Bagaimana Didit Memenuhi DORA: Risiko Pihak Ketiga TIK untuk Identitas (ID)
DORA mewajibkan entitas keuangan bertanggung jawab atas pihak ketiga TIK yang mereka gunakan — termasuk penyedia identitas. Berikut adalah bagaimana sertifikasi ISO 27001 Didit, atestasi SOC 2 Tipe 1, dan postur jejak audit.
Digital Operational Resilience Act (DORA) mengubah makna outsourcing. Mulai Januari 2025, entitas keuangan di seluruh UE bertanggung jawab langsung atas ketahanan operasional teknologi informasi dan komunikasi (TIK) pihak ketiga yang mereka andalkan — dan penyedia verifikasi identitas yang ada dalam alur orientasi bank, lembaga uang elektronik, atau penyedia layanan aset kripto adalah persis jenis pihak ketiga TIK tersebut.
Hal ini menimbulkan pertanyaan baru pada setiap panggilan pengadaan: dapatkah Anda membuktikan bahwa penyedia Anda tangguh, dan dapatkah Anda mendokumentasikan bukti tersebut untuk regulator Anda? Panduan ini menjelaskan apa yang DORA persyaratkan dari pihak ketiga TIK, dan menunjukkan dengan tepat bagaimana sertifikasi, kontrol, dan jejak audit Didit mendukung file vendor yang siap DORA.
Poin-poin penting
- DORA membuat entitas keuangan bertanggung jawab atas pihak ketiga TIK yang digunakannya — termasuk penyedia identitas dan penipuan. Anda tidak dapat mengalihdayakan tanggung jawabnya, hanya pekerjaannya.
- Didit bersertifikat ISO/IEC 27001:2022 (Bureau Veritas, terakreditasi ENAC, sertifikat nº ES144068, berlaku hingga 03-06-2027) — sistem manajemen keamanan informasi yang diakui secara internasional yang secara langsung sesuai dengan ekspektasi manajemen risiko TIK DORA.
- Didit memegang atestasi SOC 2 Tipe 1 (ATOM, per 09-04-2026) di seluruh kriteria kepercayaan Keamanan, Ketersediaan, dan Kerahasiaan, dengan pemeriksaan Tipe 2 yang direncanakan.
- Setiap verifikasi meninggalkan jejak audit yang tidak dapat diubah — status, keputusan, dan peristiwa webhook yang dapat diputar ulang oleh tim Anda untuk pelaporan insiden dan register TIK.
- Siklus hidup identitas dan penipuan penuh berjalan pada satu API
/v3/terpadu, sehingga ketahanan, pemantauan, dan pelaporan terkonsentrasi pada satu penyedia yang bertanggung jawab daripada tersebar di banyak penyedia.
Apa yang DORA persyaratkan
DORA adalah kerangka kerja UE untuk ketahanan operasional digital di sektor keuangan. Daripada memperlakukan keamanan siber sebagai masalah sampingan, DORA membangun lima pilar menjadi satu regulasi:
- Manajemen risiko TIK — kerangka kerja terdokumentasi untuk mengidentifikasi, melindungi dari, mendeteksi, menanggapi, dan memulihkan dari insiden terkait TIK.
- Pelaporan insiden TIK — mengklasifikasikan dan melaporkan insiden besar kepada otoritas yang berwenang dalam batas waktu yang ditentukan.
- Pengujian ketahanan operasional digital — pengujian rutin sistem TIK, hingga pengujian penetrasi berbasis ancaman untuk entitas penting.
- Manajemen risiko pihak ketiga TIK — pilar yang menjangkau penyedia seperti Didit: uji tuntas, perlindungan kontraktual, register informasi tentang setiap pengaturan TIK, dan kemampuan untuk memantau dan keluar.
- Berbagi informasi — pertukaran intelijen ancaman siber secara sukarela.
Pilar keempat adalah yang harus dijawab oleh vendor. DORA mengharapkan entitas keuangan untuk mempertahankan register informasi yang menjelaskan setiap pengaturan pihak ketiga TIK, untuk melakukan uji tuntas sebelum kontrak, untuk mengamankan hak kontraktual tertentu (audit, akses, transparansi sub-outsourcing, keluar), dan untuk menilai risiko konsentrasi. Tugas penyedia adalah membuat semua itu mudah dibuktikan.
