डिडिट और डोरा: पहचान के लिए आईसीटी थर्ड-पार्टी जोखिम (HI)

डिजिटल ऑपरेशनल रेजिलिएंस एक्ट (DORA) ने आउटसोर्सिंग के अर्थ को बदल दिया है। जनवरी 2025 से, पूरे यूरोपीय संघ में वित्तीय संस्थाएं सूचना और संचार प्रौद्योगिकी (ICT) थर्ड-पार्टियों की परिचालन लचीलापन के लिए सीधे जवाबदेह होंगी जिन पर वे निर्भर करती हैं — और एक बैंक, एक इलेक्ट्रॉनिक मनी संस्थान, या एक क्रिप्टो-एसेट सेवा प्रदाता के ऑनबोर्डिंग प्रवाह में बैठा एक पहचान सत्यापन प्रदाता ठीक उसी तरह की आईसीटी थर्ड-पार्टी है।

यह हर खरीद कॉल पर एक नया सवाल खड़ा करता है: क्या आप साबित कर सकते हैं कि आपका प्रदाता लचीला है, और क्या आप अपने नियामक के लिए उस प्रमाण का दस्तावेजीकरण कर सकते हैं? यह मार्गदर्शिका बताती है कि डोरा को आईसीटी थर्ड-पार्टियों से क्या अपेक्षाएं हैं, और यह ठीक वही दिखाती है कि डिडिट के प्रमाणपत्र, नियंत्रण और ऑडिट ट्रेल एक डोरा-तैयार विक्रेता फ़ाइल का समर्थन कैसे करते हैं।

मुख्य बातें

• डोरा वित्तीय संस्था को जवाबदेह बनाता है उन आईसीटी थर्ड-पार्टियों के लिए जिनका वह उपयोग करता है — पहचान और धोखाधड़ी प्रदाता भी शामिल हैं। आप जिम्मेदारी को आउटसोर्स नहीं कर सकते, केवल काम को।
• डिडिट आईएसओ/आईईसी 27001:2022 प्रमाणित है (ब्यूरो वेरिटास, ईएनएसी-मान्यता प्राप्त, प्रमाण पत्र संख्या ईएस144068, 2027-06-03 तक वैध) — एक अंतरराष्ट्रीय स्तर पर मान्यता प्राप्त सूचना सुरक्षा प्रबंधन प्रणाली जो सीधे डोरा की आईसीटी जोखिम-प्रबंधन अपेक्षाओं से मेल खाती है।
• डिडिट के पास एसओसी 2 टाइप 1 सत्यापन है (एटीओएम, 2026-04-09 तक) सुरक्षा, उपलब्धता और गोपनीयता विश्वास मानदंडों में, एक टाइप 2 परीक्षा की योजना के साथ।
• प्रत्येक सत्यापन एक अपरिवर्तनीय ऑडिट ट्रेल छोड़ता है — स्थितियां, निर्णय, और वेबहुक इवेंट जिन्हें आपकी टीम घटना रिपोर्टिंग और आईसीटी रजिस्टर के लिए फिर से चला सकती है।
• संपूर्ण पहचान-और-धोखाधड़ी जीवनचक्र एक एकीकृत /v3/ एपीआई पर चलता है, इसलिए लचीलापन, निगरानी और रिपोर्टिंग कई प्रदाताओं में बिखरी होने के बजाय एक जवाबदेह प्रदाता के साथ केंद्रित होती है।

डोरा क्या अपेक्षा करता है

डोरा वित्तीय क्षेत्र में डिजिटल परिचालन लचीलापन के लिए यूरोपीय संघ का ढांचा है। साइबर सुरक्षा को एक पक्षीय चिंता के रूप में मानने के बजाय, यह पांच स्तंभों को एक ही विनियमन में बनाता है:

1. आईसीटी जोखिम प्रबंधन — आईसीटी-संबंधित घटनाओं की पहचान करने, उनसे बचाव करने, उनका पता लगाने, उनका जवाब देने और उनसे उबरने के लिए एक दस्तावेजित ढांचा।
2. आईसीटी घटना रिपोर्टिंग — प्रमुख घटनाओं को वर्गीकृत करना और निर्धारित समय सीमा के भीतर सक्षम अधिकारियों को रिपोर्ट करना।
3. डिजिटल परिचालन लचीलापन परीक्षण — आईसीटी प्रणालियों का नियमित परीक्षण, महत्वपूर्ण संस्थाओं के लिए खतरे-आधारित पैठ परीक्षण तक।
4. आईसीटी थर्ड-पार्टी जोखिम प्रबंधन — वह स्तंभ जो डिडिट जैसे प्रदाताओं तक पहुंचता है: उचित परिश्रम, संविदात्मक सुरक्षा उपाय, प्रत्येक आईसीटी व्यवस्था पर सूचना का एक रजिस्टर, और निगरानी और बाहर निकलने की क्षमता।
5. सूचना साझाकरण — साइबर-खतरे की खुफिया जानकारी का स्वैच्छिक आदान-प्रदान।

