Didit과 DORA 규정 준수: 신원 확인을 위한 ICT 제3자 리스크 관리 (KO)
DORA는 금융 기관이 의존하는 ICT 제3자(신원 확인 제공업체 포함)에 대한 책임을 요구합니다. Didit의 ISO 27001 인증, SOC 2 Type 1 증명서, 감사 추적을 통해 DORA 규정을 준수하는 공급업체 파일을 지원하는 방법을 소개합니다.
DORA(Digital Operational Resilience Act)는 아웃소싱의 의미를 바꾸어 놓았습니다. 2025년 1월부터 EU 전역의 금융 기관은 의존하는 정보통신기술(ICT) 제3자의 운영 탄력성에 대해 직접적인 책임을 지게 됩니다. 은행, 전자 화폐 기관 또는 암호화 자산 서비스 제공업체의 온보딩 흐름에 있는 신원 확인 제공업체는 바로 이러한 ICT 제3자에 해당합니다.
이는 모든 조달 통화에 새로운 질문을 던집니다. 귀하의 공급업체가 탄력적임을 증명할 수 있으며, 규제 기관에 해당 증거를 문서화할 수 있습니까? 이 가이드는 DORA가 ICT 제3자에게 요구하는 사항을 설명하고, Didit의 인증, 통제 및 감사 추적이 DORA 규정을 준수하는 공급업체 파일을 정확히 어떻게 지원하는지 보여줍니다.
핵심 내용
- DORA는 금융 기관이 책임지도록 합니다. 사용하는 ICT 제3자(신원 및 사기 제공업체 포함)에 대해 책임을 집니다. 책임은 아웃소싱할 수 없으며, 작업만 아웃소싱할 수 있습니다.
- Didit은 ISO/IEC 27001:2022 인증을 받았습니다. (Bureau Veritas, ENAC 공인, 인증서 번호 ES144068, 2027년 6월 3일까지 유효) — DORA의 ICT 위험 관리 기대치에 직접적으로 부합하는 국제적으로 인정된 정보 보안 관리 시스템입니다.
- Didit은 SOC 2 Type 1 증명서를 보유하고 있습니다. (ATOM, 2026년 4월 9일 기준) 보안, 가용성, 기밀성 신뢰 기준 전반에 걸쳐 있으며, Type 2 심사를 계획하고 있습니다.
- 모든 확인은 변경 불가능한 감사 추적을 남깁니다. 상태, 결정 및 웹훅 이벤트는 팀에서 사고 보고 및 ICT 등록을 위해 재생할 수 있습니다.
- 전체 신원 및 사기 수명 주기는 하나의 통합
/v3/API에서 실행됩니다. 따라서 탄력성, 모니터링 및 보고는 여러 곳에 분산되지 않고 하나의 책임 있는 제공업체에 집중됩니다.
DORA의 요구사항
DORA는 금융 부문의 디지털 운영 탄력성을 위한 EU의 프레임워크입니다. 사이버 보안을 부수적인 문제로 취급하기보다는 다섯 가지 기둥을 단일 규정으로 구축합니다.
- ICT 위험 관리 — ICT 관련 사고를 식별, 방지, 탐지, 대응 및 복구하기 위한 문서화된 프레임워크.
- ICT 사고 보고 — 주요 사고를 정해진 기한 내에 관할 당국에 분류 및 보고.
- 디지털 운영 탄력성 테스트 — ICT 시스템의 정기적인 테스트, 중요 기관에 대한 위협 주도 침투 테스트까지 포함.
- ICT 제3자 위험 관리 — Didit과 같은 제공업체에 적용되는 기둥: 실사, 계약적 보호 조치, 모든 ICT 계약에 대한 정보 등록, 모니터링 및 종료 능력.
- 정보 공유 — 사이버 위협 정보의 자발적 교환.
네 번째 기둥은 공급업체가 답해야 할 부분입니다. DORA는 금융 기관이 각 ICT 제3자 계약을 설명하는 정보 등록부를 유지하고, 계약 전에 실사를 수행하며, 특정 계약 권리(감사, 접근, 하위 아웃소싱 투명성, 종료)를 확보하고, 집중 위험을 평가할 것을 기대합니다. 제공업체의 역할은 이 모든 것을 쉽게 증명할 수 있도록 하는 것입니다.
