Conformidade DORA: Guia para FinTechs sobre Riscos de TIC (PT-PT)

O que é a DORA? O Regulamento sobre Resiliência Operacional Digital (DORA) é uma regulamentação da UE concebida para fortalecer a resiliência das entidades financeiras contra disrupções relacionadas com TIC.

Quem tem de cumprir? Todas as entidades financeiras da UE, incluindo bancos, sociedades de investimento, companhias de seguros e FinTechs, bem como os seus fornecedores críticos de serviços TIC.

Áreas de foco principais: A DORA exige gestão robusta de riscos de TIC, comunicação de incidentes, testes de resiliência, gestão de riscos de terceiros e partilha de informações.

O que há de novo para os fornecedores de identidade? Os fornecedores de identidade estão sob crescente escrutínio com a DORA, especialmente no que diz respeito ao seu papel em garantir acesso seguro e prevenir acessos não autorizados.

Compreender a DORA: Melhorar a Resiliência Operacional Digital

A DORA, ou Regulamento sobre Resiliência Operacional Digital, representa uma reformulação significativa da forma como as entidades financeiras na União Europeia abordam as suas operações digitais e cibersegurança. Não é apenas mais uma caixa de verificação de conformidade; é um quadro abrangente destinado a garantir que o setor financeiro da UE pode resistir, responder e recuperar de disrupções operacionais graves causadas por incidentes de Tecnologias de Informação e Comunicação (TIC). Para as empresas FinTech, compreender e implementar a DORA é crucial para a operação e crescimento contínuos no mercado da UE. No seu âmago, a DORA consolida e harmoniza os requisitos regulamentares existentes relacionados com TIC, criando um conjunto unificado de regras. Isto significa que, em vez de navegar por um mosaico de regulamentações nacionais, as entidades financeiras aderirão a um único padrão a nível da UE. O regulamento coloca uma forte ênfase na resiliência operacional digital – a capacidade de uma entidade manter funções críticas de negócio através de disrupções de TIC. Isto inclui tudo, desde a prevenção de ciberataques à recuperação de desastres naturais que afetam a infraestrutura de TI. O âmbito da DORA é amplo, cobrindo bancos, empresas de seguros, sociedades de investimento, instituições de pagamento e, crucialmente, FinTechs que oferecem serviços financeiros. Estende também o seu alcance a fornecedores críticos de serviços TIC terceirizados, incluindo aqueles que oferecem serviços de cloud, software e soluções de verificação de identidade. Esta inclusão significa que, se a sua FinTech depende de fornecedores externos para funções essenciais, deve garantir que esses fornecedores também cumprem os rigorosos requisitos da DORA. Isto estende-se ao seu próprio papel se atuar como um fornecedor terceirizado crítico para outras entidades financeiras. Pilares Principais da DORA: * Gestão de Riscos de TIC: Exige um quadro abrangente, incluindo políticas, procedimentos e controlos, para gerir eficazmente os riscos de TIC. * Comunicação de Incidentes de TIC: Exige a classificação e comunicação de incidentes significativos relacionados com TIC às autoridades competentes dentro de prazos rigorosos. * Testes de Resiliência Operacional Digital: Exige testes regulares dos sistemas e funções de TIC, incluindo avaliações de vulnerabilidade, testes de penetração e exercícios baseados em cenários. * Gestão de Riscos de Terceiros: Estabelece um quadro de supervisão detalhado para a gestão dos riscos decorrentes de fornecedores de serviços TIC terceirizados. * Partilha de Informações: Incentiva a partilha voluntária de inteligência sobre ameaças cibernéticas entre entidades financeiras. Para as FinTechs, as implicações são claras: uma abordagem proativa e robusta à gestão de riscos de TIC já não é opcional, mas sim uma exigência regulamentar.

Navegar pelos Riscos de TIC das FinTechs sob a DORA

As empresas FinTech, pela sua natureza, operam num ambiente altamente digital. Os seus modelos de negócio são construídos sobre tecnologia, tornando-as particularmente suscetíveis a riscos de TIC. A DORA traz um nível acrescido de escrutínio a estes riscos, exigindo uma abordagem mais madura e abrangente do que nunca. Isto inclui a compreensão de todo o ecossistema de TIC, desde os sistemas internos até à complexa rede de dependências de terceiros. O desafio para as FinTechs reside na natureza dinâmica das suas operações e na rápida evolução da tecnologia. Frequentemente, adotam novas ferramentas e serviços rapidamente para se manterem competitivas, o que pode introduzir novas vulnerabilidades. A DORA exige uma abordagem sistemática para identificar, avaliar e mitigar estes riscos. Isto significa não só proteger contra ameaças externas como malware e phishing, mas também garantir a integridade e disponibilidade de serviços críticos, como processamento de pagamentos, gestão de contas e, crucialmente, verificação de identidade. Considere o papel dos fornecedores de identidade num ecossistema FinTech. Estes serviços são fundamentais para os processos de Conheça o Seu Cliente (KYC), início de sessão seguro e prevenção de fraude. Sob a DORA, a resiliência e segurança destas soluções de identidade são primordiais. Uma falha no sistema de um fornecedor de identidade poderia levar a acessos não autorizados generalizados, violações de dados e uma rutura completa da continuidade operacional da FinTech. Portanto, as FinTechs devem avaliar rigorosamente o risco de TIC associado aos seus fornecedores de identidade escolhidos, garantindo que cumprem os padrões de resiliência e têm protocolos de segurança robustos em vigor. Além disso, a DORA enfatiza uma abordagem de 'do berço ao túmulo' à gestão de riscos de TIC. Isto significa que a avaliação de riscos deve ser integrada em todo o ciclo de vida de qualquer sistema ou serviço de TIC, desde a aquisição e desenvolvimento até à implementação e desativação. Para as FinTechs, isto traduz-se em incorporar considerações de risco nos roteiros de desenvolvimento de produtos, processos de seleção de fornecedores e até mesmo no design das interfaces de utilizador. O objetivo é construir resiliência no tecido da organização, não aplicá-la como uma reflexão tardia.

