Введение
SwiftRide N.V. — pre-IPO multi-modal mobility и delivery platform, головной офис Амстердам, основана в 2018. На сегодня (T0 курса) — крупный поздний scale-up без публичной отчётности. Через ~18 месяцев планирует US-листинг (NYSE), с возможным dual-list на Euronext Amsterdam.
SwiftRide — единственная фиктивная компания курса. Все сценарии, KnowledgeCheck-задания, данные практик, примеры evidence — на её данных. Этот урок — definitive reference, к которому возвращайтесь, когда в M3 встретите «SwiftPay должен соответствовать DORA Art. 28» и подумаете «постойте, что такое SwiftPay».
Бизнес-профиль
| Атрибут | Значение |
|---|---|
| Юридическая структура | Холдинг SwiftRide N.V., Нидерланды |
| HQ | Амстердам |
| Год основания | 2018 |
| География | 40 стран в EU, LATAM, MENA, SEA |
| Сотрудников (full-time) | ~3 200 |
| Активных водителей | ~1.2M ежемесячно |
| Активных пользователей | ~38M ежемесячно |
| GMV (TTM) | ~$8.4B |
| net revenue (TTM) | ~$2.1B (take rate ~25%) |
| EBITDA | негативная, путь к точке безубыточности на 12 месяцев |
| Финансирование | Series F (2024), 3.8B |
| Целевой listing | NYSE, июнь 2027; alternative: dual-list NYSE + Euronext Amsterdam |
| Аудитор | Big 4 — назначен Q1 2026 для оценки готовности к pre-IPO |
SwiftRide — пример регулируемого tech: достаточно большая, чтобы регуляторы относились к ней как к финансовой инфраструктуре (особенно через SwiftPay и SwiftCapital); недостаточно зрелая в governance, чтобы это автоматически работало.
Бизнес-юниты
SwiftRide — не монолит, а шесть бизнес-юнитов с разными регуляторными режимами. Это критично: один и тот же data asset может иметь разный CDE-статус в разных БЮ.
Каждый бизнес-юнит — отдельный регуляторный домен. Cross-BU данные требуют отдельной governance
Rides
~70% revenue
Delivery
~22% revenue
Marketplace
driver-side
SwiftPay
wallet & payouts
SwiftCapital
driver lending pilot
SwiftAds
in-app ads
Rides — ride-hailing, основная доля выручки. Регуляции: транспортные лицензии (по странам), страхование, labor classification (gig worker vs employee — открытый вопрос в EU после Platform Work Directive).
Delivery — food delivery + parcel. Регуляции: локальный food-safety, marketplace liability, gig worker classification — те же боли, что у Rides, плюс food-specific (HACCP по запросу в некоторых странах).
Marketplace — приложение со стороны водителя: расписание, earnings ledger, performance-метрики. Регуляторно критичный, потому что driver earnings data — это и tax reporting, и labor compliance, а в US post-IPO ещё и SOX-significant (если material к revenue).
SwiftPay — внутренний wallet водителей и пассажиров; выплаты через банковского партнёра, без собственной EMI-лицензии. Регуляции: PSD2/PSD3, PCI-DSS v4.0.1 PCI DSS v4.0.1, AMLR, DORA DORA apply 17 Jan 2025.
SwiftCapital — пилот по краткосрочному кредитованию водителей (advance against earnings) в 3 странах. Лицензированный non-bank lender. Регуляции: IFRS 9 ECL IFRS 9 5.5, потребительское кредитование (различается по странам), AML.
SwiftAds — программатическая реклама. Регуляции: GDPR Art. 6 (legal basis для targeting), EDPB Opinion 22/2024 (processors), DSA (recommender transparency).