Mengapa itu penting
Verifikasi identitas jarang menjadi sistem periferal. Ini berada pada jalur kritis orientasi pelanggan — dan semakin banyak pemantauan berkelanjutan melalui penyaringan transaksi. Jika fungsi itu menurun, orientasi berhenti dan pendapatan berhenti bersamanya. DORA memperlakukan jenis ketergantungan ini sebagai sesuatu yang dapat ditanyakan oleh regulator.
Konsekuensi praktisnya: ketika entitas keuangan menambahkan penyedia identitas ke register TIK-nya, ia memerlukan jaminan terdokumentasi tentang kontrol keamanan penyedia tersebut, komitmen ketersediaan, dan postur insiden. Penyedia yang dapat menyerahkan sertifikasi yang diakui dan jejak audit yang bersih memperpendek uji tuntas dari bulan menjadi hari. Penyedia yang tidak dapat melakukannya menjadi temuan.
Bagaimana Didit membantu
Postur kepatuhan Didit dibangun untuk masuk ke dalam file vendor DORA dengan bukti, bukan janji.
Sertifikasi ISO/IEC 27001:2022. Didit mengoperasikan Sistem Manajemen Keamanan Informasi (ISMS) bersertifikat. Sertifikat — Bureau Veritas Certification, terakreditasi ENAC, sertifikat nº ES144068, awalnya disertifikasi 07-04-2026 dan berlaku hingga 03-06-2027, diterbitkan untuk DIDIT IDENTITY SPAIN S.L. — mencakup pengembangan, operasi, dan dukungan teknis solusi identitas digital Didit. ISO 27001 adalah dasar internasional untuk manajemen risiko TIK: ini mensyaratkan kerangka kerja terdokumentasi, kontrol yang ditentukan, penilaian risiko, dan peningkatan berkelanjutan — disiplin ilmu yang sama yang diharapkan pilar pertama DORA dari entitas yang mengandalkan Didit. Sertifikat ini dapat didistribusikan, sehingga dapat langsung masuk ke file register.
Atestasi SOC 2 Tipe 1. Didit memegang laporan SOC 2 Tipe 1 dari ATOM (auditor layanan independen di bawah kerangka AICPA SOC for Service Organizations), yang membuktikan desain kontrol di seluruh Keamanan, Ketersediaan, dan Kerahasiaan per 09-04-2026. Ketersediaan adalah kriteria yang paling diperhatikan DORA untuk ketergantungan orientasi yang kritis. Pemeriksaan Tipe 2 — yang menguji efektivitas operasi selama suatu periode — direncanakan. Laporan SOC 2 lengkap memiliki penggunaan terbatas berdasarkan aturan AICPA dan dibagikan kepada calon pelanggan dan pelanggan di bawah NDA; Didit mereferensikannya di sini daripada mempublikasikan isinya.
Jejak audit dan bukti insiden. Setiap verifikasi, setiap keputusan pemantauan transaksi, dan setiap perubahan status dicatat dan diekspos melalui API /v3/ terpadu dan webhook (session.status.updated, transaction.status.updated, dan peristiwa terkait). Itu memberi entitas keuangan catatan yang dapat diputar ulang dan diberi stempel waktu yang dapat dimasukkan ke dalam kewajiban pelaporan insiden dan pengujian ketahanan mereka sendiri — dan aliran data yang jelas untuk didokumentasikan dalam register.
Satu penyedia yang bertanggung jawab. Karena identitas, verifikasi bisnis, penyaringan AML, pemantauan transaksi, dan penyaringan dompet semuanya berjalan pada API /v3/ yang sama, entitas keuangan mengkonsentrasikan fungsi kritis dengan satu pihak ketiga TIK yang bersertifikat daripada menyatukan beberapa pihak. Lebih sedikit pengaturan dalam register, satu hubungan kontraktual untuk diatur, satu set sertifikasi untuk dipertahankan.
