Como um data center privado é mais seguro que uma nuvem pública?

Pode não ser uma questão técnica de segurança, mas mais uma questão de controle total e a (interpretação) dos requisitos regulamentares e de conformidade.

O Securities and Exchange Act de 1934 (conforme alterado) contém regras 17a-3 e 17a-4 relacionados ao backup e arquivamento de registros eletrônicos. A Autoridade Reguladora da Indústria Financeira também tem regras sobre Provedores de Terceiros que basicamente dizem que um Provedor de Serviços Financeiros não pode se livrar das obrigações de conformidade e transferi-las para um Provedor de Terceiros.

Então, basicamente, se a Amazon (temporariamente) perder (acesso a) seus dados, a instituição financeira ainda é totalmente responsável e não pode se esconder atrás da Amazon e de seu SLA. Nesse sentido, fazer você mesmo e permanecer 100% no controle é muito mais importante para os negócios regulamentados de uma instituição financeira.

Uma reinicialização não programada mais ou menos por Amazon ou por exemplo Rackspace no horário deles, em vez do seu, pode ser percebido como um grande risco

termos de serviço da Amazon ou não tão "ruins" quanto alguns provedores de nuvem, mas eles só oferecem implementar medidas razoáveis e apropriadas projetadas para ajudá-lo a proteger seu Conteúdo contra perda, acesso ou divulgação acidental ou ilegal e a isenção de responsabilidade habitual, favorecida por muitos: "NÃO REPRESENTAÇÕES OU GARANTIAS DE NENHUM TIPO" ser esperado ...

Recentemente, a Amazon teve que reiniciar partes de sua infraestrutura (eles falaram em menos de 10%: link ) devido a uma vulnerabilidade de segurança.
Os detalhes na época eram desconhecidos, pois estavam sob embargo.
Agora está claro que essa vulnerabilidade do Xen foi a causa: link

Citação:

A buggy or malicious HVM guest can crash the host or read data
relating to other guests or the hypervisor itself.

Como cliente, você não tem controle sobre onde suas instâncias estão sendo executadas (como em: quem são seus "vizinhos").
Um banco executando seu próprio datacenter ou alugando sua própria nuvem privada pode descartar um compromisso como esse por completo.

Isso obviamente não é trivial para ser explorado por um invasor.
Mesmo que ele possua uma exploração desconhecida, segmentar um site individual é quase impossível. Se evitar a nuvem pública, por isso, faz sentido para esse instituto é praticamente até a sua própria avaliação de risco.

Se você tiver acesso físico a uma máquina, poderá comprometê-la sempre.

Com a Amazon tendo esse acesso, você está um passo além de ser hackeado do que quando tem seus próprios servidores em seu próprio bunker. Quero dizer, data center.

Eles ainda precisam descriptografar seus dados, mas eles podem fazer um instantâneo e fazer a descriptografia offline (e eles têm um enorme data center esperando por alguma tarefa) e em 5 anos eles conhecem seu maior cliente, quanto dinheiro ele tem, quanto ele gasta em seu serviço bancário, e assim por diante.

Isso não é um problema apenas com a Amazon. Outros jogadores, como por exemplo a Microsoft, constroem um enorme centro de dados perto de Dublin, completamente no meio do nada, mas ao lado de uma enorme "fábrica de pão" do mesmo tamanho. Eles só estão assando pão lá, história verdadeira! ;)