중요성
신원 확인은 주변 시스템이 아닙니다. 고객 온보딩의 중요한 경로에 있으며, 거래 심사를 통한 지속적인 모니터링에도 점점 더 중요해지고 있습니다. 이 기능이 저하되면 온보딩이 중단되고 수익도 함께 중단됩니다. DORA는 이러한 종류의 의존성을 규제 기관이 질문할 수 있는 대상으로 취급합니다.
실질적인 결과: 금융 기관이 신원 확인 제공업체를 ICT 등록부에 추가할 때 해당 제공업체의 보안 통제, 가용성 약속 및 사고 태세에 대한 문서화된 보증이 필요합니다. 인정된 인증서와 깨끗한 감사 추적을 제공할 수 있는 제공업체는 실사 기간을 몇 달에서 며칠로 단축합니다. 그렇지 못한 제공업체는 문제가 됩니다.
Didit이 돕는 방법
Didit의 규정 준수 태세는 약속이 아닌 증거로 DORA 공급업체 파일에 적합하도록 구축되었습니다.
ISO/IEC 27001:2022 인증. Didit은 인증된 정보 보안 관리 시스템(ISMS)을 운영합니다. 인증서 — Bureau Veritas Certification, ENAC 공인, 인증서 번호 ES144068, 2026년 4월 7일 최초 인증 및 2027년 6월 3일까지 유효, DIDIT IDENTITY SPAIN S.L.에 발행됨 — Didit 디지털 신원 솔루션의 개발, 운영 및 기술 지원을 다룹니다. ISO 27001은 ICT 위험 관리의 국제적인 기준입니다. 문서화된 프레임워크, 정의된 통제, 위험 평가 및 지속적인 개선을 요구하며, 이는 DORA의 첫 번째 기둥이 Didit에 의존하는 기관에 기대하는 것과 동일한 원칙입니다. 인증서는 배포 가능하므로 등록 파일에 바로 포함될 수 있습니다.
SOC 2 Type 1 증명서. Didit은 ATOM(AICPA SOC for Service Organizations 프레임워크에 따른 독립 서비스 감사인)으로부터 2026년 4월 9일 기준 보안, 가용성 및 기밀성 전반에 걸친 통제의 설계를 입증하는 SOC 2 Type 1 보고서를 보유하고 있습니다. 가용성은 DORA가 중요한 온보딩 의존성에 대해 가장 중요하게 생각하는 기준입니다. 일정 기간 동안 운영 효율성을 테스트하는 Type 2 심사가 계획되어 있습니다. 전체 SOC 2 보고서는 AICPA 규칙에 따라 사용이 제한되며 NDA에 따라 잠재 고객 및 고객과 공유됩니다. Didit은 내용을 게시하지 않고 여기에서 참조합니다.
감사 추적 및 사고 증거. 모든 확인, 모든 거래 모니터링 결정 및 모든 상태 변경은 통합 /v3/ API 및 웹훅(session.status.updated, transaction.status.updated 및 관련 이벤트)을 통해 기록되고 노출됩니다. 이는 금융 기관에 자체 사고 보고 및 탄력성 테스트 의무에 포함할 수 있는 재생 가능하고 타임스탬프가 찍힌 기록을 제공하며, 등록부에 문서화할 명확한 데이터 흐름을 제공합니다.
하나의 책임 있는 제공업체. 신원, 사업 확인, AML 심사, 거래 모니터링 및 지갑 심사가 모두 동일한 /v3/ API에서 실행되므로, 금융 기관은 여러 곳을 연결하는 대신 단일 인증된 ICT 제3자에게 중요한 기능을 집중시킵니다. 등록부에 더 적은 계약, 관리해야 할 하나의 계약 관계, 유지해야 할 하나의 인증 세트.