Penjelasan mendalam: membangun entri register TIK untuk Didit
Entri register informasi DORA untuk penyedia identitas biasanya perlu menangkap fungsi yang disediakan, kekritisannya, perlindungan kontraktual, dan bukti jaminan. Dengan Didit, itu dipetakan dengan rapi:
| Elemen register DORA | Apa yang Didit sediakan |
|---|---|
| Deskripsi layanan TIK | Verifikasi identitas (KYC), verifikasi bisnis (KYB), penyaringan AML, pemantauan transaksi, penyaringan dompet — API /v3/ terpadu |
| Kekritisan / fungsi yang didukung | Orientasi pelanggan dan pemantauan berkelanjutan — biasanya fungsi kritis atau penting |
| Jaminan keamanan | Sertifikat ISO/IEC 27001:2022 nº ES144068 (dapat didistribusikan) |
| Jaminan operasional | SOC 2 Tipe 1 (Keamanan, Ketersediaan, Kerahasiaan), per 09-04-2026 (di bawah NDA) |
| Lokasi / pemrosesan data | Didokumentasikan dalam perjanjian pemrosesan data; entitas UE DIDIT IDENTITY SPAIN S.L. |
| Hak audit / akses | Hak audit kontraktual; jejak audit API lengkap dan log peristiwa webhook |
| Keluar / portabilitas | Ekspor API standar catatan sesi dan transaksi |
Sertifikasi melakukan pekerjaan berat pada baris jaminan. Pusat dokumentasi dan keamanan Didit di didit.me/security-compliance adalah satu-satunya tempat untuk mengumpulkan artefak yang dibutuhkan tim uji tuntas Anda.
Kasus penggunaan
- Bank dan EMI UE menambahkan orientasi jarak jauh tanpa memperluas jejak register TIK mereka — satu penyedia bersertifikat, satu pengaturan.
- Penyedia layanan aset kripto di bawah MiCA, yang juga termasuk dalam DORA, membutuhkan orientasi dan pemantauan transaksi dari pihak ketiga yang tangguh.
- Lembaga pembayaran yang harus membuktikan ketersediaan dan keamanan ketergantungan orientasi kepada otoritas yang berwenang atas permintaan.
- Tim kepatuhan dan pengadaan yang menginginkan sertifikasi dan bukti audit diserahkan di muka, bukan dikejar selama pemeriksaan.
Pertanyaan yang sering diajukan
Apakah DORA berlaku langsung untuk penyedia verifikasi identitas?
Kewajiban DORA jatuh pada entitas keuangan, tetapi menjangkau pihak ketiga TIK seperti penyedia identitas melalui pilar manajemen risiko pihak ketiga. Entitas keuangan harus melakukan uji tuntas, mengamankan hak kontraktual, dan mendaftarkan pengaturan — yang berarti penyedia harus dapat membuktikan ketahanannya.
Apakah Didit bersertifikat ISO 27001?
Ya. Didit memegang sertifikat ISO/IEC 27001:2022 (Bureau Veritas, terakreditasi ENAC), sertifikat nº ES144068, berlaku hingga 03-06-2027, diterbitkan untuk DIDIT IDENTITY SPAIN S.L. Sertifikat ini dapat didistribusikan untuk file vendor Anda.
Apakah Didit bersertifikat SOC 2?
Didit memegang atestasi SOC 2 Tipe 1 (ATOM) di seluruh Keamanan, Ketersediaan, dan Kerahasiaan, per 09-04-2026. Pemeriksaan SOC 2 Tipe 2 direncanakan. Laporan lengkap dibagikan di bawah NDA.
Bisakah saya mendapatkan jejak audit untuk pelaporan insiden DORA?
Ya. Setiap verifikasi dan peristiwa pemantauan transaksi dicatat dan diekspos melalui API /v3/ dan webhook, memberi Anda catatan yang dapat diputar ulang dan diberi stempel waktu untuk pelaporan insiden dan dokumentasi ketahanan.
Di mana saya bisa mendapatkan dokumen sertifikasi?
Mulai dari pusat keamanan dan kepatuhan Didit di didit.me/security-compliance. Sertifikat ISO 27001 dapat didistribusikan; laporan SOC 2 Tipe 1 dibagikan di bawah NDA.
Siap untuk memulai?
Lihat tumpukan atestasi lengkap Didit di pusat keamanan dan kepatuhan, jelajahi bagaimana verifikasi identitas sesuai dengan alur orientasi UE di halaman produk Verifikasi ID, dan tinjau harga per-cek yang transparan di halaman harga. Ketika Anda siap, mulai gratis — 500 pemeriksaan KYC gratis setiap bulan, pada API /v3/ terpadu yang sama yang akan didokumentasikan oleh register DORA Anda.