चौथा स्तंभ वह है जिसका एक विक्रेता को जवाब देना चाहिए। डोरा वित्तीय संस्था से अपेक्षा करता है कि वह प्रत्येक आईसीटी थर्ड-पार्टी व्यवस्था का वर्णन करने वाले सूचना के रजिस्टर को बनाए रखे, अनुबंध करने से पहले उचित परिश्रम करे, विशिष्ट संविदात्मक अधिकारों (ऑडिट, पहुंच, उप-आउटसोर्सिंग पारदर्शिता, निकास) को सुरक्षित करे, और एकाग्रता जोखिम का आकलन करे। प्रदाता का काम इन सभी को साक्ष्य देना आसान बनाना है।

यह क्यों मायने रखता है

पहचान सत्यापन शायद ही कभी एक परिधीय प्रणाली होती है। यह ग्राहक ऑनबोर्डिंग के महत्वपूर्ण मार्ग पर स्थित है — और लेनदेन स्क्रीनिंग के माध्यम से निरंतर निगरानी के लिए तेजी से। यदि वह कार्यक्षमता खराब हो जाती है, तो ऑनबोर्डिंग रुक जाती है और उसके साथ राजस्व भी रुक जाता है। डोरा ठीक इसी तरह की निर्भरता को ऐसी चीज के रूप में मानता है जिसके बारे में नियामक पूछ सकता है।

व्यावहारिक परिणाम: जब कोई वित्तीय संस्था अपने आईसीटी रजिस्टर में एक पहचान प्रदाता जोड़ती है, तो उसे उस प्रदाता के सुरक्षा नियंत्रणों, उपलब्धता प्रतिबद्धताओं और घटना की स्थिति के बारे में दस्तावेजित आश्वासन की आवश्यकता होती है। एक प्रदाता जो मान्यता प्राप्त प्रमाणपत्र और एक साफ ऑडिट ट्रेल प्रदान कर सकता है, उचित परिश्रम को महीनों से दिनों तक छोटा कर देता है। एक प्रदाता जो ऐसा नहीं कर सकता, वह एक निष्कर्ष बन जाता है।

डिडिट कैसे मदद करता है

डिडिट की अनुपालन स्थिति को डोरा विक्रेता फ़ाइल में साक्ष्य के साथ, वादों के साथ नहीं, रखने के लिए बनाया गया है।

आईएसओ/आईईसी 27001:2022 प्रमाणन। डिडिट एक प्रमाणित सूचना सुरक्षा प्रबंधन प्रणाली (ISMS) संचालित करता है। प्रमाण पत्र — ब्यूरो वेरिटास सर्टिफिकेशन, ईएनएसी-मान्यता प्राप्त, प्रमाणपत्र संख्या ईएस144068, मूल रूप से 2026-04-07 को प्रमाणित और 2027-06-03 तक वैध, डिडिट आइडेंटिटी स्पेन एस.एल. को जारी किया गया — डिडिट डिजिटल पहचान समाधान के विकास, संचालन और तकनीकी सहायता को कवर करता है। आईएसओ 27001 आईसीटी जोखिम प्रबंधन के लिए अंतरराष्ट्रीय आधार रेखा है: इसके लिए एक दस्तावेजित ढांचा, परिभाषित नियंत्रण, जोखिम मूल्यांकन और निरंतर सुधार की आवश्यकता होती है — वही अनुशासन जो डोरा का पहला स्तंभ डिडिट पर निर्भर संस्थाओं से अपेक्षा करता है। प्रमाण पत्र वितरित करने योग्य है, इसलिए इसे सीधे रजिस्टर फ़ाइल में रखा जा सकता है।

