Ano ang Kinakailangan ng DORA
Naging batas ng EU ang DORA noong Enero 2025. Ang mga bangko, insurer, investment firm, at payment firm ay kailangan na ngayong pamahalaan ang panganib mula sa bawat tech supplier na ginagamit nila. Tatlong tuntunin ang nangunguna.
Mga mandatoryong tuntunin ng kontrata (Artikulo 30). Ang bawat kontrata sa isang tech provider ay dapat sumasaklaw sa apat na punto: mga karapatang mag-audit, mga alerto sa insidente, mga plano sa exit, at mga target sa pagganap. Ang mga sugnay na ito ay hindi opsyonal.
Taunang pagsusuri (Artikulo 28). Kailangang suriin ng mga firma ang bawat pangunahing supplier ng hindi bababa sa isang beses sa isang taon. Ang isang provider ay "pangunahing" kung ang pagpalya nito ay magpapatigil ng normal na trabaho. Ang mga tool sa anonymization na ginagamit sa mga gawain ng compliance ay napapabilang sa grupong ito.
Rehistro ng supplier (Artikulo 28(3)). Kailangang panatilihin ng mga firma ang isang live na listahan ng lahat ng pangunahing kontrata sa third-party. Ang listahan ay dapat may kasamang mga tala sa seguridad para sa bawat isa.
Ang pagpapatakbo ng taunang pagsusuri para sa dose-dosenang provider ay nangangailangan ng oras. Isang custom na pagsusuri - ginawa mula sa simula - ay tumatagal ng tinatayang 40-80 oras bawat provider. Ang isang Dutch na bangko na may 50 pangunahing supplier ay nahaharap sa hanggang 4,000 oras ng trabaho sa pagsusuri bawat taon. Iyon ay dalawang buong oras na kawani na nagtatrabaho sa mga pagsusuri at wala nang iba.
Pinipigilan ng ISO 27001 ang mga Oras ng Pagsusuri
Binibigyan ng sertipikasyon ng ISO 27001 ang mga firma ng mas mabilis na ruta sa pamamagitan ng taunang tuntunin ng pagsusuri ng DORA. Ang katawan ng sertipikasyon ay nagpapatakbo ng isang tseke ng audit bawat taon at isang buong audit bawat tatlong taon. Ang sertipiko ay may petsa ng pagtatapos. Nananatiling wasto lamang ito habang pumapasa ang mga taunang tseke.
Sa ilalim ng taunang tuntunin ng pagsusuri ng DORA, maaaring makuha ng isang firma ang kasalukuyang sertipiko ng ISO 27001 ng provider nang isang beses sa isang taon at suriin ang petsa. Ang isang wastong petsa ay nangangahulugang sinuri ng isang panlabas na katawan ng audit ang 93 kontrol sa seguridad ng provider sa nakalipas na labindalawang buwan. Itinatatala ng firma ito sa rehistro ng supplier. Tapos na ang pagsusuri.
Totoo ang pagtaas ng oras. Ang isang Dutch na bangko na sumusuri ng isang sertipikadong tool sa anonymization ay gumagugol ng ilang oras sa pagsusuri. Ang parehong pagsusuri na ginawa mula sa simula ay tumatagal ng mga linggo. Sa 20 sertipikadong third party, ang taunang ipon ay maaaring umabot sa 1,200 oras. Maaaring mapunta ang oras na iyon sa ibang trabaho.
Bakit Nasa Saklaw ang Mga Privacy Tool
Ang mga privacy at anonymization na tool ay napapailalim sa DORA kapag ginagamit ng isang firma ang mga ito para humawak ng data ng kliyente, tutugunan ang mga tuntunin ng GDPR, o mag-proseso ng mga file ng KYC. Kung bumagsak ang tool at hindi makagawa ang firma ng GDPR-safe na output, ang tool ay isang pangunahing third party sa ilalim ng DORA. Kailangang suriin ito bawat taon.
Ipinapaliwanag ng aming gabay sa GDPR compliance ang mga tuntunin ng data minimization. Tingnan din ang halaga ng downstream compliance ng ISO 27001 at mga shortcut ng pagtatasa ng vendor ng ISO 27001 para sa karagdagan kung paano binabawasan ng sertipikasyon ang trabaho sa compliance.