Технологический стек (T0)
Это та точка, с которой курс стартует. Стек реалистичный для позднего scale-up: преимущественно облачный, частично managed, с типичными пробелами late-stage growth (governance отстаёт от engineering).
| Слой | Технологии |
|---|---|
| Сервисы | Go, Python (matching/ML), Kotlin/Swift (mobile), TypeScript (web) |
| Event bus | Apache Kafka (managed через Confluent Cloud), Schema Registry |
| OLTP | PostgreSQL 15 (Aurora), отдельные БД по бизнес-юнитам; CockroachDB для SwiftPay (cross-region) |
| OLAP | Snowflake (основной warehouse), ClickHouse (операционная аналитика) |
| Lakehouse | S3 + Iceberg, Spark на Databricks |
| ELT | Airbyte + dbt Cloud; Airflow для оркестрации |
| BI | Looker (enterprise), Metabase (self-service для dev/data team) |
| ML platform | Vertex AI + кастомный feature store на BigQuery |
| Data catalog | OpenMetadata 1.x (self-hosted) — внедрён в 2025, adoption частичный |
| Lineage | OpenLineage events → Marquez |
| DQ tools | dbt tests (широко), Great Expectations (пилот в SwiftPay) |
| Identity | Okta, Workato для provisioning |
| GRC tooling | пока нет; Workiva запланирован под SOX-readiness |
Обратите внимание: GRC tooling — пусто. Это типичный пробел в готовности к pre-IPO — DG-стек собран, но слой control-evidence-attestation ещё не построен. На этот пробел и направлен весь курс.
Регуляторный охват (обзорно)
В M3 каждый блок ниже раскроется подробно — статьи, effective dates, как читать. Сейчас — обзорная карта.
| Регион | Ключевые регуляции |
|---|---|
| EU (NL + 14 стран) | GDPR, DSA, DGA, Data Act (2025), DORA (для SwiftPay), AMLR/AMLD6, PSD2/PSD3, EU AI Act, NIS2 |
| UK | UK GDPR, FCA (для SwiftPay UK), PRA SS1/23 (для банка-партнёра) |
| US (post-IPO) | SOX 302/404 (после IPO), state privacy (CA CCPA/CPRA, VA, CO, TX), FinCEN BSA/AML (если запустится SwiftPay) |
| LATAM | LGPD (Бразилия), локальные финансовые регуляторы (Mexico, Colombia, Chile) |
| MENA | UAE PDPL, локальные финансовые регуляторы |
| SEA | Локальная data protection (Indonesia, Philippines, Vietnam, Thailand), правила центробанков для SwiftPay |
| Межюрисдикционные | FATF Recommendations, скрининг санкций OFAC + EU, IFRS 9/15/17 (после IPO обязательно для NYSE) |
| AI-специфичные | EU AI Act — high-risk classification возможна для pricing engine (Annex III) и credit scoring SwiftCapital (Annex III) |
Ключевая сложность: SwiftRide одновременно подпадает под:
- US-style SOX / ICFR регуляции (после IPO),
- EU-style пруденциальные регуляции (DORA для SwiftPay, через банк-партнёра — частично BCBS 239),
- EU-style пруденциальные для AI (AI Act high-risk для pricing engine),
- Privacy регуляции (GDPR-flavor в EU, LGPD в Бразилии, CCPA в Калифорнии),
- AML регуляции межюрисдикционные.
Один и тот же data asset (например, KYC profile) попадает в scope GDPR Art. 9 + AMLR + PCI-DSS + (после IPO) SOX. Это не ошибка overlap — это реальность для multi-jurisdiction tech. Курс учит, как этим управлять без 6 параллельных control teams.
Кандидаты в CDE
Этот список — стартовое поле для упражнений M1. В M1 студент проходит criticality scoring и решает, какие из них действительно CDE. На T0 это не CDE — это кандидаты.
| # | Кандидат | Источник критичности |
|---|---|---|
| 1 | Trip records (timestamps, route, fare, surge multiplier) | Revenue recognition, insurance, dispute |
| 2 | Driver earnings ledger (gross, commission, taxes, payout) | Labor regulation, IRS/tax, SOX |
| 3 | Revenue / GMV aggregates | SOX 302/404, investor reporting |
| 4 | Pricing engine outputs (surge multiplier, rider price, driver pay) | EU AI Act high-risk, DSA transparency, antitrust |
| 5 | KYC profile (identity, document, biometric match) | AML, GDPR Art. 9, PCI-DSS |
| 6 | AML transaction monitoring outputs | AMLR, FATF, regulatory reporting |
| 7 | SwiftCapital loan portfolio (PD, LGD, EAD, ECL stages) | IFRS 9, lender license |
| 8 | Driver background check results | Local labor + safety regulation |
| 9 | Card data (PAN tokens, BIN, expiry) | PCI-DSS scope |
| 10 | PII directory (rider name, phone, email, location history) | GDPR Art. 30, DPIA, retention |
| 11 | Tax data per-country (VAT, withholding) | EU ViDA (VAT in the Digital Age), local tax authorities |
| 12 | Insurance event records | Insurance regulation, IFRS 17 |
| 13 | Algorithmic matching decisions (driver↔rider, ETA) | DSA recommender transparency, EU AI Act |
| 14 | Compliance training records (driver onboarding) | Local labor inspectorates |
| 15 | Geolocation data (real-time / historical) | GDPR Art. 9 indirect, sectoral surveillance laws |
Болевые точки
Реальные сценарии, на которых базируется курс. На все эти боли курс даёт data-side ответ.
