الزامات DORA
DORA در ژانویه 2025 به قانون اتحادیه اروپا تبدیل شد. بانکها، بیمهگران، شرکتهای سرمایهگذاری و شرکتهای پرداخت اکنون باید ریسک ناشی از هر تأمینکننده فناوری که استفاده میکنند را مدیریت کنند. سه قانون برجسته هستند.
شروط قراردادی اجباری (ماده 30). هر قرارداد با یک ارائهدهنده فناوری باید چهار نکته را پوشش دهد: حق حسابرسی، هشدار حادثه، برنامه خروج و اهداف عملکردی. این بندها اختیاری نیستند.
بررسیهای سالانه (ماده 28). شرکتها باید هر فروشنده کلیدی را حداقل یک بار در سال بررسی کنند. یک ارائهدهنده «کلیدی» است اگر شکست آن عملکرد عادی را متوقف کند. ابزارهای ناشناسسازی مورد استفاده در وظایف انطباق در این دسته قرار میگیرند.
ثبت فروشندگان (ماده 28(3)). شرکتها باید فهرست زندهای از همه قراردادهای کلیدی با اشخاص ثالث نگهدارند. این فهرست باید شامل سوابق امنیتی هر کدام باشد.
اجرای بررسیهای سالانه برای دهها ارائهدهنده زمان میبرد. یک بررسی سفارشی ـ که از صفر انجام شود ـ حدود 40 تا 80 ساعت از وقت تیم میبرد. یک بانک هلندی با 50 تأمینکننده کلیدی با تا 4,000 ساعت کار بررسی در سال روبرو است. این معادل دو نفر تماموقت است که فقط روی بررسیها کار میکنند.
ISO 27001 ساعات بررسی را کاهش میدهد
گواهینامه ISO 27001 به شرکتها یک مسیر سریعتر از طریق قانون بررسی سالانه DORA میدهد. نهاد گواهیدهنده هر سال یک حسابرسی نظارتی و هر سه سال یک حسابرسی کامل انجام میدهد. گواهینامه تاریخ انقضا دارد. تنها زمانی معتبر میماند که بررسیهای سالانه قبول شوند.
تحت قانون بررسی سالانه DORA، یک شرکت میتواند گواهینامه ISO 27001 فعلی ارائهدهنده را یک بار در سال دریافت کرده و تاریخ آن را بررسی کند. یک تاریخ معتبر به این معناست که یک نهاد حسابرسی خارجی 93 کنترل امنیتی ارائهدهنده را در دوازده ماه گذشته بررسی کرده است. شرکت این را در ثبت فروشندگان ثبت میکند. بررسی انجام شده است.
منفعت زمانی واقعی است. یک بانک هلندی که یک ابزار ناشناسسازی دارای گواهینامه را بررسی میکند، چند ساعت وقت صرف میکند. همین بررسی از صفر هفتهها طول میکشد. در 20 شخص ثالث دارای گواهینامه، صرفهجویی سالانه میتواند به 1,200 ساعت برسد. این زمان میتواند صرف کارهای دیگر شود.
چرا ابزارهای حریم خصوصی در محدوده قرار دارند
ابزارهای حریم خصوصی و ناشناسسازی تحت DORA قرار میگیرند وقتی که یک شرکت از آنها برای مدیریت دادههای مشتری، رعایت قوانین GDPR یا پردازش پروندههای KYC استفاده میکند. اگر ابزار از کار بیفتد و شرکت نتواند خروجی ایمن GDPR تولید کند، این ابزار یک شخص ثالث کلیدی تحت DORA است. باید هر سال بررسی شود.
راهنمای انطباق GDPR ما قوانین بهحداقلرسانی داده را توضیح میدهد. همچنین ارزش انطباق پاییندستی ISO 27001 و میانبرهای ارزیابی فروشنده ISO 27001 را برای اطلاعات بیشتر درباره چگونگی کاهش کار انطباق توسط گواهینامه بخوانید.