Panduan DORA untuk FinTech: Mengelola Risiko TI & Identitas (ID)

Apa itu DORA? Digital Operational Resilience Act (DORA) adalah regulasi Uni Eropa yang dirancang untuk memperkuat ketahanan entitas keuangan terhadap gangguan terkait TI.

Siapa yang wajib patuh? Semua entitas keuangan UE, termasuk bank, perusahaan investasi, perusahaan asuransi, dan FinTech, serta penyedia layanan TI pihak ketiga kritis mereka.

Area fokus utama: DORA mewajibkan manajemen risiko TI yang kuat, pelaporan insiden, pengujian ketahanan, manajemen risiko pihak ketiga, dan berbagi informasi.

Apa yang baru untuk penyedia identitas? Penyedia identitas semakin diawasi di bawah DORA, terutama terkait peran mereka dalam memastikan akses aman dan mencegah akses tidak sah.

Memahami DORA: Meningkatkan Ketahanan Operasional Digital

DORA, atau Digital Operational Resilience Act, merupakan perombakan signifikan terhadap cara entitas keuangan di Uni Eropa mendekati operasi digital dan keamanan siber mereka. Ini bukan sekadar kotak centang kepatuhan; ini adalah kerangka kerja komprehensif yang bertujuan untuk memastikan sektor keuangan UE dapat menahan, merespons, dan pulih dari gangguan operasional parah yang disebabkan oleh insiden Teknologi Informasi dan Komunikasi (TI). Bagi perusahaan FinTech, memahami dan menerapkan DORA sangat penting untuk kelangsungan operasi dan pertumbuhan di pasar UE. Intinya, DORA mengkonsolidasikan dan menyelaraskan persyaratan peraturan terkait TI yang ada, menciptakan seperangkat aturan yang terpadu. Ini berarti alih-alih menavigasi berbagai peraturan nasional, entitas keuangan akan mematuhi standar tunggal di seluruh UE. Regulasi ini menekankan ketahanan operasional digital – kemampuan entitas untuk mempertahankan fungsi bisnis penting melalui gangguan TI. Ini mencakup segalanya mulai dari pencegahan serangan siber hingga pemulihan dari bencana alam yang memengaruhi infrastruktur TI. Cakupan DORA luas, mencakup bank, perusahaan asuransi, perusahaan investasi, lembaga pembayaran, dan yang terpenting, FinTech yang menawarkan layanan keuangan. Ini juga meluas ke penyedia layanan TI pihak ketiga yang kritis, termasuk yang menawarkan layanan cloud, perangkat lunak, dan solusi verifikasi identitas. Keterlibatan ini berarti bahwa jika FinTech Anda bergantung pada penyedia eksternal untuk fungsi penting, Anda harus memastikan penyedia tersebut juga memenuhi persyaratan ketat DORA. Ini meluas ke peran Anda sendiri jika Anda bertindak sebagai penyedia pihak ketiga yang kritis untuk entitas keuangan lainnya. Pilar Utama DORA: * Manajemen Risiko TI: Membutuhkan kerangka kerja komprehensif, termasuk kebijakan, prosedur, dan kontrol, untuk mengelola risiko TI secara efektif. * Pelaporan Insiden TI: Mewajibkan klasifikasi dan pelaporan insiden terkait TI yang signifikan kepada otoritas yang berwenang dalam jangka waktu yang ketat. * Pengujian Ketahanan Operasional Digital: Membutuhkan pengujian rutin sistem dan fungsi TI, termasuk penilaian kerentanan, pengujian penetrasi, dan latihan berbasis skenario. * Manajemen Risiko Pihak Ketiga: Menetapkan kerangka pengawasan terperinci untuk mengelola risiko yang timbul dari penyedia layanan TI pihak ketiga. * Berbagi Informasi: Mendorong berbagi intelijen ancaman siber secara sukarela di antara entitas keuangan. Bagi FinTech, implikasinya jelas: pendekatan proaktif dan kuat terhadap manajemen risiko TI tidak lagi opsional tetapi merupakan mandat peraturan.