Pricing engine. Построен ML-командой без governance overlay. Surge-логика непрозрачна. EU AI Act high-risk classification под вопросом — Annex III упоминает pricing applications, но не однозначно. Если classification confirmed, требуется задокументированная data governance для training/validation/testing данных, журнал прозрачности, пострыночный мониторинг. На T0 — ничего из этого нет.
SwiftPay rounding error. В 2024 был инцидент: баг в commission calculation привёл к underpayment $2.3M водителям в DACH-регионе. Был внутренний post-mortem, но не SOX-grade evidence — нет прослеживаемого lineage от bug fix до затронутых записей, нет attestation chain, нет доказательства полного remediation. В мире после IPO это автоматический material weakness, если impact крутится около materiality threshold.
Модель ECL у SwiftCapital. Pilot loan portfolio достиг $40M. Модель IFRS 9 ECL построена data science командой, без формального MRM framework. Внешний партнёр-аудитор уже задал вопросы. Если IPO происходит до remediation, ECL — автоматическая area of focus для Big 4, потенциально material misstatement risk.
Пробелы в data lineage. Частично покрыт OpenLineage, но в SwiftAds и SwiftCapital — пробелы. Невозможно надёжно ответить «откуда взялась цифра $40M ECL в материалах совета директоров за Q4» — первый вопрос senior Big 4 на walkthrough.
Adoption каталога. OpenMetadata внедрён, но ownership заполнен на ~30% датасетов, бизнес-глоссарий пустой. Каталог без ownership на 70% = каталог как индикатор риска, а не актив.
Концентрация вендоров. 3 критических вендора (Confluent Cloud, Snowflake, Databricks) — нет формальных exit strategies, нет Register of Information по DORA. DORA Art. 28 требует именно это для critical ICT third-party providers DORA Art. 28.
Нет формальной CDE-программы. Есть отдельные DQ checks, но нет реестра, нет связи DQ ↔ ICFR. Это и есть отправная точка курса.
Команда Internal Audit. 2 человека, без data-specific экспертизы; полагаются на внешнего аудитора. Для late-stage US-listed это недостаточный масштаб — IIA Standards 2024 требуют достаточных ресурсов для assurance over significant risks IIA Standards 2024 Standard 10.1.
Драматургия курса: T0 → T+18M
SwiftRide эволюционирует через курс. Это не повествовательное украшение — это педагогическая структура. Уроки M1-M9 показывают разное состояние SwiftRide; ваши практики строят те же артефакты, что строит реальная команда SwiftRide в то же T-relative время.
| Точка времени | Что происходит | Где это в курсе |
|---|---|---|
| T0 (старт курса) | Big 4 завершает оценку готовности к pre-IPO, выдаёт «топ-25 замечаний», 11 из которых касаются данных. CTO + CFO + General Counsel формируют рабочую группу под руководством нового CDO. CDO нанимается с мандатом построить CDE-программу за 18 месяцев. | M0-M2 (foundations) |
| T+3M | Inventory discovery закончен. Первая итерация registry на 24 CDE опубликована. Criticality scoring spreadsheet формализован. | M3-M4 |
| T+9M | Каталог контролей. Evidence pipelines в production для 60% CDE. Проведена первая quarterly attestation. SDLC gates для CDE-impacting changes — pilot. | M5-M7 |
| T+15M | Операционная модель встроена. SDLC gates обязательны. SOX dry-run пройден. Комитет по аудиту — 4 квартала чистых data-related attestations. | M8 |
| T+18M | Внешняя аудиторская фирма выдаёт unqualified opinion по ICFR-data scope. Листинг SwiftRide проходит. | M9 capstone |
В M9 вы — CDO, проводящий финальное заседание комитета по аудиту. Все материалы — те, которые вы строили начиная с M1.
