تجاوز إلى المحتوى الرئيسي
Didit تجمع 7.5 مليون دولار لبناء البنية التحتية للهوية والاحتيال
Didit
العودة إلى المدونة
المدونة · 21 مايو 2026

كيف تدعم Didit الامتثال لقانون DORA: مخاطر الطرف الثالث لتكنولوجيا المعلومات والاتصالات في الهوية الرقمية (AR)

يجعل قانون DORA الكيانات المالية مسؤولة عن أطراف تكنولوجيا المعلومات والاتصالات الثالثة التي تعتمد عليها، بما في ذلك موفرو الهوية. إليك كيف تدعم شهادة Didit ISO 27001، وشهادة SOC 2 Type 1، ومسار التدقيق ملف بائع جاهز لـ DORA.

بواسطة Diditتحديث
didit-dora-compliance.png

لقد غيّر قانون المرونة التشغيلية الرقمية (DORA) معنى الاستعانة بمصادر خارجية. اعتبارًا من يناير 2025، ستكون الكيانات المالية في جميع أنحاء الاتحاد الأوروبي مسؤولة بشكل مباشر عن المرونة التشغيلية لأطراف تكنولوجيا المعلومات والاتصالات (ICT) الثالثة التي تعتمد عليها - ومزود التحقق من الهوية الذي يقع في سير عمل الإعداد لبنك، أو مؤسسة أموال إلكترونية، أو مزود خدمة الأصول المشفرة هو بالضبط هذا النوع من أطراف تكنولوجيا المعلومات والاتصالات الثالثة.

هذا يطرح سؤالًا جديدًا في كل مكالمة شراء: هل يمكنك إثبات أن مزودك مرن، وهل يمكنك توثيق هذا الإثبات لجهة التنظيم الخاصة بك؟ يشرح هذا الدليل ما يتطلبه DORA من أطراف تكنولوجيا المعلومات والاتصالات الثالثة، ويوضح بالضبط كيف تدعم شهادات Didit وعناصر التحكم ومسار التدقيق ملف بائع جاهز لـ DORA.

النقاط الرئيسية

  • تجعل DORA الكيان المالي مسؤولاً عن أطراف تكنولوجيا المعلومات والاتصالات الثالثة التي يستخدمها - بما في ذلك مزودو الهوية والاحتيال. لا يمكنك الاستعانة بمصادر خارجية للمسؤولية، بل للعمل فقط.
  • Didit معتمدة بشهادة ISO/IEC 27001:2022 (Bureau Veritas، معتمدة من ENAC، شهادة رقم ES144068، سارية حتى 2027-06-03) - نظام إدارة أمن المعلومات معترف به دوليًا يتوافق مباشرة مع توقعات DORA لإدارة مخاطر تكنولوجيا المعلومات والاتصالات.
  • تحمل Didit شهادة SOC 2 Type 1 (ATOM، اعتبارًا من 2026-04-09) عبر معايير الثقة للأمن والتوافر والسرية، مع فحص من النوع 2 مخطط له.
  • يترك كل تحقق مسار تدقيق غير قابل للتغيير - الحالات والقرارات وأحداث الويب التي يمكن لفريقك إعادة تشغيلها للإبلاغ عن الحوادث وسجل تكنولوجيا المعلومات والاتصالات.
  • تتم دورة حياة الهوية والاحتيال الكاملة على واجهة برمجة تطبيقات موحدة /v3/، لذا فإن المرونة والمراقبة والإبلاغ تتركز في مزود واحد مسؤول بدلاً من أن تكون مشتتة عبر العديد.