Gestão de Riscos de Terceiros: Um Componente Crítico

Um dos aspetos mais significativos da DORA para as FinTechs é o seu quadro rigoroso para a gestão de riscos de terceiros. Dado que muitas FinTechs dependem fortemente de fornecedores de serviços externos para várias funções – alojamento em cloud, desenvolvimento de software, análise de dados e, claro, verificação de identidade – gerir eficazmente estas relações é crucial para a conformidade. A DORA não exige apenas a devida diligência; exige um processo de supervisão proativo e contínuo. As entidades financeiras devem manter um inventário de todos os acordos com terceiros de TIC. Para cada fornecedor crítico, deve ser realizada uma avaliação abrangente. Isto inclui a avaliação das medidas de segurança do fornecedor, capacidades de resiliência operacional, planos de continuidade de negócio e a sua própria gestão de subcontratados. O regulamento também introduz o conceito de fornecedores de serviços TIC terceirizados 'críticos', que podem estar sujeitos a supervisão direta pelas autoridades de supervisão europeias. Para os fornecedores de identidade, isto significa demonstrar conformidade com os requisitos da DORA. Isto pode envolver a apresentação de documentação detalhada sobre as suas certificações de segurança (como ISO 27001), procedimentos de resposta a incidentes, medidas de proteção de dados e os seus próprios resultados de testes de resiliência. As FinTechs precisam de garantir que os contratos com estes fornecedores incluem cláusulas específicas relacionadas com resiliência operacional, direitos de auditoria e estratégias de saída. Para além dos fornecedores de identidade, isto aplica-se a todos os fornecedores críticos. Se uma FinTech utiliza um fornecedor de cloud para a sua infraestrutura principal, a resiliência desse fornecedor está diretamente ligada à resiliência operacional da própria FinTech. A DORA impulsiona uma compreensão e gestão mais profundas destas interdependências. Isto inclui também a compreensão do risco associado à agregação de riscos de terceiros – o risco cumulativo representado por múltiplos fornecedores interligados. O regulamento também introduz a possibilidade de supervisão direta para certos fornecedores terceirizados de TIC críticos. Isto significa que grandes fornecedores de cloud ou outros prestadores de serviços essenciais podem enfrentar escrutínio direto dos reguladores da UE, o que poderia beneficiar indiretamente as entidades financeiras que dependem deles, garantindo um maior nível base de resiliência em toda a cadeia de abastecimento.

Fornecedores de Identidade e Conformidade com a DORA

Os fornecedores de identidade desempenham um papel fundamental no ecossistema financeiro digital, e a DORA coloca-os firmemente sob os holofotes. Garantir a segurança, integridade e disponibilidade dos serviços de verificação de identidade é inegociável para as FinTechs que visam a conformidade com a DORA. Isto envolve uma abordagem multifacetada: 1. Processos Robustos de Verificação de Identidade: Os fornecedores de identidade devem empregar métodos seguros e resilientes para verificar as identidades dos utilizadores. Isto inclui mecanismos de autenticação fortes, proteção contra roubo de identidade e conformidade com regulamentos de proteção de dados como o RGPD. Para a DORA, isto significa garantir que estes processos não são apenas seguros, mas também altamente disponíveis e resilientes a disrupções. 2. Tratamento Seguro de Dados: Os dados de identidade são altamente sensíveis. Os fornecedores devem implementar medidas de segurança de ponta para proteger estes dados contra violações, incluindo encriptação, controlos de acesso e auditorias de segurança regulares. A DORA exige que todos os sistemas de TIC que suportam funções críticas sejam protegidos contra acesso não autorizado e perda de dados. 3. Resiliência e Disponibilidade: Os serviços de identidade devem estar disponíveis quando necessários. Isto requer infraestruturas redundantes, planos robustos de recuperação de desastres e gestão eficaz da continuidade de negócio. As FinTechs precisam de avaliar as garantias de tempo de atividade e os testes de resiliência realizados pelos seus fornecedores de identidade. 4. Resposta a Incidentes: Em caso de incidente, os fornecedores de identidade devem ter planos de resposta a incidentes claros, rápidos e eficazes. Isto inclui a notificação atempada aos seus clientes FinTech para que estes possam cumprir as suas próprias obrigações de comunicação ao abrigo da DORA. 5. Gestão de Subcontratados: Se um fornecedor de identidade utilizar terceiros (por exemplo, para processamento de dados ou infraestrutura), deve garantir que esses subcontratados também cumprem os padrões da DORA para gestão de riscos de TIC e resiliência operacional. As FinTechs devem envolver-se ativamente com os seus fornecedores de identidade, solicitando provas da sua preparação ou conformidade com a DORA. Isto pode envolver a revisão das suas políticas de segurança, relatórios de auditoria e planos de resposta a incidentes. Escolher um fornecedor de identidade que compreenda e aborde estes requisitos da DORA é fundamental para mitigar riscos e garantir a conformidade.

