ข้อกำหนดของ DORA
DORA มีผลบังคับใช้เป็นกฎหมายสหภาพยุโรปในเดือนมกราคม 2025 ธนาคาร บริษัทประกัน บริษัทการลงทุน และบริษัทชำระเงินต้องบริหารความเสี่ยงจากผู้ให้บริการเทคโนโลยีทุกรายที่ใช้งาน มีสามข้อกำหนดสำคัญที่ต้องให้ความสนใจ
ข้อกำหนดสัญญาบังคับ (มาตรา 30): สัญญาแต่ละฉบับกับผู้ให้บริการเทคโนโลยีต้องครอบคลุมสี่ประเด็น ได้แก่ สิทธิการตรวจสอบ การแจ้งเตือนเหตุการณ์ แผนการยุติความสัมพันธ์ และเป้าหมายประสิทธิภาพ ข้อกำหนดเหล่านี้ไม่ใช่ทางเลือก
การทบทวนประจำปี (มาตรา 28): บริษัทต้องตรวจสอบผู้ให้บริการหลักทุกรายอย่างน้อยปีละครั้ง ผู้ให้บริการถือว่า "หลัก" หากความล้มเหลวของผู้ให้บริการนั้นจะหยุดการดำเนินงานปกติ เครื่องมือยกเลิกการระบุตัวตนที่ใช้ในงานด้านการปฏิบัติตามกฎระเบียบจัดอยู่ในกลุ่มนี้
ทะเบียนผู้ให้บริการ (มาตรา 28(3)): บริษัทต้องดูแลรายการสัญญาคู่ค้าหลักแบบปัจจุบัน โดยรายการนั้นต้องมีบันทึกความปลอดภัยของแต่ละราย
การทบทวนผู้ให้บริการหลายสิบรายต่อปีใช้เวลามาก การทบทวนแบบกำหนดเองครั้งเดียวตั้งแต่เริ่มต้นใช้เวลาประมาณ 40-80 ชั่วโมงต่อผู้ให้บริการ ธนาคารในเนเธอร์แลนด์ที่มีผู้ให้บริการหลัก 50 รายต้องเผชิญกับงานทบทวนสูงถึง 4,000 ชั่วโมงต่อปี นั่นเท่ากับพนักงานเต็มเวลา 2 คนที่ทุ่มเทกับงานทบทวนเพียงอย่างเดียว
ISO 27001 ช่วยลดชั่วโมงการทบทวน
การรับรอง ISO 27001 เปิดทางลัดที่รวดเร็วกว่าสำหรับกฎการทบทวนประจำปีของ DORA หน่วยงานรับรองจะทำการตรวจสอบติดตามผลทุกปีและตรวจสอบเต็มรูปแบบทุกสามปี ใบรับรองมีวันหมดอายุและยังคงมีผลก็ต่อเมื่อผ่านการตรวจสอบประจำปีเท่านั้น
ภายใต้กฎการทบทวนประจำปีของ DORA บริษัทสามารถดึงใบรับรอง ISO 27001 ปัจจุบันของผู้ให้บริการปีละครั้งและตรวจสอบวันที่ วันที่ที่ยังมีผลหมายความว่าหน่วยงานตรวจสอบภายนอกได้ตรวจสอบการควบคุมความปลอดภัย 93 รายการของผู้ให้บริการภายใน 12 เดือนที่ผ่านมา บริษัทบันทึกข้อมูลนี้ในทะเบียนผู้ให้บริการ และการทบทวนก็เสร็จสิ้น
ประโยชน์ด้านเวลานั้นเป็นเรื่องจริง ธนาคารในเนเธอร์แลนด์ที่ตรวจสอบเครื่องมือยกเลิกการระบุตัวตนที่ได้รับการรับรองใช้เวลาเพียงไม่กี่ชั่วโมงสำหรับการทบทวน ในขณะที่การทบทวนแบบเดิมตั้งแต่ต้นใช้เวลาหลายสัปดาห์ สำหรับผู้ให้บริการที่ได้รับการรับรอง 20 ราย การประหยัดเวลาต่อปีอาจสูงถึง 1,200 ชั่วโมง ซึ่งสามารถนำเวลานั้นไปใช้กับงานอื่นได้
เหตุใดเครื่องมือความเป็นส่วนตัวจึงอยู่ในขอบข่าย
เครื่องมือความเป็นส่วนตัวและยกเลิกการระบุตัวตนอยู่ภายใต้ DORA เมื่อบริษัทใช้งานเพื่อจัดการข้อมูลลูกค้า ปฏิบัติตามกฎ GDPR หรือประมวลผลไฟล์ KYC หากเครื่องมือหยุดทำงานและบริษัทไม่สามารถผลิตผลลัพธ์ที่ปลอดภัยตาม GDPR ได้ เครื่องมือนั้นถือเป็นคู่ค้าหลักภายใต้ DORA และต้องได้รับการตรวจสอบทุกปี
คู่มือการปฏิบัติตาม GDPR ของเราอธิบายกฎการลดข้อมูลให้น้อยที่สุด อ่านเพิ่มเติมเกี่ยวกับคุณค่าการปฏิบัติตามกฎระเบียบของ ISO 27001 ในห่วงโซ่อุปทาน และทางลัดการประเมินผู้ให้บริการด้วย ISO 27001