ما يتطلبه DORA

DORA هو إطار عمل الاتحاد الأوروبي للمرونة التشغيلية الرقمية في القطاع المالي. بدلاً من التعامل مع الأمن السيبراني كاهتمام جانبي، فإنه يبني خمس ركائز في لائحة واحدة:

  1. إدارة مخاطر تكنولوجيا المعلومات والاتصالات - إطار عمل موثق لتحديد الحوادث المتعلقة بتكنولوجيا المعلومات والاتصالات والوقاية منها واكتشافها والاستجابة لها والتعافي منها.
  2. الإبلاغ عن حوادث تكنولوجيا المعلومات والاتصالات - تصنيف الحوادث الكبرى والإبلاغ عنها إلى السلطات المختصة ضمن مواعيد نهائية محددة.
  3. اختبار المرونة التشغيلية الرقمية - اختبار منتظم لأنظمة تكنولوجيا المعلومات والاتصالات، وصولاً إلى اختبار الاختراق بقيادة التهديدات للكيانات الهامة.
  4. إدارة مخاطر الطرف الثالث لتكنولوجيا المعلومات والاتصالات - الركيزة التي تصل إلى مزودين مثل Didit: العناية الواجبة، والضمانات التعاقدية، وسجل معلومات عن كل ترتيب لتكنولوجيا المعلومات والاتصالات، والقدرة على المراقبة والإنهاء.
  5. تبادل المعلومات - تبادل طوعي لمعلومات التهديدات السيبرانية.

الركيزة الرابعة هي التي يجب أن يجيب عليها البائع. تتوقع DORA من الكيان المالي الاحتفاظ بسجل معلومات يصف كل ترتيب لتكنولوجيا المعلومات والاتصالات مع طرف ثالث، وإجراء العناية الواجبة قبل التعاقد، وتأمين حقوق تعاقدية محددة (التدقيق، والوصول، وشفافية الاستعانة بمصادر خارجية فرعية، والإنهاء)، وتقييم مخاطر التركيز. ومهمة المزود هي تسهيل إثبات كل ذلك.

لماذا يهم ذلك

نادراً ما يكون التحقق من الهوية نظامًا هامشيًا. إنه يقع على المسار الحاسم لإعداد العملاء - وبشكل متزايد للمراقبة المستمرة من خلال فحص المعاملات. إذا تدهورت هذه الوظيفة، يتوقف الإعداد ويتوقف الإيرادات معها. تتعامل DORA مع هذا النوع من التبعية على أنه شيء يمكن للمنظم أن يسأل عنه.

النتيجة العملية: عندما يضيف كيان مالي مزود هوية إلى سجل تكنولوجيا المعلومات والاتصالات الخاص به، فإنه يحتاج إلى تأكيد موثق حول ضوابط أمان هذا المزود، والتزامات التوافر، وحالة الحوادث. يمكن لمزود يمكنه تسليم شهادات معترف بها ومسار تدقيق نظيف أن يقلل العناية الواجبة من شهور إلى أيام. يصبح المزود الذي لا يستطيع ذلك مشكلة.

كيف تساعد Didit

تم تصميم وضع امتثال Didit ليتناسب مع ملف بائع DORA بالأدلة، وليس بالوعود.

شهادة ISO/IEC 27001:2022. تدير Didit نظام إدارة أمن المعلومات (ISMS) معتمدًا. تغطي الشهادة - Bureau Veritas Certification، معتمدة من ENAC، شهادة رقم ES144068، معتمدة في الأصل 2026-04-07 وصالحة حتى 2027-06-03، صادرة لـ DIDIT IDENTITY SPAIN S.L. - تطوير وتشغيل والدعم الفني لحل الهوية الرقمية من Didit. ISO 27001 هو المعيار الدولي الأساسي لإدارة مخاطر تكنولوجيا المعلومات والاتصالات: يتطلب إطار عمل موثق، وضوابط محددة، وتقييم المخاطر، والتحسين المستمر - نفس التخصصات التي تتوقعها الركيزة الأولى لـ DORA من الكيانات التي تعتمد على Didit. يمكن توزيع الشهادة، بحيث يمكن إدراجها مباشرة في ملف السجل.