एसओसी 2 टाइप 1 सत्यापन। डिडिट के पास एटीओएम (एआईसीपीए एसओसी फॉर सर्विस ऑर्गनाइजेशन फ्रेमवर्क के तहत एक स्वतंत्र सेवा ऑडिटर) से एसओसी 2 टाइप 1 रिपोर्ट है, जो 2026-04-09 तक सुरक्षा, उपलब्धता और गोपनीयता में नियंत्रणों के डिजाइन को प्रमाणित करती है। उपलब्धता वह मानदंड है जिसकी डोरा एक महत्वपूर्ण ऑनबोर्डिंग निर्भरता के लिए सबसे अधिक परवाह करता है। एक टाइप 2 परीक्षा — जो एक अवधि में परिचालन प्रभावशीलता का परीक्षण करती है — की योजना है। पूर्ण एसओसी 2 रिपोर्ट एआईसीपीए नियमों के तहत प्रतिबंधित उपयोग के लिए है और एनडीए के तहत संभावनाओं और ग्राहकों के साथ साझा की जाती है; डिडिट यहां इसकी सामग्री प्रकाशित करने के बजाय इसे संदर्भित करता है।

ऑडिट ट्रेल और घटना साक्ष्य। प्रत्येक सत्यापन, प्रत्येक लेनदेन-निगरानी निर्णय, और प्रत्येक स्थिति परिवर्तन को एकीकृत /v3/ एपीआई और वेबहुक (session.status.updated, transaction.status.updated, और संबंधित घटनाओं) के माध्यम से रिकॉर्ड और उजागर किया जाता है। यह एक वित्तीय संस्था को एक फिर से चलाने योग्य, टाइमस्टैंप रिकॉर्ड देता है जिसे वह अपनी स्वयं की घटना-रिपोर्टिंग और लचीलापन-परीक्षण दायित्वों में शामिल कर सकती है — और रजिस्टर में दस्तावेजीकरण के लिए एक स्पष्ट डेटा प्रवाह।

एक जवाबदेह प्रदाता। क्योंकि पहचान, व्यवसाय सत्यापन, एएमएल स्क्रीनिंग, लेनदेन निगरानी, और वॉलेट स्क्रीनिंग सभी एक ही /v3/ एपीआई पर चलते हैं, एक वित्तीय संस्था कई के बजाय एक ही, प्रमाणित आईसीटी थर्ड-पार्टी के साथ एक महत्वपूर्ण कार्य को केंद्रित करती है। रजिस्टर में कम व्यवस्थाएं, शासन के लिए एक संविदात्मक संबंध, बनाए रखने के लिए प्रमाणपत्रों का एक सेट।

गहन विश्लेषण: डिडिट के लिए आईसीटी रजिस्टर प्रविष्टि का निर्माण

एक पहचान प्रदाता के लिए डोरा सूचना रजिस्टर प्रविष्टि को आमतौर पर प्रदान किए गए कार्य, उसकी गंभीरता, संविदात्मक सुरक्षा उपायों और आश्वासन साक्ष्य को कैप्चर करने की आवश्यकता होती है। डिडिट के साथ, यह साफ-सुथरा मानचित्रण करता है:

डोरा रजिस्टर तत्व	डिडिट क्या प्रदान करता है
आईसीटी सेवा विवरण	पहचान सत्यापन (केवाईसी), व्यवसाय सत्यापन (केवाईबी), एएमएल स्क्रीनिंग, लेनदेन निगरानी, वॉलेट स्क्रीनिंग — एकीकृत /v3/ एपीआई
गंभीरता / समर्थित कार्य	ग्राहक ऑनबोर्डिंग और निरंतर निगरानी — आमतौर पर एक महत्वपूर्ण या महत्वपूर्ण कार्य
सुरक्षा आश्वासन	आईएसओ/आईईसी 27001:2022 प्रमाण पत्र संख्या ईएस144068 (वितरित करने योग्य)
परिचालन आश्वासन	एसओसी 2 टाइप 1 (सुरक्षा, उपलब्धता, गोपनीयता), 2026-04-09 तक (एनडीए के तहत)
डेटा स्थान / प्रसंस्करण	डेटा प्रसंस्करण समझौते में दस्तावेजित; यूरोपीय संघ की इकाई डिडिट आइडेंटिटी स्पेन एस.एल.
ऑडिट / पहुंच अधिकार	संविदात्मक ऑडिट अधिकार; पूर्ण एपीआई ऑडिट ट्रेल और वेबहुक इवेंट लॉग
निकास / पोर्टेबिलिटी	सत्र और लेनदेन रिकॉर्ड का मानक एपीआई निर्यात

प्रमाणपत्र आश्वासन पंक्तियों पर भारी काम करते हैं। didit.me/security-compliance पर डिडिट का दस्तावेजीकरण और सुरक्षा हब आपके उचित परिश्रम टीम को आवश्यक कलाकृतियों को इकट्ठा करने के लिए एकमात्र स्थान है।