Почему именно SwiftRide
Кейс выбран сознательно по нескольким осям:
Микс отраслей. SwiftRide — tech (ride-hailing) + fintech (SwiftPay) + lending (SwiftCapital) + AI (pricing). Этим покрывается широкий регуляторный ландшафт: SOX (как US-listed), BCBS 239 (через банк-партнёра SwiftPay, частично), DORA (как financial entity через SwiftPay), AI Act (через pricing и credit scoring), GDPR (как EU-based controller), PCI-DSS (через card processing), AMLR. Один кейс — все основные режимы курса.
Реалистичный масштаб. Не Goldman Sachs (тогда вся курсовая команда — 200 человек), не tech-стартап (тогда вопрос «кому это надо»). Pre-IPO scale-up: достаточно денег и регуляторного давления для серьёзной программы, недостаточно зрелости — для programme-on-autopilot.
Гетерогенные бизнес-юниты. Разные регуляторные профили в одной legal entity создают реальные cross-BU challenges по governance. Один и тот же KYC profile — релевантен и GDPR Art. 9, и AMLR, и PCI-DSS. Один и тот же driver earnings ledger — labor data, tax data, SOX-material. Курсовая программа, рассматривающая только финансовые или только tech-компании, теряет этот overlap.
Pre-IPO timeline. 18 месяцев — достаточно для серьёзной трансформации, реалистичный timeline для CDE-программы. Год — слишком торопливо для зрелого результата; 3 года — нет urgency.
Педагогическое обоснование. Каждое решение по SwiftRide порождает обсуждаемые компромиссы. «SwiftRide должна вытащить SwiftCapital в отдельную legal entity для regulatory isolation» — открытый архитектурный вопрос, не шаблонный ответ. Студент учится думать как CDO, а не запоминать правильные ответы.
Правила использования SwiftRide в практиках
- Единственная фиктивная компания. Не вводите ОАО «Альфа» / Acme Corp / GlobalBank как побочные примеры. Если кейс требует другой компании (регуляторный контраст в M3 — «крупный EU-банк под BCBS 239»), используйте именованную регуляторную ситуацию, без выдумывания.
- Имена и валюты. USD как основная валюта (pre-IPO US-listed candidate). Имена сотрудников — нейтральные (Anna, Carlos, Priya, Yuki, Tomas), без русификации.
- Конкретность данных. Используйте цифры из этого урока (GMV $8.4B, drivers 1.2M и т.п.). Если нужны новые данные — добавьте их в
docs/RUNNING_CASE.mdпервым коммитом, чтобы все ваши последующие практики пользовались общей версией. - Регуляторные обязательства не выдумывайте. Если в сценарии нужно «компания должна сделать X к дате Y» — ссылайтесь на конкретную статью / параграф (см.
docs/REGULATORY_SOURCES.md). - Эволюция. Не показывайте состояние M7 SwiftRide в практике M2. Если упражнение требует артефакта, который ещё не построен — это намёк, что вы ушли вперёд по timeline.
Итоги
- SwiftRide — pre-IPO ride-hailing/delivery platform, 6 бизнес-юнитов, 40 стран, ~$8.4B GMV, листинг на NYSE через 18 месяцев. Единственная фиктивная компания курса.
- Бизнес-юниты Rides / Delivery / Marketplace / SwiftPay / SwiftCapital / SwiftAds имеют разные регуляторные профили — overlap создаёт реальный cross-BU challenge для governance.
- Tech stack — managed cloud (Confluent / Snowflake / Databricks), частичный adoption OpenMetadata, GRC tooling пусто (типичный pre-IPO пробел).
- Кандидатов в CDE — 15 датасетов. В M1 проходим scoring, решаем, какие действительно CDE.
- Болевые точки: pricing engine без governance overlay, SwiftPay rounding error без SOX-grade evidence, ECL у SwiftCapital без MRM-фреймворка, пробелы в lineage, концентрация вендоров, отсутствие формальной CDE-программы.
- Драматургия: T0 → T+18M, разное состояние SwiftRide в разных модулях. Практики соответствуют T-relative timeline.
- В M1 начинается работа: criticality scoring 15 кандидатов SwiftRide → 24 одобренных CDE для registry.