Што бара DORA
DORA стапи на сила во ЕУ во јануари 2025 година. Банките, осигурителите, инвестициските фирми и фирмите за плаќања сега мораат да управуваат со ризикот од секој технолошки добавувач кој го користат. Три правила се особено важни.
Задолжителни договорни клаузули (Член 30). Секој договор со давател на технологија мора да опфати четири точки: права на ревизија, известувања за инциденти, планови за излез и цели за перформанси. Овие клаузули не се опционални.
Годишни прегледи (Член 28). Фирмите мораат да го проверуваат секој клучен добавувач најмалку еднаш годишно. Еден давател е "клучен" ако неговото откажување би ја запрело нормалната работа. Алатките за анонимизација кои се користат во задачите за усогласеност спаѓаат во оваа група.
Регистар на добавувачи (Член 28(3)). Фирмите мораат да водат ажурирана листа на сите клучни договори со трети страни. Листата мора да содржи безбедносни записи за секоја од нив.
Спроведувањето годишни прегледи за десетици даватели одзема многу време. Еден прилагоден преглед - направен од нула - проценето одзема 40-80 часа по давател. Холандска банка со 50 клучни добавувачи се соочува со до 4.000 часа работа на прегледи годишно. Тоа се двајца вработени на полно работно време кои работат само на прегледи.
ISO 27001 ги намалува часовите за преглед
Сертификацијата ISO 27001 им дава на фирмите побрз пат низ правилото за годишен преглед на DORA. Телото за сертификација спроведува контролна ревизија секоја година и полна ревизија на секои три години. Сертификатот има датум на истекување. Останува валиден само додека годишните проверки се успешни.
Според правилото за годишен преглед на DORA, фирмата може еднаш годишно да го извлече тековниот ISO 27001 сертификат на давателот и да го провери датумот. Валиден датум значи дека надворешно тело за ревизија ги проверило 93-те безбедносни контроли на давателот во изминатите дванаесет месеци. Фирмата го евидентира ова во регистарот на добавувачи. Прегледот е завршен.
Временската заштеда е реална. Холандска банка која проверува сертифицирана алатка за анонимизација поминува неколку часа на прегледот. Истиот преглед направен од нула одзема недели. Преку 20 сертифицирани трети страни, годишната заштеда може да достигне 1.200 часа. Тоа време може да се вложи во друга работа.
Зошто алатките за приватност се во опсег
Алатките за приватност и анонимизација спаѓаат под DORA кога фирмата ги користи за ракување со клиентски податоци, исполнување на правилата на GDPR или обработка на датотеки со KYC. Ако алатката запре и фирмата не може да произведе резултат усогласен со GDPR, алатката е клучна трета страна под DORA. Мора да се прегледува секоја година.
Нашиот водич за усогласеност со GDPR ги објаснува правилата за минимизирање на податоци. Погледнете ги исто така вредноста на ISO 27001 за усогласеност понатаму по ланецот и кратенките за проценка на добавувачи со ISO 27001 за повеќе информации за тоа како сертификацијата ја намалува работата на усогласеност.