावा आणि परिचालन लवचिकता मोजण्यासाठी २०२६ चा क्लाउड नेटिव्ह बँकिंग निर्देशांक.
हा लेख यानुसार परवानाकृत आहे Creative Commons Attribution 4.0 International. पुनःप्रकाशनासाठी कॅनॉनिकल URL ला श्रेय देणे आवश्यक आहे.
२०२६ मधील क्लाउड नेटिव्ह बँकिंग निर्देशांक: DORA, प्लॅटफॉर्म अभियांत्रिकी, सार्वभौम क्लाउड आणि परिचालन लवचिकता — Sebastien Rousseau DORA सज्जता, प्लॅटफॉर्म अभियांत्रिकी परिपक्वता, क्लाउड केंद्रीकरण जोखीम, निर्गमन पुरावा आणि परिचालन लवचिकता मोजण्यासाठी २०२६ चा क्लाउड नेटिव्ह बँकिंग निर्देशांक. Originally published at https://sebastienrousseau.com/mr/2026-06-05-cloud-native-banking-index-dora-resilience-platform-engineering-2026/ by Sebastien Rousseau. Licensed under CC-BY-4.0.