شهادة SOC 2 Type 1. تحمل Didit تقرير SOC 2 Type 1 من ATOM (مدقق خدمة مستقل بموجب إطار عمل AICPA SOC للمؤسسات الخدمية)، يشهد على تصميم الضوابط عبر الأمن والتوافر والسرية اعتبارًا من 2026-04-09. التوافر هو المعيار الذي تهتم به DORA أكثر لتبعية الإعداد الحرجة. مخطط له فحص من النوع 2 - الذي يختبر فعالية التشغيل على مدى فترة. تقرير SOC 2 الكامل مقيد الاستخدام بموجب قواعد AICPA ويتم مشاركته مع العملاء المحتملين والعملاء بموجب اتفاقية عدم إفشاء؛ تشير Didit إليه هنا بدلاً من نشر محتوياته.

مسار التدقيق وأدلة الحوادث. يتم تسجيل كل عملية تحقق، وكل قرار مراقبة للمعاملات، وكل تغيير في الحالة وعرضها من خلال واجهة برمجة تطبيقات /v3/ الموحدة وخطافات الويب (session.status.updated، transaction.status.updated، والأحداث ذات الصلة). يمنح ذلك الكيان المالي سجلًا قابلًا لإعادة التشغيل ومختومًا بالوقت يمكنه دمجه في التزامات الإبلاغ عن الحوادث واختبار المرونة الخاصة به - وتدفق بيانات واضح لتوثيقه في السجل.

مزود واحد مسؤول. نظرًا لأن الهوية، والتحقق من الأعمال، وفحص مكافحة غسيل الأموال (AML)، ومراقبة المعاملات، وفحص المحفظة كلها تعمل على نفس واجهة برمجة تطبيقات /v3/، فإن الكيان المالي يركز وظيفة حرجة مع طرف ثالث معتمد واحد لتكنولوجيا المعلومات والاتصالات بدلاً من ربط العديد. عدد أقل من الترتيبات في السجل، وعلاقة تعاقدية واحدة للإدارة، ومجموعة واحدة من الشهادات للحفاظ عليها.

نظرة عميقة: بناء إدخال سجل تكنولوجيا المعلومات والاتصالات لـ Didit

يحتاج إدخال سجل معلومات DORA لمزود هوية عادةً إلى تسجيل الوظيفة المقدمة، وحرجيتها، والضمانات التعاقدية، وأدلة التأكيد. مع Didit، يتطابق ذلك بشكل نظيف:

عنصر سجل DORAما توفره Didit
وصف خدمة تكنولوجيا المعلومات والاتصالاتالتحقق من الهوية (KYC)، والتحقق من الأعمال (KYB)، وفحص مكافحة غسيل الأموال (AML)، ومراقبة المعاملات، وفحص المحفظة – واجهة برمجة تطبيقات موحدة /v3/
الحرجية / الوظيفة المدعومةإعداد العملاء والمراقبة المستمرة – عادةً ما تكون وظيفة حرجة أو مهمة
تأكيد الأمانشهادة ISO/IEC 27001:2022 رقم ES144068 (قابلة للتوزيع)
تأكيد التشغيلSOC 2 Type 1 (الأمان، التوفر، السرية)، اعتبارًا من 2026-04-09 (بموجب اتفاقية عدم إفشاء)
موقع / معالجة البياناتموثق في اتفاقية معالجة البيانات؛ كيان الاتحاد الأوروبي DIDIT IDENTITY SPAIN S.L.
حقوق التدقيق / الوصولحقوق التدقيق التعاقدية؛ مسار تدقيق واجهة برمجة تطبيقات كامل وسجل أحداث الويب
الخروج / قابلية النقلتصدير واجهة برمجة تطبيقات قياسية لسجلات الجلسة والمعاملات

تقوم الشهادات بالعمل الثقيل على صفوف التأكيد. مركز وثائق Didit والأمان على didit.me/security-compliance هو المكان الوحيد لجمع القطع الأثرية التي يحتاجها فريق العناية الواجبة الخاص بك.

