DORA की क्या आवश्यकताएँ हैं
DORA जनवरी 2025 में EU कानून बन गया। बैंकों, बीमा कंपनियों, निवेश फर्मों और भुगतान फर्मों को अब अपने प्रत्येक तकनीकी आपूर्तिकर्ता से होने वाले जोखिम का प्रबंधन करना होगा। तीन नियम विशेष रूप से उल्लेखनीय हैं।
अनिवार्य अनुबंध शर्तें (अनुच्छेद 30)। किसी भी तकनीकी प्रदाता के साथ प्रत्येक अनुबंध में चार बिंदु शामिल होने चाहिए: ऑडिट अधिकार, घटना अलर्ट, निकास योजनाएँ और प्रदर्शन लक्ष्य। ये खंड वैकल्पिक नहीं हैं।
वार्षिक समीक्षाएँ (अनुच्छेद 28)। फर्मों को प्रत्येक प्रमुख आपूर्तिकर्ता की वर्ष में कम से कम एक बार जाँच करनी होगी। एक प्रदाता "प्रमुख" होता है यदि उसकी विफलता सामान्य कार्य को बंद कर दे। अनुपालन कार्यों में उपयोग किए जाने वाले गुमनामीकरण उपकरण इस श्रेणी में आते हैं।
आपूर्तिकर्ता रजिस्टर (अनुच्छेद 28(3))। फर्मों को सभी प्रमुख तृतीय-पक्ष अनुबंधों की एक लाइव सूची बनाए रखनी होगी। सूची में प्रत्येक के लिए सुरक्षा रिकॉर्ड शामिल होने चाहिए।
दर्जनों प्रदाताओं के लिए वार्षिक समीक्षाएँ चलाने में समय लगता है। शुरू से की गई एक कस्टम समीक्षा में अनुमानित 40–80 घंटे प्रति प्रदाता लगते हैं। 50 प्रमुख आपूर्तिकर्ताओं वाले एक डच बैंक को प्रत्येक वर्ष 4,000 घंटे तक की समीक्षा करनी पड़ सकती है। यह दो पूर्णकालिक कर्मचारियों के बराबर है जो केवल समीक्षाओं पर काम करते हों।
ISO 27001 समीक्षा के घंटे कम करता है
ISO 27001 प्रमाणन फर्मों को DORA की वार्षिक समीक्षा नियम के माध्यम से एक तेज़ रास्ता देता है। प्रमाणन निकाय प्रत्येक वर्ष एक चेक ऑडिट और प्रत्येक तीन वर्ष में एक पूर्ण ऑडिट करता है। प्रमाण पत्र की एक समाप्ति तिथि होती है। यह तब तक वैध रहता है जब तक वार्षिक जाँचें पास होती रहती हैं।
DORA की वार्षिक समीक्षा नियम के तहत, एक फर्म साल में एक बार प्रदाता का वर्तमान ISO 27001 प्रमाण पत्र निकाल सकती है और तिथि की जाँच कर सकती है। एक वैध तिथि का मतलब है कि एक बाहरी ऑडिट निकाय ने पिछले बारह महीनों में प्रदाता के 93 सुरक्षा नियंत्रणों की जाँच की है। फर्म इसे आपूर्तिकर्ता रजिस्टर में दर्ज करती है। समीक्षा पूरी हो जाती है।
समय की बचत वास्तविक है। एक प्रमाणित गुमनामीकरण उपकरण की जाँच करने वाला एक डच बैंक समीक्षा पर कुछ घंटे खर्च करता है। शुरू से की गई वही समीक्षा हफ्तों लेती है। 20 प्रमाणित तृतीय पक्षों में, वार्षिक बचत 1,200 घंटे तक पहुँच सकती है। वह समय अन्य कार्यों के लिए उपयोग किया जा सकता है।
प्राइवेसी उपकरण दायरे में क्यों हैं
प्राइवेसी और गुमनामीकरण उपकरण DORA के अंतर्गत आते हैं जब कोई फर्म उनका उपयोग क्लाइंट डेटा संभालने, GDPR नियमों का पालन करने, या KYC फ़ाइलों की प्रक्रिया करने के लिए करती है। यदि उपकरण बंद हो जाता है और फर्म GDPR-सुरक्षित आउटपुट नहीं दे पाती, तो उपकरण DORA के तहत एक प्रमुख तृतीय पक्ष है। इसकी प्रत्येक वर्ष समीक्षा होनी चाहिए।
हमारा GDPR अनुपालन गाइड डेटा न्यूनीकरण नियमों की व्याख्या करता है। ISO 27001 डाउनस्ट्रीम अनुपालन मूल्य और विक्रेता मूल्यांकन में प्रमाणन कैसे अनुपालन कार्य को कम करता है, इसके बारे में अधिक जानकारी के लिए ISO 27001 डाउनस्ट्रीम अनुपालन और ISO 27001 विक्रेता मूल्यांकन शॉर्टकट देखें।