Saltar para o conteúdo principal
Didit angaria 7,5 milhões de dólares para construir a infraestrutura para identidade e fraude
Didit
Voltar ao blog
Blog · 21 de maio de 2026

Didit e o DORA: Gestão de Risco de Terceiros TIC para Identidade (PT-PT)

O DORA responsabiliza as entidades financeiras pelos terceiros de TIC dos quais dependem — incluindo fornecedores de identidade. Saiba como a certificação ISO 27001 da Didit, a atestação SOC 2 Tipo 1 e o registo de auditoria.

Por DiditAtualizado
didit-dora-compliance.png

O Digital Operational Resilience Act (DORA) mudou o que significa subcontratar. A partir de janeiro de 2025, as entidades financeiras em toda a UE são diretamente responsáveis pela resiliência operacional dos terceiros de tecnologia de informação e comunicação (TIC) dos quais dependem — e um fornecedor de verificação de identidade que se encontra no fluxo de integração de um banco, uma instituição de moeda eletrónica ou um prestador de serviços de criptoativos é exatamente esse tipo de terceiro de TIC.

Isso levanta uma nova questão em cada chamada de aquisição: pode provar que o seu fornecedor é resiliente e pode documentar essa prova para o seu regulador? Este guia explica o que o DORA exige dos terceiros de TIC e mostra exatamente como as certificações, controlos e registo de auditoria da Didit apoiam um ficheiro de fornecedor conforme com o DORA.

Principais conclusões

  • O DORA responsabiliza a entidade financeira pelos terceiros de TIC que utiliza — incluindo fornecedores de identidade e fraude. Não pode subcontratar a responsabilidade, apenas o trabalho.
  • A Didit possui a certificação ISO/IEC 27001:2022 (Bureau Veritas, acreditado pela ENAC, certificado n.º ES144068, válido até 2027-06-03) — um sistema de gestão de segurança da informação reconhecido internacionalmente que se alinha diretamente com as expectativas de gestão de risco de TIC do DORA.
  • A Didit possui uma atestação SOC 2 Tipo 1 (ATOM, a partir de 2026-04-09) abrangendo os critérios de confiança de Segurança, Disponibilidade e Confidencialidade, com uma análise Tipo 2 planeada.
  • Cada verificação deixa um registo de auditoria imutável — estados, decisões e eventos de webhook que a sua equipa pode reproduzir para relatórios de incidentes e o registo de TIC.
  • O ciclo de vida completo de identidade e fraude funciona numa única API unificada /v3/, de modo que a resiliência, monitorização e relatórios são concentrados num único fornecedor responsável, em vez de estarem dispersos por vários.

O que o DORA exige

O DORA é o quadro da UE para a resiliência operacional digital no setor financeiro. Em vez de tratar a cibersegurança como uma preocupação secundária, ele constrói cinco pilares numa única regulamentação:

  1. Gestão de risco de TIC — um quadro documentado para identificar, proteger contra, detetar, responder e recuperar de incidentes relacionados com TIC.
  2. Relato de incidentes de TIC — classificar e relatar incidentes graves às autoridades competentes dentro dos prazos estabelecidos.
  3. Testes de resiliência operacional digital — testes regulares de sistemas de TIC, até testes de penetração liderados por ameaças para entidades significativas.
  4. Gestão de risco de terceiros de TIC — o pilar que abrange fornecedores como a Didit: diligência prévia, salvaguardas contratuais, um registo de informações sobre cada acordo de TIC e a capacidade de monitorizar e sair.
  5. Partilha de informações — troca voluntária de informações de inteligência sobre ameaças cibernéticas.

O quarto pilar é aquele a que um fornecedor deve responder. O DORA espera que a entidade financeira mantenha um registo de informações descrevendo cada acordo com terceiros de TIC, para realizar a diligência prévia antes de contratar, para garantir direitos contratuais específicos (auditoria, acesso, transparência de subcontratação, saída) e para avaliar o risco de concentração. O trabalho do fornecedor é facilitar a evidência de tudo isso.

Por que é importante

A verificação de identidade raramente é um sistema periférico. Encontra-se no caminho crítico da integração de clientes — e, cada vez mais, da monitorização contínua através da triagem de transações. Se essa função se degrada, a integração para e a receita para com ela. O DORA trata exatamente este tipo de dependência como algo sobre o qual o regulador pode perguntar.

A consequência prática: quando uma entidade financeira adiciona um fornecedor de identidade ao seu registo de TIC, precisa de garantias documentadas sobre os controlos de segurança desse fornecedor, compromissos de disponibilidade e postura de incidentes. Um fornecedor que pode entregar certificações reconhecidas e um registo de auditoria limpo encurta a diligência prévia de meses para dias. Um fornecedor que não pode torna-se uma constatação.

Como a Didit ajuda

A postura de conformidade da Didit é construída para se encaixar num ficheiro de fornecedor DORA com evidências, não promessas.

Certificação ISO/IEC 27001:2022. A Didit opera um Sistema de Gestão de Segurança da Informação (SGSI) certificado. O certificado — Bureau Veritas Certification, acreditado pela ENAC, cert n.º ES144068, originalmente certificado em 2026-04-07 e válido até 2027-06-03, emitido para DIDIT IDENTITY SPAIN S.L. — abrange o desenvolvimento, operação e suporte técnico da solução de identidade digital Didit. A ISO 27001 é a base internacional para a gestão de risco de TIC: exige um quadro documentado, controlos definidos, avaliação de risco e melhoria contínua — as mesmas disciplinas que o primeiro pilar do DORA espera das entidades que dependem da Didit. O certificado é distribuível, pelo que pode ser incluído diretamente no ficheiro de registo.