Menavigasi Risiko TI FinTech di Bawah DORA

Perusahaan FinTech, pada dasarnya, beroperasi di lingkungan yang sangat digital. Model bisnis mereka dibangun di atas teknologi, membuat mereka sangat rentan terhadap risiko TI. DORA membawa tingkat pengawasan yang lebih tinggi terhadap risiko-risiko ini, menuntut pendekatan yang lebih matang dan komprehensif dari sebelumnya. Ini termasuk memahami seluruh ekosistem TI, mulai dari sistem internal hingga jaringan kompleks ketergantungan pihak ketiga. Tantangan bagi FinTech terletak pada sifat dinamis operasi mereka dan evolusi teknologi yang cepat. Mereka sering kali mengadopsi alat dan layanan baru dengan cepat agar tetap kompetitif, yang dapat menimbulkan kerentanan baru. DORA memerlukan pendekatan sistematis untuk mengidentifikasi, menilai, dan mengurangi risiko ini. Ini berarti tidak hanya melindungi dari ancaman eksternal seperti malware dan phishing tetapi juga memastikan integritas dan ketersediaan layanan penting, seperti pemrosesan pembayaran, manajemen akun, dan yang terpenting, verifikasi identitas. Pertimbangkan peran penyedia identitas dalam ekosistem FinTech. Layanan ini sangat mendasar untuk proses Kenali Pelanggan Anda (KYC), login yang aman, dan pencegahan penipuan. Di bawah DORA, ketahanan dan keamanan solusi identitas ini sangat penting. Kompromi dalam sistem penyedia identitas dapat menyebabkan akses tidak sah yang meluas, pelanggaran data, dan keruntuhan total kelangsungan operasional bagi FinTech. Oleh karena itu, FinTech harus secara ketat menilai risiko TI yang terkait dengan penyedia identitas pilihan mereka, memastikan mereka memenuhi standar ketahanan dan memiliki protokol keamanan yang kuat. Selanjutnya, DORA menekankan pendekatan 'dari awal hingga akhir' untuk manajemen risiko TI. Ini berarti bahwa penilaian risiko harus diintegrasikan ke dalam seluruh siklus hidup sistem atau layanan TI apa pun, mulai dari pengadaan dan pengembangan hingga penerapan dan penonaktifan. Bagi FinTech, ini berarti menanamkan pertimbangan risiko ke dalam peta jalan pengembangan produk, proses pemilihan vendor, dan bahkan desain antarmuka pengguna. Tujuannya adalah untuk membangun ketahanan ke dalam struktur organisasi, bukan untuk menambahkannya sebagai renungan.

Manajemen Risiko Pihak Ketiga: Komponen Kritis

Salah satu aspek terpenting dari DORA bagi FinTech adalah kerangka kerja ketatnya untuk manajemen risiko pihak ketiga. Mengingat banyak FinTech sangat bergantung pada penyedia layanan eksternal untuk berbagai fungsi – hosting cloud, pengembangan perangkat lunak, analisis data, dan tentu saja, verifikasi identitas – mengelola hubungan ini secara efektif sangat penting untuk kepatuhan. DORA tidak hanya memerlukan uji tuntas; ini mengamanatkan proses pengawasan yang proaktif dan berkelanjutan. Entitas keuangan harus menyimpan inventaris semua pengaturan penyedia layanan TI pihak ketiga. Untuk setiap penyedia kritis, penilaian komprehensif harus dilakukan. Ini termasuk mengevaluasi langkah-langkah keamanan penyedia, kemampuan ketahanan operasional, rencana kelangsungan bisnis, dan manajemen sub-kontraktor mereka sendiri. Regulasi ini juga memperkenalkan konsep penyedia layanan TI pihak ketiga yang 'kritis', yang dapat dikenai pengawasan langsung oleh otoritas pengawas Eropa. Untuk penyedia identitas, ini berarti menunjukkan kepatuhan terhadap persyaratan DORA. Ini mungkin melibatkan penyediaan dokumentasi terperinci tentang sertifikasi keamanan mereka (seperti ISO 27001), prosedur respons insiden, langkah-langkah perlindungan data, dan hasil pengujian ketahanan mereka sendiri. FinTech perlu memastikan bahwa kontrak dengan penyedia ini mencakup klausul spesifik terkait ketahanan operasional, hak audit, dan strategi keluar. Di luar penyedia identitas, ini berlaku untuk semua vendor kritis. Jika FinTech menggunakan penyedia cloud untuk infrastruktur intinya, ketahanan penyedia tersebut secara langsung terkait dengan ketahanan operasional FinTech itu sendiri. DORA mendorong pemahaman dan pengelolaan ketergantungan ini secara lebih mendalam. Ini juga mencakup pemahaman risiko yang terkait dengan agregasi risiko pihak ketiga – risiko kumulatif yang ditimbulkan oleh beberapa penyedia yang saling terhubung. Regulasi ini juga memperkenalkan kemungkinan pengawasan langsung untuk penyedia layanan TI pihak ketiga yang kritis tertentu. Ini berarti bahwa penyedia cloud besar atau penyedia layanan penting lainnya mungkin menghadapi pengawasan langsung dari regulator UE, yang secara tidak langsung dapat menguntungkan entitas keuangan yang bergantung pada mereka dengan memastikan standar ketahanan yang lebih tinggi di seluruh rantai pasokan.

