التزامات بائعي تكنولوجيا المعلومات والاتصالات بموجب DORA
يتطلب قانون المرونة التشغيلية الرقمية للاتحاد الأوروبي (DORA)، الذي سيدخل حيز التنفيذ في يناير 2025، من المؤسسات المالية — البنوك، شركات التأمين، شركات الاستثمار، مقدمي خدمات الدفع — تنفيذ برامج صارمة لإدارة مخاطر الطرف الثالث في تكنولوجيا المعلومات والاتصالات. المتطلبات الرئيسية:
أحكام تعاقدية إلزامية (المادة 30): يحدد DORA بنودًا إلزامية للعقود مع مقدمي خدمات الطرف الثالث في تكنولوجيا المعلومات والاتصالات، بما في ذلك أحكام الوصول الكامل، والتفتيش، وحقوق التدقيق؛ جداول زمنية لإشعار الحوادث؛ استراتيجيات الخروج؛ ومعايير الأداء.
التقييمات السنوية (المادة 28): يجب على المؤسسات المالية إجراء العناية الواجبة على جميع مقدمي خدمات الطرف الثالث في تكنولوجيا المعلومات والاتصالات المهمين على الأقل سنويًا. "المهم" يُعرف بشكل واسع — أي مزود تكنولوجيا معلومات واتصالات قد يؤثر تعطيله بشكل كبير على العمليات، بما في ذلك أدوات إخفاء الهوية المستخدمة في سير العمل للامتثال.
سجل الطرف الثالث في تكنولوجيا المعلومات والاتصالات (المادة 28(3)): يجب على المؤسسات المالية الحفاظ على سجل وتحديثه لجميع الاتفاقيات المهمة مع مقدمي خدمات الطرف الثالث في تكنولوجيا المعلومات والاتصالات، بما في ذلك الوثائق الأمنية.
إدارة إعادة التقييم السنوي لعشرات من بائعي تكنولوجيا المعلومات والاتصالات مكلفة من الناحية التشغيلية. التقدير النموذجي لتقييم مخصص غير منظم: 40–80 ساعة لكل بائع في السنة. بالنسبة لبنك هولندي لديه 50 بائعًا مهمًا في تكنولوجيا المعلومات والاتصالات، تمثل التقييمات السنوية 2,000–4,000 ساعة من وقت فريق الامتثال — ما يعادل موظفًا أو اثنين بدوام كامل مخصصين حصريًا لتقييم البائعين.
اختصار التقييم السنوي لـ ISO 27001
تتمثل قيمة شهادة ISO 27001 في الامتثال لـ DORA في هيكل المراقبة السنوية. تقوم هيئة الشهادة بإجراء تدقيقات مراقبة سنوية وتدقيقات إعادة الشهادة كل ثلاث سنوات. تبقى الشهادة سارية طالما تؤكد تدقيقات المراقبة الامتثال المستمر. تحمل الشهادة نفسها تاريخ انتهاء صلاحية.
لتلبية متطلبات التقييم السنوي لـ DORA، يمكن للمؤسسة المالية تلبية معيار "إجراء العناية الواجبة" من خلال سحب شهادة ISO 27001 الحالية للبائع سنويًا والتحقق من صلاحيتها. تُظهر الشهادة أن هيئة تدقيق مستقلة قد قامت بتقييم 93 من ضوابط الأمان الخاصة بالبائع خلال العام الماضي. يتم توثيق هذه الأدلة في سجل الطرف الثالث في تكنولوجيا المعلومات والاتصالات.
يمكن لبنك هولندي خاضع لـ DORA تقييم بائع إخفاء هوية معتمد من ISO 27001 من خلال التحقق من صلاحية الشهادة — مما يستغرق ساعات بدلاً من أسابيع. يوفر البنك 60 ساعة من وقت التقييم لكل بائع في السنة. عبر 20 بائعًا معتمدًا من ISO 27001 في سجله، يمثل التوفير السنوي 1,200 ساعة — ما يكفي لإعادة تخصيص موارد الامتثال بشكل كبير.
أهمية DORA لأدوات الخصوصية
أدوات الخصوصية وإخفاء الهوية هي مقدمي تكنولوجيا المعلومات والاتصالات بموجب نطاق DORA للمؤسسات المالية التي تستخدمها لمعالجة بيانات العملاء، والامتثال لـ GDPR، وإعداد التقديمات التنظيمية، أو التعامل مع وثائق KYC. تعتبر أداة إخفاء الهوية التي تعالج بيانات العملاء مزودًا مهمًا في تكنولوجيا المعلومات والاتصالات إذا كان تعطيلها سيمنع المؤسسة من الامتثال لمتطلبات تقليل البيانات بموجب GDPR أو إنتاج تقديمات تنظيمية متوافقة مع GDPR.
المصادر: