DORA কী চায়
DORA ২০২৫ সালের জানুয়ারিতে EU আইনে পরিণত হয়েছে। ব্যাংক, বিমা সংস্থা, বিনিয়োগ প্রতিষ্ঠান এবং পেমেন্ট কোম্পানিগুলিকে এখন তাদের ব্যবহৃত প্রতিটি প্রযুক্তি সরবরাহকারীর ঝুঁকি পরিচালনা করতে হবে। তিনটি বিধান বিশেষভাবে গুরুত্বপূর্ণ।
বাধ্যতামূলক চুক্তির শর্তাবলী (অনুচ্ছেদ ৩০)। প্রতিটি প্রযুক্তি প্রদানকারীর সাথে চুক্তিতে চারটি বিষয় থাকতে হবে: অডিট অধিকার, ঘটনার নোটিফিকেশন, প্রস্থান পরিকল্পনা এবং কার্যক্ষমতার লক্ষ্যমাত্রা। এই ধারাগুলি ঐচ্ছিক নয়।
বার্ষিক পর্যালোচনা (অনুচ্ছেদ ২৮)। প্রতিষ্ঠানগুলিকে বছরে অন্তত একবার প্রতিটি মূল সরবরাহকারী যাচাই করতে হবে। একটি প্রদানকারী "মূল" হিসেবে বিবেচিত হয় যদি তার ব্যর্থতা স্বাভাবিক কাজকর্ম বন্ধ করে দেয়। কমপ্লায়েন্স কাজে ব্যবহৃত অ্যানোনিমাইজেশন টুলগুলি এই বিভাগে পড়ে।
সরবরাহকারী রেজিস্টার (অনুচ্ছেদ ২৮(৩))। প্রতিষ্ঠানগুলিকে সমস্ত মূল তৃতীয়-পক্ষের চুক্তির একটি সক্রিয় তালিকা রাখতে হবে। তালিকায় প্রতিটির নিরাপত্তা রেকর্ড অন্তর্ভুক্ত থাকতে হবে।
ডজন ডজন সরবরাহকারীর বার্ষিক পর্যালোচনা পরিচালনা করতে অনেক সময় লাগে। একটি কাস্টম পর্যালোচনা — শুরু থেকে করা — প্রতি সরবরাহকারীতে আনুমানিক ৪০-৮০ ঘণ্টা সময় নেয়। ৫০টি মূল সরবরাহকারী থাকা একটি ডাচ ব্যাংক বছরে ৪,০০০ ঘণ্টা পর্যন্ত পর্যালোচনার কাজের মুখোমুখি। এর মানে দুইজন পূর্ণকালীন কর্মী শুধু পর্যালোচনা করছেন, অন্য কিছু করছেন না।
ISO 27001 পর্যালোচনার সময় কমায়
ISO 27001 সার্টিফিকেশন প্রতিষ্ঠানগুলিকে DORA-র বার্ষিক পর্যালোচনার নিয়মের মধ্য দিয়ে দ্রুততর পথ দেয়। সার্টিফিকেশন সংস্থা প্রতি বছর একটি যাচাই অডিট এবং প্রতি তিন বছরে একটি পূর্ণ অডিট পরিচালনা করে। সার্টিফিকেটের মেয়াদ শেষ হওয়ার তারিখ আছে। এটি তখনই বৈধ থাকে যখন বার্ষিক যাচাই পাস হয়।
DORA-র বার্ষিক পর্যালোচনার নিয়মের অধীনে, একটি প্রতিষ্ঠান বছরে একবার প্রদানকারীর বর্তমান ISO 27001 সার্টিফিকেট নিয়ে তারিখ যাচাই করতে পারে। একটি বৈধ তারিখ মানে একটি বাইরের অডিট সংস্থা গত বারো মাসে প্রদানকারীর ৯৩টি নিরাপত্তা নিয়ন্ত্রণ যাচাই করেছে। প্রতিষ্ঠানটি সরবরাহকারী রেজিস্টারে এটি লগ করে। পর্যালোচনা সম্পন্ন।
সময়ের সুবিধা বাস্তব। একটি সার্টিফাইড অ্যানোনিমাইজেশন টুল যাচাই করতে একটি ডাচ ব্যাংক কয়েক ঘণ্টা ব্যয় করে। একই পর্যালোচনা শুরু থেকে করতে সপ্তাহ লাগে। ২০টি সার্টিফাইড তৃতীয় পক্ষ জুড়ে, বার্ষিক সাশ্রয় ১,২০০ ঘণ্টা পর্যন্ত পৌঁছাতে পারে। সেই সময় অন্য কাজে ব্যয় করা যায়।
কেন প্রাইভেসি টুলগুলি সুযোগের মধ্যে পড়ে
প্রাইভেসি এবং অ্যানোনিমাইজেশন টুলগুলি DORA-র আওতায় পড়ে যখন একটি প্রতিষ্ঠান সেগুলি ক্লায়েন্ট ডেটা পরিচালনা, GDPR নিয়ম পূরণ বা KYC ফাইল প্রক্রিয়াকরণে ব্যবহার করে। যদি টুলটি বন্ধ হয়ে যায় এবং প্রতিষ্ঠান GDPR-নিরাপদ আউটপুট তৈরি করতে না পারে, তাহলে DORA-র অধীনে টুলটি একটি মূল তৃতীয় পক্ষ। এটি প্রতি বছর পর্যালোচনা করতে হবে।
আমাদের GDPR সম্মতি গাইড ডেটা মিনিমাইজেশন নিয়ম ব্যাখ্যা করে। সার্টিফিকেশন কীভাবে কমপ্লায়েন্সের কাজ কমায় তার জন্য ISO 27001 ডাউনস্ট্রিম কমপ্লায়েন্স মূল্য এবং ISO 27001 ভেন্ডর মূল্যায়ন শর্টকাট দেখুন।