حالات الاستخدام

  • البنوك ومؤسسات الأموال الإلكترونية في الاتحاد الأوروبي التي تضيف إعدادًا عن بعد دون توسيع بصمة سجل تكنولوجيا المعلومات والاتصالات الخاص بها - مزود معتمد واحد، ترتيب واحد.
  • مقدمو خدمات الأصول المشفرة بموجب MiCA، الذين يقعون أيضًا تحت DORA، ويحتاجون إلى كل من الإعداد ومراقبة المعاملات من طرف ثالث مرن.
  • مؤسسات الدفع التي يجب أن تثبت توافر وأمان اعتماد الإعداد لسلطة مختصة عند الطلب.
  • فرق الامتثال والمشتريات التي ترغب في تسليم الشهادات وأدلة التدقيق مقدمًا، وليس مطاردتها أثناء الفحص.

الأسئلة المتداولة

هل ينطبق DORA على مزودي التحقق من الهوية مباشرة؟

تقع التزامات DORA على الكيان المالي، ولكنها تصل إلى أطراف تكنولوجيا المعلومات والاتصالات الثالثة مثل مزودي الهوية من خلال ركيزة إدارة مخاطر الطرف الثالث. يجب على الكيان المالي إجراء العناية الواجبة، وتأمين الحقوق التعاقدية، وتسجيل الترتيب - مما يعني أن المزود يجب أن يكون قادرًا على إثبات مرونته.

هل Didit معتمدة بشهادة ISO 27001؟

نعم. تحمل Didit شهادة ISO/IEC 27001:2022 (Bureau Veritas، معتمدة من ENAC)، شهادة رقم ES144068، سارية حتى 2027-06-03، صادرة لـ DIDIT IDENTITY SPAIN S.L. يمكن توزيع الشهادة لملف البائع الخاص بك.

هل Didit معتمدة بشهادة SOC 2؟

تحمل Didit شهادة SOC 2 Type 1 (ATOM) عبر الأمن والتوافر والسرية، اعتبارًا من 2026-04-09. مخطط له فحص SOC 2 Type 2. يتم مشاركة التقرير الكامل بموجب اتفاقية عدم إفشاء.

هل يمكنني الحصول على مسار تدقيق للإبلاغ عن حوادث DORA؟

نعم. يتم تسجيل كل حدث تحقق ومراقبة للمعاملات وعرضه عبر واجهة برمجة تطبيقات /v3/ وخطافات الويب، مما يمنحك سجلًا قابلًا لإعادة التشغيل ومختومًا بالوقت للإبلاغ عن الحوادث وتوثيق المرونة.

أين يمكنني الحصول على وثائق الشهادة؟

ابدأ من مركز أمان Didit والامتثال على didit.me/security-compliance. شهادة ISO 27001 قابلة للتوزيع؛ يتم مشاركة تقرير SOC 2 Type 1 بموجب اتفاقية عدم إفشاء.

هل أنت مستعد للبدء؟

اطلع على حزمة شهادات Didit الكاملة على مركز الأمان والامتثال، واستكشف كيف يتناسب التحقق من الهوية مع سير عمل الإعداد في الاتحاد الأوروبي على صفحة منتج التحقق من الهوية، وراجع التسعير الشفاف لكل عملية تحقق على صفحة التسعير. عندما تكون مستعدًا، ابدأ مجانًا - 500 عملية تحقق مجانية من KYC كل شهر، على نفس واجهة برمجة تطبيقات /v3/ الموحدة التي سيوثقها سجل DORA الخاص بك.

بنية تحتية للهوية والاحتيال.

واجهة برمجية واحدة لـ KYC و KYB ومراقبة المعاملات وفحص المحافظ. ادمجها في 5 دقائق.

ابدأ مجانًاتحدث إلينا
اطلب من الذكاء الاصطناعي تلخيص هذه الصفحة
كيف تدعم Didit الامتثال لقانون DORA: مخاطر الطرف الثالث.