Atestação SOC 2 Tipo 1. A Didit possui um relatório SOC 2 Tipo 1 da ATOM (um auditor de serviços independente sob o quadro AICPA SOC para Organizações de Serviços), atestando o design dos controlos em Segurança, Disponibilidade e Confidencialidade a partir de 2026-04-09. A disponibilidade é o critério que o DORA mais valoriza para uma dependência crítica de integração. Uma análise Tipo 2 — que testa a eficácia operacional ao longo de um período — está planeada. O relatório SOC 2 completo é de uso restrito sob as regras da AICPA e é partilhado com potenciais clientes e clientes sob NDA; a Didit faz referência a ele aqui em vez de publicar o seu conteúdo.

Registo de auditoria e evidências de incidentes. Cada verificação, cada decisão de monitorização de transações e cada alteração de estado é registada e exposta através da API unificada /v3/ e webhooks (session.status.updated, transaction.status.updated e eventos relacionados). Isso oferece a uma entidade financeira um registo reproduzível e com carimbo de data/hora que pode integrar nas suas próprias obrigações de relatório de incidentes e testes de resiliência — e um fluxo de dados claro para documentar no registo.

Um fornecedor responsável. Como a identidade, verificação de negócios, triagem AML, monitorização de transações e triagem de carteira funcionam todos na mesma API /v3/, uma entidade financeira concentra uma função crítica num único terceiro de TIC certificado, em vez de ligar vários. Menos acordos no registo, uma relação contratual para governar, um conjunto de certificações para manter.

Análise aprofundada: construção da entrada do registo de TIC para a Didit

Uma entrada do registo de informações DORA para um fornecedor de identidade normalmente precisa de capturar a função fornecida, a sua criticidade, as salvaguardas contratuais e as evidências de garantia. Com a Didit, isso mapeia-se de forma limpa:

Elemento do registo DORAO que a Didit fornece
Descrição do serviço de TICVerificação de identidade (KYC), verificação de negócios (KYB), triagem AML, monitorização de transações, triagem de carteira — API unificada /v3/
Criticidade / função suportadaIntegração de clientes e monitorização contínua — geralmente uma função crítica ou importante
Garantia de segurançaCertificado ISO/IEC 27001:2022 n.º ES144068 (distribuível)
Garantia operacionalSOC 2 Tipo 1 (Segurança, Disponibilidade, Confidencialidade), a partir de 2026-04-09 (sob NDA)
Localização / processamento de dadosDocumentado no acordo de processamento de dados; entidade da UE DIDIT IDENTITY SPAIN S.L.
Direitos de auditoria / acessoDireitos de auditoria contratuais; registo completo de auditoria da API e registo de eventos de webhook
Saída / portabilidadeExportação padrão da API de registos de sessão e transação

As certificações fazem o trabalho pesado nas linhas de garantia. A documentação e o centro de segurança da Didit em didit.me/security-compliance é o único local para recolher os artefatos que a sua equipa de diligência prévia precisa.

Casos de uso

  • Bancos e EMIs da UE que adicionam integração remota sem expandir a sua pegada de registo de TIC — um fornecedor certificado, um acordo.
  • Prestadores de serviços de criptoativos sob MiCA, que também se enquadram no DORA, necessitando de integração e monitorização de transações de um terceiro resiliente.
  • Instituições de pagamento que devem evidenciar a disponibilidade e segurança de uma dependência de integração a uma autoridade competente, quando solicitado.
  • Equipas de conformidade e aquisição que desejam certificações e evidências de auditoria entregues antecipadamente, não perseguidas durante uma análise.

Perguntas frequentes

O DORA aplica-se diretamente aos fornecedores de verificação de identidade?

As obrigações do DORA recaem sobre a entidade financeira, mas atingem terceiros de TIC como os fornecedores de identidade através do pilar de gestão de risco de terceiros. A entidade financeira deve realizar a diligência prévia, garantir direitos contratuais e registar o acordo — o que significa que o fornecedor deve ser capaz de evidenciar a sua resiliência.

A Didit é certificada ISO 27001?

Sim. A Didit possui um certificado ISO/IEC 27001:2022 (Bureau Veritas, acreditado pela ENAC), cert n.º ES144068, válido até 2027-06-03, emitido para DIDIT IDENTITY SPAIN S.L. O certificado é distribuível para o seu ficheiro de fornecedor.

A Didit é certificada SOC 2?

A Didit possui uma atestação SOC 2 Tipo 1 (ATOM) abrangendo Segurança, Disponibilidade e Confidencialidade, a partir de 2026-04-09. Uma análise SOC 2 Tipo 2 está planeada. O relatório completo é partilhado sob NDA.

Posso obter um registo de auditoria para relatórios de incidentes DORA?

Sim. Cada evento de verificação e monitorização de transações é registado e exposto através da API /v3/ e webhooks, fornecendo-lhe um registo reproduzível e com carimbo de data/hora para relatórios de incidentes e documentação de resiliência.

Onde posso obter os documentos de certificação?

Comece no centro de segurança e conformidade da Didit em didit.me/security-compliance. O certificado ISO 27001 é distribuível; o relatório SOC 2 Tipo 1 é partilhado sob NDA.

Pronto para começar?

Veja a pilha completa de atestação da Didit no centro de segurança e conformidade, explore como a verificação de identidade se encaixa num fluxo de integração da UE na página do produto de Verificação de ID e reveja os preços transparentes por verificação na página de preços. Quando estiver pronto, comece gratuitamente — 500 verificações KYC gratuitas todos os meses, na mesma API unificada /v3/ que o seu registo DORA documentará.

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitorização de Transações e Rastreio de Carteiras. Integre em 5 minutos.

Começar grátisFale connosco
Peça a uma IA para resumir esta página
Didit e DORA: Risco de Terceiros TIC | Didit.