심층 분석: Didit을 위한 ICT 등록 항목 구축
신원 확인 제공업체에 대한 DORA 정보 등록 항목은 일반적으로 제공되는 기능, 중요성, 계약적 보호 조치 및 보증 증거를 캡처해야 합니다. Didit의 경우 깔끔하게 매핑됩니다.
| DORA 등록 요소 | Didit이 제공하는 것 |
|---|---|
| ICT 서비스 설명 | 신원 확인(KYC), 사업 확인(KYB), AML 심사, 거래 모니터링, 지갑 심사 — 통합 /v3/ API |
| 중요성 / 지원 기능 | 고객 온보딩 및 지속적인 모니터링 — 일반적으로 중요하거나 중요한 기능 |
| 보안 보증 | ISO/IEC 27001:2022 인증서 번호 ES144068 (배포 가능) |
| 운영 보증 | SOC 2 Type 1 (보안, 가용성, 기밀성), 2026년 4월 9일 기준 (NDA 하에) |
| 데이터 위치 / 처리 | 데이터 처리 계약에 문서화됨; EU 법인 DIDIT IDENTITY SPAIN S.L. |
| 감사 / 접근 권한 | 계약적 감사 권한; 전체 API 감사 추적 및 웹훅 이벤트 로그 |
| 종료 / 이식성 | 세션 및 거래 기록의 표준 API 내보내기 |
인증서는 보증 행에 대한 중요한 작업을 수행합니다. didit.me/security-compliance의 Didit 문서 및 보안 허브는 실사팀이 필요로 하는 아티팩트를 수집할 수 있는 단일 장소입니다.
사용 사례
- EU 은행 및 EMI는 ICT 등록부 규모를 확장하지 않고 원격 온보딩을 추가합니다. — 하나의 인증된 제공업체, 하나의 계약.
- DORA의 적용을 받는 MiCA에 따른 암호화 자산 서비스 제공업체는 탄력적인 제3자로부터 온보딩 및 거래 모니터링이 모두 필요합니다.
- 요청 시 관할 당국에 온보딩 의존성의 가용성과 보안을 증명해야 하는 결제 기관.
- 심사 중에 추적할 필요 없이 인증서 및 감사 증거를 미리 제출받기를 원하는 규정 준수 및 조달 팀.
자주 묻는 질문
DORA가 신원 확인 제공업체에 직접 적용됩니까?
DORA의 의무는 금융 기관에 있지만, 제3자 위험 관리 기둥을 통해 신원 확인 제공업체와 같은 ICT 제3자에게도 적용됩니다. 금융 기관은 실사를 수행하고, 계약적 권리를 확보하며, 계약을 등록해야 합니다. 이는 제공업체가 탄력성을 증명할 수 있어야 함을 의미합니다.
Didit은 ISO 27001 인증을 받았습니까?
예. Didit은 ISO/IEC 27001:2022 인증서(Bureau Veritas, ENAC 공인), 인증서 번호 ES144068, 2027년 6월 3일까지 유효하며, DIDIT IDENTITY SPAIN S.L.에 발행되었습니다. 인증서는 공급업체 파일을 위해 배포 가능합니다.
Didit은 SOC 2 인증을 받았습니까?
Didit은 2026년 4월 9일 기준 보안, 가용성 및 기밀성 전반에 걸쳐 SOC 2 Type 1 증명서(ATOM)를 보유하고 있습니다. SOC 2 Type 2 심사가 계획되어 있습니다. 전체 보고서는 NDA 하에 공유됩니다.
DORA 사고 보고를 위한 감사 추적을 받을 수 있습니까?
예. 모든 확인 및 거래 모니터링 이벤트는 /v3/ API 및 웹훅을 통해 기록되고 노출되어 사고 보고 및 탄력성 문서화를 위한 재생 가능하고 타임스탬프가 찍힌 기록을 제공합니다.
인증서 문서는 어디에서 얻을 수 있습니까?
didit.me/security-compliance의 Didit 보안 및 규정 준수 허브에서 시작하십시오. ISO 27001 인증서는 배포 가능하며, SOC 2 Type 1 보고서는 NDA 하에 공유됩니다.
시작할 준비가 되셨습니까?
보안 및 규정 준수 허브에서 Didit의 전체 증명 스택을 확인하고, ID 확인 제품 페이지에서 신원 확인이 EU 온보딩 흐름에 어떻게 적용되는지 살펴보고, 가격 페이지에서 투명한 검사당 가격을 검토하십시오. 준비가 되면 무료로 시작하십시오 — DORA 등록부에 문서화될 동일한 통합 /v3/ API에서 매월 500회의 무료 KYC 검사를 제공합니다.