Блог · 21 мая 2026 г.

Как Didit соответствует требованиям DORA: управление рисками ИКТ для сторонних поставщиков услуг идентификации (RU)

DORA обязывает финансовые организации нести ответственность за сторонних поставщиков ИКТ, на которых они полагаются, включая поставщиков услуг идентификации.

Автор: Didit21 мая 2026 г.Обновлено 21 мая 2026 г.

Закон о цифровой операционной устойчивости (DORA) изменил подход к аутсорсингу. С января 2025 года финансовые организации по всему ЕС несут прямую ответственность за операционную устойчивость сторонних поставщиков информационно-коммуникационных технологий (ИКТ), от которых они зависят — и поставщик услуг по проверке личности, интегрированный в процесс онбординга банка, учреждения электронных денег или поставщика услуг криптоактивов, является именно таким сторонним поставщиком ИКТ.

Это ставит новый вопрос перед каждым закупочным звонком: можете ли вы доказать устойчивость вашего поставщика и можете ли вы задокументировать это доказательство для вашего регулятора? Это руководство объясняет, что DORA требует от сторонних поставщиков ИКТ, и показывает, как именно сертификаты Didit, средства контроля и аудиторский след поддерживают файл поставщика, соответствующий требованиям DORA.

Основные выводы

DORA возлагает ответственность на финансовую организацию за используемых ею сторонних поставщиков ИКТ — включая поставщиков услуг идентификации и борьбы с мошенничеством. Вы не можете передать ответственность, только работу.
Didit сертифицирован по ISO/IEC 27001:2022 (Bureau Veritas, аккредитован ENAC, сертификат № ES144068, действителен до 2027-06-03) — международно признанная система управления информационной безопасностью, которая напрямую соответствует ожиданиям DORA в области управления рисками ИКТ.
Didit имеет аттестацию SOC 2 Type 1 (ATOM, по состоянию на 2026-04-09) по критериям безопасности, доступности и конфиденциальности, с запланированной проверкой Type 2.
Каждая проверка оставляет неизменяемый аудиторский след — статусы, решения и события веб-хуков, которые ваша команда может воспроизвести для отчетности об инцидентах и ведения реестра ИКТ.
Полный жизненный цикл идентификации и борьбы с мошенничеством работает на одном унифицированном API /v3/, поэтому устойчивость, мониторинг и отчетность сосредоточены у одного ответственного поставщика, а не распределены между многими.

Что требует DORA

DORA — это рамки ЕС для цифровой операционной устойчивости в финансовом секторе. Вместо того чтобы рассматривать кибербезопасность как второстепенную проблему, она объединяет пять столпов в единое регулирование:

Управление рисками ИКТ — задокументированная система для выявления, защиты, обнаружения, реагирования и восстановления после инцидентов, связанных с ИКТ.
Отчетность об инцидентах ИКТ — классификация и сообщение о крупных инцидентах компетентным органам в установленные сроки.
Тестирование цифровой операционной устойчивости — регулярное тестирование систем ИКТ, вплоть до тестирования на проникновение, основанного на угрозах, для значимых организаций.
Управление рисками ИКТ от сторонних поставщиков — столп, который касается поставщиков, таких как Didit: комплексная проверка, договорные гарантии, реестр информации о каждом соглашении ИКТ и возможность мониторинга и выхода.
Обмен информацией — добровольный обмен данными о киберугрозах.

Четвертый столп — это то, на что должен ответить поставщик. DORA ожидает, что финансовая организация будет вести реестр информации, описывающий каждое соглашение со сторонним поставщиком ИКТ, проводить комплексную проверку перед заключением договора, обеспечивать конкретные договорные права (аудит, доступ, прозрачность субаутсорсинга, выход) и оценивать риск концентрации. Задача поставщика — упростить подтверждение всего этого.

Почему это важно

Проверка личности редко является периферийной системой. Она находится на критическом пути онбординга клиентов — и все чаще на пути постоянного мониторинга через проверку транзакций. Если эта функция ухудшается, онбординг останавливается, и с ним останавливается доход. DORA рассматривает именно такую зависимость как то, о чем регулятор может спросить.

Практическое следствие: когда финансовая организация добавляет поставщика услуг идентификации в свой реестр ИКТ, ей требуется задокументированное подтверждение мер безопасности этого поставщика, обязательств по доступности и состояния инцидентов. Поставщик, который может предоставить признанные сертификаты и чистый аудиторский след, сокращает комплексную проверку с месяцев до дней. Поставщик, который не может, становится проблемой.

Как Didit помогает

Позиция Didit в области соответствия построена таким образом, чтобы без проблем вписываться в файл поставщика DORA с доказательствами, а не обещаниями.

Сертификация ISO/IEC 27001:2022. Didit управляет сертифицированной Системой управления информационной безопасностью (СУИБ). Сертификат — Bureau Veritas Certification, аккредитованный ENAC, сертификат № ES144068, первоначально выдан 07.04.2026 и действителен до 03.06.2027, выдан DIDIT IDENTITY SPAIN S.L. — охватывает разработку, эксплуатацию и техническую поддержку решения для цифровой идентификации Didit. ISO 27001 является международной базой для управления рисками ИКТ: он требует задокументированной системы, определенных средств контроля, оценки рисков и постоянного улучшения — тех же дисциплин, которые первый столп DORA ожидает от организаций, полагающихся на Didit. Сертификат распространяем, поэтому его можно сразу включить в файл реестра.