Preparar-se para a DORA: Passos Práticos para FinTechs

A conformidade com a DORA é um processo contínuo, não um evento único. As FinTechs devem tomar as seguintes medidas práticas: * Realizar uma Análise de Lacunas: Avalie o seu atual quadro de gestão de riscos de TIC em relação aos requisitos da DORA. Identifique áreas onde as suas políticas, procedimentos e controlos são insuficientes. * Atualizar as Políticas de Gestão de Riscos de TIC: Certifique-se de que as suas políticas são abrangentes, cobrindo todos os aspetos, desde a deteção de ameaças à resposta a incidentes e continuidade de negócio. * Inventariar Fornecedores Terceirizados: Mantenha um inventário detalhado e atualizado de todos os fornecedores de serviços TIC terceirizados, classificando-os por criticidade. * Fortalecer a Diligência Devida de Fornecedores: Melhore o seu processo de diligência devida para selecionar e monitorizar fornecedores terceirizados, concentrando-se na sua resiliência operacional e postura de segurança. * Implementar Comunicação Robusta de Incidentes: Estabeleça procedimentos claros para classificar e comunicar incidentes de TIC às autoridades relevantes dentro dos prazos estabelecidos. * Desenvolver um Programa de Testes de Resiliência: Implemente um cronograma regular para testar os seus sistemas e funções de TIC, incluindo testes de penetração e exercícios baseados em cenários. * Formar a sua Equipa: Certifique-se de que os seus funcionários compreendem os seus papéis e responsabilidades ao abrigo da DORA, especialmente aqueles envolvidos na gestão de riscos de TIC, conformidade e operações. * Envolver-se com os seus Fornecedores de Identidade: Discuta proativamente a DORA com os seus fornecedores de identidade e outros fornecedores críticos. Solicite documentação e garantias dos seus esforços de conformidade. Ao tomar estas medidas, as FinTechs podem não só alcançar a conformidade com a DORA, mas também melhorar significativamente a sua resiliência operacional digital, construindo maior confiança com clientes e reguladores.

Perguntas Frequentes sobre a DORA

Qual é o prazo para a conformidade com a DORA?

O regulamento DORA entrou oficialmente em vigor a 17 de janeiro de 2024. Todas as entidades financeiras abrangidas e os seus fornecedores críticos de serviços TIC devem estar em conformidade até esta data.

Como é que a DORA afeta as FinTechs não pertencentes à UE que operam na UE?

Se uma FinTech, independentemente da sua localização, prestar serviços a entidades financeiras da UE ou diretamente a consumidores na UE, poderá cair no âmbito da DORA, especialmente se os seus serviços forem considerados críticos. Isto inclui requisitos para os seus fornecedores terceirizados de TIC.

Quais são as penalidades por não conformidade com a DORA?

As autoridades competentes podem impor multas significativas por não conformidade, que podem ser substanciais, atingindo potencialmente até 1% do volume de negócios mundial diário médio para entidades financeiras e até 1 milhão de euros para fornecedores terceirizados de TIC.

Pronto para Começar?

Navegar pelas complexidades da conformidade com a DORA requer uma abordagem estratégica à gestão de riscos de TIC e à supervisão de terceiros. A Didit fornece uma plataforma robusta de verificação de identidade concebida com a resiliência e segurança no seu centro, ajudando as FinTechs a cumprir exigências regulamentares rigorosas.

Saiba mais sobre as funcionalidades de conformidade da Didit: Conformidade Didit

Explore as capacidades da plataforma Didit: Plataforma Didit

Contacte-nos para uma demonstração personalizada: Contactar Didit

Como a Didit apoia a sua postura DORA

A Didit é um fornecedor terceirizado de TIC que pode comprovar: certificação ISO/IEC 27001:2022 (Bureau Veritas, cert ES144068, válido até 2027-06-03), SOC 2 Tipo 1 atestado (ATOM), e que produz os webhooks e trilhas de auditoria que os seus relatórios DORA necessitam.

Consulte a segurança e conformidade da Didit, explore os produtos, verifique os preços, e comece gratuitamente — 500 verificações KYC gratuitas todos os meses.