Penyedia Identitas dan Kepatuhan DORA

Penyedia identitas memainkan peran penting dalam ekosistem keuangan digital, dan DORA menempatkan mereka di bawah sorotan. Memastikan keamanan, integritas, dan ketersediaan layanan verifikasi identitas tidak dapat dinegosiasikan bagi FinTech yang ingin patuh pada DORA. Ini melibatkan pendekatan multi-aspek: 1. Proses Verifikasi Identitas yang Kuat: Penyedia identitas harus menggunakan metode yang aman dan tangguh untuk memverifikasi identitas pengguna. Ini termasuk mekanisme otentikasi yang kuat, perlindungan terhadap pencurian identitas, dan kepatuhan terhadap peraturan perlindungan data seperti GDPR. Untuk DORA, ini berarti memastikan proses ini tidak hanya aman tetapi juga sangat tersedia dan tangguh terhadap gangguan. 2. Penanganan Data yang Aman: Data identitas sangat sensitif. Penyedia harus menerapkan langkah-langkah keamanan canggih untuk melindungi data ini dari pelanggaran, termasuk enkripsi, kontrol akses, dan audit keamanan rutin. DORA mewajibkan semua sistem TI yang mendukung fungsi kritis harus dilindungi dari akses tidak sah dan kehilangan data. 3. Ketahanan dan Ketersediaan: Layanan identitas harus tersedia saat dibutuhkan. Ini membutuhkan infrastruktur redundan, rencana pemulihan bencana yang kuat, dan manajemen kelangsungan bisnis yang efektif. FinTech perlu menilai jaminan waktu aktif dan pengujian ketahanan yang dilakukan oleh penyedia identitas mereka. 4. Respons Insiden: Jika terjadi insiden, penyedia identitas harus memiliki rencana respons insiden yang jelas, cepat, dan efektif. Ini termasuk pemberitahuan tepat waktu kepada klien FinTech mereka sehingga mereka dapat memenuhi kewajiban pelaporan DORA mereka sendiri. 5. Manajemen Sub-kontraktor: Jika penyedia identitas menggunakan pihak ketiga lain (misalnya, untuk pemrosesan data atau infrastruktur), mereka harus memastikan sub-kontraktor tersebut juga memenuhi standar DORA untuk manajemen risiko TI dan ketahanan operasional. FinTech harus secara aktif terlibat dengan penyedia identitas mereka, meminta bukti kesiapan atau kepatuhan DORA mereka. Ini mungkin melibatkan peninjauan kebijakan keamanan, laporan audit, dan rencana respons insiden mereka. Memilih penyedia identitas yang memahami dan mengatasi persyaratan DORA ini sangat penting untuk mengurangi risiko dan memastikan kepatuhan.