Аттестация SOC 2 Type 1. Didit имеет отчет SOC 2 Type 1 от ATOM (независимого аудитора услуг в соответствии с рамками AICPA SOC для поставщиков услуг), подтверждающий дизайн средств контроля по безопасности, доступности и конфиденциальности по состоянию на 09.04.2026. Доступность — это критерий, который DORA больше всего интересует для критической зависимости при онбординге. Запланирована проверка Type 2, которая проверяет операционную эффективность в течение определенного периода. Полный отчет SOC 2 ограничен в использовании в соответствии с правилами AICPA и предоставляется потенциальным клиентам и клиентам в рамках соглашения о неразглашении; Didit ссылается на него здесь, а не публикует его содержание.

Аудиторский след и доказательства инцидентов. Каждая проверка, каждое решение по мониторингу транзакций и каждое изменение статуса записываются и предоставляются через унифицированный API /v3/ и веб-хуки (session.status.updated, transaction.status.updated и связанные события). Это дает финансовой организации воспроизводимую запись с отметками времени, которую она может включить в свои собственные обязательства по отчетности об инцидентах и тестированию устойчивости — и четкий поток данных для документирования в реестре.

Один ответственный поставщик. Поскольку идентификация, проверка бизнеса, проверка AML, мониторинг транзакций и проверка кошельков работают на одном и том же API /v3/, финансовая организация концентрирует критическую функцию у одного сертифицированного стороннего поставщика ИКТ, а не объединяет несколько. Меньше соглашений в реестре, одно договорное отношение для управления, один набор сертификатов для поддержания.

Подробно: создание записи в реестре ИКТ для Didit

Запись в реестре информации DORA для поставщика услуг идентификации обычно должна содержать описание предоставляемой функции, ее критичность, договорные гарантии и подтверждающие доказательства. С Didit это легко соотносится:

Элемент реестра DORA	Что предоставляет Didit
Описание услуги ИКТ	Проверка личности (KYC), проверка бизнеса (KYB), проверка AML, мониторинг транзакций, проверка кошельков — унифицированный API `/v3/`
Критичность / поддерживаемая функция	Онбординг клиентов и постоянный мониторинг — обычно критическая или важная функция
Гарантия безопасности	Сертификат ISO/IEC 27001:2022 № ES144068 (распространяемый)
Операционная гарантия	SOC 2 Type 1 (Безопасность, Доступность, Конфиденциальность), по состоянию на 09.04.2026 (под NDA)
Местоположение / обработка данных	Задокументировано в соглашении об обработке данных; юридическое лицо ЕС DIDIT IDENTITY SPAIN S.L.
Права аудита / доступа	Договорные права аудита; полный аудиторский след API и журнал событий веб-хуков
Выход / переносимость	Стандартный экспорт записей сессий и транзакций через API

Сертификаты выполняют основную работу по строкам обеспечения. Документация Didit и центр безопасности на didit.me/security-compliance — это единое место для сбора артефактов, необходимых вашей команде по комплексной проверке.

Сценарии использования

Банки и ЭМИ ЕС, добавляющие удаленный онбординг без расширения своего отпечатка в реестре ИКТ — один сертифицированный поставщик, одно соглашение.
Поставщики услуг криптоактивов в соответствии с MiCA, которые также подпадают под DORA, нуждающиеся как в онбординге, так и в мониторинге транзакций от устойчивого стороннего поставщика.
Платежные учреждения, которые должны подтверждать доступность и безопасность зависимости онбординга компетентному органу по запросу.
Команды по соблюдению требований и закупкам, которые хотят получить сертификаты и аудиторские доказательства заранее, а не преследовать их во время проверки.

Часто задаваемые вопросы

Применяется ли DORA непосредственно к поставщикам услуг по проверке личности?

Обязательства DORA ложатся на финансовую организацию, но они распространяются на сторонних поставщиков ИКТ, таких как поставщики услуг идентификации, через столп управления рисками сторонних поставщиков. Финансовая организация должна проводить комплексную проверку, обеспечивать договорные права и регистрировать соглашение — что означает, что поставщик должен быть способен подтвердить свою устойчивость.

Сертифицирован ли Didit по ISO 27001?

Да. Didit имеет сертификат ISO/IEC 27001:2022 (Bureau Veritas, аккредитован ENAC), сертификат № ES144068, действителен до 03.06.2027, выдан DIDIT IDENTITY SPAIN S.L. Сертификат распространяем для вашего файла поставщика.

Сертифицирован ли Didit по SOC 2?

Didit имеет аттестацию SOC 2 Type 1 (ATOM) по безопасности, доступности и конфиденциальности по состоянию на 09.04.2026. Запланирована проверка SOC 2 Type 2. Полный отчет предоставляется в рамках соглашения о неразглашении.

Могу ли я получить аудиторский след для отчетности об инцидентах DORA?

Да. Каждая проверка и событие мониторинга транзакций записываются и предоставляются через API /v3/ и веб-хуки, что дает вам воспроизводимую запись с отметками времени для отчетности об инцидентах и документации по устойчивости.

Где я могу получить сертификационные документы?

Начните с центра безопасности и соответствия Didit на didit.me/security-compliance. Сертификат ISO 27001 распространяем; отчет SOC 2 Type 1 предоставляется в рамках соглашения о неразглашении.

Готовы начать?

Ознакомьтесь с полным набором аттестаций Didit в центре безопасности и соответствия, изучите, как проверка личности вписывается в процесс онбординга в ЕС, на странице продукта проверки личности и ознакомьтесь с прозрачными ценами за проверку на странице цен. Когда будете готовы, начните бесплатно — 500 бесплатных проверок KYC каждый месяц на том же унифицированном API /v3/, который будет задокументирован в вашем реестре DORA.