उपयोग के मामले

• यूरोपीय संघ के बैंक और ईएमआई जो अपने आईसीटी रजिस्टर पदचिह्न का विस्तार किए बिना रिमोट ऑनबोर्डिंग जोड़ रहे हैं — एक प्रमाणित प्रदाता, एक व्यवस्था।
• एमआईसीए के तहत क्रिप्टो-एसेट सेवा प्रदाता, जो डोरा के अंतर्गत भी आते हैं, उन्हें एक लचीली थर्ड-पार्टी से ऑनबोर्डिंग और लेनदेन निगरानी दोनों की आवश्यकता होती है।
• भुगतान संस्थान जिन्हें अनुरोध पर एक सक्षम प्राधिकारी को ऑनबोर्डिंग निर्भरता की उपलब्धता और सुरक्षा का साक्ष्य देना होगा।
• अनुपालन और खरीद टीमें जो प्रमाणपत्र और ऑडिट साक्ष्य को पहले से ही सौंपना चाहती हैं, न कि परीक्षा के दौरान पीछा करना।

अक्सर पूछे जाने वाले प्रश्न

क्या डोरा सीधे पहचान सत्यापन प्रदाताओं पर लागू होता है?

डोरा के दायित्व वित्तीय संस्था पर पड़ते हैं, लेकिन वे थर्ड-पार्टी जोखिम-प्रबंधन स्तंभ के माध्यम से पहचान प्रदाताओं जैसे आईसीटी थर्ड-पार्टियों तक पहुंचते हैं। वित्तीय संस्था को उचित परिश्रम करना चाहिए, संविदात्मक अधिकारों को सुरक्षित करना चाहिए, और व्यवस्था को पंजीकृत करना चाहिए — जिसका अर्थ है कि प्रदाता को अपनी लचीलापन का साक्ष्य देने में सक्षम होना चाहिए।

क्या डिडिट आईएसओ 27001 प्रमाणित है?

हाँ। डिडिट के पास आईएसओ/आईईसी 27001:2022 प्रमाण पत्र (ब्यूरो वेरिटास, ईएनएसी-मान्यता प्राप्त), प्रमाण पत्र संख्या ईएस144068, 2027-06-03 तक वैध, डिडिट आइडेंटिटी स्पेन एस.एल. को जारी किया गया है। प्रमाण पत्र आपकी विक्रेता फ़ाइल के लिए वितरित करने योग्य है।

क्या डिडिट एसओसी 2 प्रमाणित है?

डिडिट के पास एसओसी 2 टाइप 1 सत्यापन (एटीओएम) सुरक्षा, उपलब्धता और गोपनीयता में, 2026-04-09 तक है। एक एसओसी 2 टाइप 2 परीक्षा की योजना है। पूर्ण रिपोर्ट एनडीए के तहत साझा की जाती है।

क्या मुझे डोरा घटना रिपोर्टिंग के लिए ऑडिट ट्रेल मिल सकता है?

हाँ। प्रत्येक सत्यापन और लेनदेन-निगरानी घटना को /v3/ एपीआई और वेबहुक के माध्यम से रिकॉर्ड और उजागर किया जाता है, जिससे आपको घटना रिपोर्टिंग और लचीलापन दस्तावेजीकरण के लिए एक फिर से चलाने योग्य, टाइमस्टैंप रिकॉर्ड मिलता है।

मुझे प्रमाणन दस्तावेज कहां मिलेंगे?

didit.me/security-compliance पर डिडिट सुरक्षा और अनुपालन हब से शुरू करें। आईएसओ 27001 प्रमाण पत्र वितरित करने योग्य है; एसओसी 2 टाइप 1 रिपोर्ट एनडीए के तहत साझा की जाती है।

शुरू करने के लिए तैयार हैं?

सुरक्षा और अनुपालन हब पर डिडिट का पूरा सत्यापन स्टैक देखें, आईडी सत्यापन उत्पाद पृष्ठ पर यूरोपीय संघ के ऑनबोर्डिंग प्रवाह में पहचान सत्यापन कैसे फिट बैठता है, इसका अन्वेषण करें, और मूल्य निर्धारण पृष्ठ पर प्रति-जांच पारदर्शी मूल्य निर्धारण की समीक्षा करें। जब आप तैयार हों, तो मुफ्त में शुरू करें — हर महीने 500 मुफ्त केवाईसी जांच, उसी एकीकृत /v3/ एपीआई पर जिसे आपका डोरा रजिस्टर दस्तावेजित करेगा।