Persiapan untuk DORA: Langkah Praktis untuk FinTech

Kepatuhan DORA adalah proses yang berkelanjutan, bukan peristiwa satu kali. FinTech harus mengambil langkah-langkah praktis berikut: * Lakukan Analisis Kesenjangan: Nilai kerangka kerja manajemen risiko TI Anda saat ini terhadap persyaratan DORA. Identifikasi area di mana kebijakan, prosedur, dan kontrol Anda kurang. * Perbarui Kebijakan Manajemen Risiko TI: Pastikan kebijakan Anda komprehensif, mencakup semua aspek mulai dari deteksi ancaman hingga respons insiden dan kelangsungan bisnis. * Inventaris Penyedia Pihak Ketiga: Simpan inventaris terperinci dan terkini dari semua penyedia layanan TI pihak ketiga, klasifikasikan berdasarkan tingkat kekritisannya. * Perkuat Uji Tuntas Vendor: Tingkatkan proses uji tuntas Anda untuk memilih dan memantau penyedia pihak ketiga, fokus pada ketahanan operasional dan postur keamanan mereka. * Terapkan Pelaporan Insiden yang Kuat: Tetapkan prosedur yang jelas untuk mengklasifikasikan dan melaporkan insiden TI kepada otoritas yang relevan dalam jangka waktu yang diamanatkan. * Kembangkan Program Pengujian Ketahanan: Terapkan jadwal rutin untuk menguji sistem dan fungsi TI Anda, termasuk pengujian penetrasi dan latihan berbasis skenario. * Latih Staf Anda: Pastikan karyawan Anda memahami peran dan tanggung jawab mereka di bawah DORA, terutama mereka yang terlibat dalam manajemen risiko TI, kepatuhan, dan operasi. * Terlibat dengan Penyedia Identitas Anda: Secara proaktif diskusikan DORA dengan penyedia identitas Anda dan vendor kritis lainnya. Minta dokumentasi dan jaminan upaya kepatuhan mereka. Dengan mengambil langkah-langkah ini, FinTech tidak hanya dapat mencapai kepatuhan DORA tetapi juga secara signifikan meningkatkan ketahanan operasional digital mereka, membangun kepercayaan yang lebih besar dengan pelanggan dan regulator.

Pertanyaan yang Sering Diajukan tentang DORA

Kapan batas waktu kepatuhan DORA?

Regulasi DORA secara resmi berlaku pada 17 Januari 2024. Semua entitas keuangan yang tercakup dan penyedia layanan TI pihak ketiga kritis mereka harus patuh pada tanggal ini.

Bagaimana DORA memengaruhi FinTech non-UE yang beroperasi di UE?

Jika FinTech, terlepas dari lokasi basisnya, menyediakan layanan kepada entitas keuangan UE atau langsung kepada konsumen di dalam UE, itu mungkin termasuk dalam cakupan DORA, terutama jika layanannya dianggap kritis. Ini termasuk persyaratan untuk penyedia layanan TI pihak ketiganya.

Apa sanksi untuk ketidakpatuhan terhadap DORA?

Otoritas yang berwenang dapat menjatuhkan denda yang signifikan untuk ketidakpatuhan, yang bisa sangat besar, berpotensi mencapai hingga 1% dari omzet harian rata-rata di seluruh dunia untuk entitas keuangan dan hingga €1 juta untuk penyedia layanan TI pihak ketiga.

Siap Memulai?

Menavigasi kompleksitas kepatuhan DORA memerlukan pendekatan strategis terhadap manajemen risiko TI dan pengawasan pihak ketiga. Didit menyediakan platform verifikasi identitas yang kuat yang dirancang dengan ketahanan dan keamanan sebagai intinya, membantu FinTech memenuhi tuntutan peraturan yang ketat.

Pelajari lebih lanjut tentang fitur kepatuhan Didit: Kepatuhan Didit

Jelajahi kemampuan platform Didit: Platform Didit

Hubungi kami untuk demo yang dipersonalisasi: Hubungi Didit

Bagaimana Didit mendukung postur DORA Anda

Didit adalah penyedia pihak ketiga TIK yang dapat Anda buktikan: bersertifikat ISO/IEC 27001:2022 (Bureau Veritas, sertifikat ES144068, berlaku hingga 2027-06-03), SOC 2 Tipe 1 diakui (ATOM), dan menghasilkan webhook serta jejak audit yang dibutuhkan pelaporan DORA Anda.

Lihat keamanan & kepatuhan Didit, jelajahi produk, periksa harga, dan mulai gratis — 500 pemeriksaan KYC gratis setiap bulan.