Цифровая устойчивость и идентификация: руководство по соблюдению требований

Финансовая индустрия сталкивается с новой волной регуляторного контроля в связи с принятием Закона о цифровой операционной устойчивости (DORA). Это знаковое законодательство, которое вступит в полную силу в январе 2025 года, направлено на укрепление цифровой операционной устойчивости финансовых организаций по всему Европейскому Союзу. Ключевым компонентом DORA является надежная проверка личности. В этой статье мы рассмотрим, что означает DORA для вашей организации, сосредоточив внимание на важной роли идентификации и подготовке к соблюдению требований.

Ключевой вывод 1: DORA значительно расширяет сферу действия операционной устойчивости за пределы традиционных ИТ-рисков, охватывая все аспекты цифровой инфраструктуры и услуг.

Ключевой вывод 2: Управление идентификацией и доступом является центральным элементом соответствия DORA, требующим надежных процедур проверки и постоянного мониторинга.

Ключевой вывод 3: Финансовые организации должны внедрить многоуровневый подход к безопасности, включая надежную аутентификацию клиентов и меры по предотвращению мошенничества.

Ключевой вывод 4: Несоблюдение требований DORA может привести к существенным штрафам – до 10 % от годового глобального оборота или 5 миллионов евро, в зависимости от того, что выше.

Понимание DORA: основы

DORA, окончательная версия которой была утверждена в декабре 2022 года, представляет собой кардинальный сдвиг в том, как ЕС регулирует финансовые услуги. В отличие от предыдущих директив, которые были сосредоточены в основном на технологиях, DORA придерживается целостного подхода, подчеркивая важность операционной устойчивости в отношении людей, процессов и технологий. Цель состоит в том, чтобы минимизировать сбои в финансовых услугах, вызванные кибератаками, сбоями в работе системы или другими операционными инцидентами. DORA применяется к широкому кругу финансовых организаций, включая кредитные учреждения, инвестиционные фирмы, платежные организации и поставщиков услуг криптоактивов.

Требования DORA к проверке личности

Основополагающим принципом DORA является обеспечение целостности цифровых систем и людей, имеющих к ним доступ. В регулировании конкретно рассматривается вопрос цифровой операционной устойчивости посредством строгих требований к проверке личности и управлению доступом. Это относится как к сотрудникам, так и к клиентам. Ключевые требования включают:

• Надежная аутентификация клиентов (SCA): DORA усиливает требования PSD2 (Пересмотренная директива о платежных услугах) в отношении SCA. Финансовые учреждения должны использовать методы многофакторной аутентификации (MFA) для проверки личности клиентов во время цифровых транзакций.
• Надежное внутреннее управление идентификацией и доступом (IAM): Организации должны внедрить надежные системы IAM, обеспечивающие доступ к конфиденциальным данным и системам только авторизованному персоналу. Это включает регулярные проверки доступа и принцип наименьших привилегий.
• Непрерывный мониторинг и обнаружение угроз: Постоянный мониторинг активности пользователей имеет решающее значение для обнаружения и реагирования на подозрительное поведение. DORA подчеркивает необходимость проактивной разведки угроз и возможностей реагирования на инциденты.
• Меры по предотвращению мошенничества: Финансовые организации должны внедрять меры по предотвращению и обнаружению мошенничества, включая кражу личных данных и захват учетных записей.
• Защита данных: Защита данных клиентов имеет первостепенное значение. DORA соответствует GDPR (Общему регламенту по защите данных) и требует от организаций внедрения соответствующих мер по обеспечению безопасности данных.

Роль проверки личности в соответствии требованиям DORA

Эффективная проверка личности лежит в основе выполнения требований DORA. Традиционные методы проверки личности, такие как аутентификация на основе знаний (KBA), все чаще становятся уязвимыми для мошенничества. DORA косвенно поощряет внедрение более совершенных методов проверки, включая:

• Биометрическая аутентификация: Использование отпечатков пальцев, распознавания лиц или голоса для повышения безопасности.
• Проверка документов: Использование решений на основе искусственного интеллекта для проверки подлинности документов, удостоверяющих личность.
• Обнаружение признаков жизни: Гарантия того, что человек, предъявляющий документ, удостоверяющий личность, является живым человеком, а не подделанным изображением или видео.
• Поведенческая биометрия: Анализ поведенческих моделей пользователей для выявления аномалий и потенциального мошенничества.

Внедряя эти технологии, финансовые организации могут значительно усилить свою защиту от мошенничества и обеспечить соответствие требованиям DORA.

Подготовка к DORA: график

Хотя DORA официально вступил в силу в декабре 2022 года, график полной реализации является поэтапным:

• Декабрь 2022 г. – июнь 2024 г.: Первоначальная подготовка и анализ пробелов. Финансовые организации должны оценить свои текущие системы и определить области для улучшения.
• Январь 2025 г.: Полная реализация для всех организаций, подпадающих под действие закона. Все требования DORA становятся юридически обязательными.
• Постоянно: Непрерывный мониторинг, тестирование и совершенствование мер операционной устойчивости.

Как Didit помогает

Didit предоставляет комплексную платформу проверки личности, разработанную для помощи финансовым организациям в выполнении строгих требований DORA. Наше универсальное решение включает:

• Проверка документов на основе искусственного интеллекта: Мгновенная проверка документов, удостоверяющих личность, из более чем 220 стран.
• Биометрическая аутентификация: Использование распознавания лиц и обнаружения признаков жизни для безопасной аутентификации пользователей.
• Скрининг AML: Проверка пользователей по глобальным санкционным спискам и спискам наблюдения.
• Сигналы мошенничества: Использование машинного обучения для обнаружения подозрительной активности.
• Повторное использование KYC: Снижение трений и затрат за счет возможности повторного использования проверенной личности пользователями.
• Оркестровка рабочих процессов: Настройка потоков проверки для удовлетворения ваших конкретных потребностей.

Модульная архитектура Didit позволяет вам создавать индивидуальные решения, отвечающие вашим уникальным задачам по обеспечению соответствия требованиям DORA.

Готовы начать?

Не ждите до последнего момента, чтобы подготовиться к DORA. Свяжитесь с Didit сегодня, чтобы узнать, как наша платформа проверки личности может помочь вам обеспечить соответствие требованиям и повысить цифровую операционную устойчивость.

Запросить демонстрацию | Просмотреть цены

Как Didit поддерживает вашу позицию DORA

Didit — это сторонний поставщик ИКТ-услуг, который может подтвердить: сертификацию ISO/IEC 27001:2022 (Bureau Veritas, сертификат ES144068, действителен до 03.06.2027), аттестацию SOC 2 Type 1 (ATOM) и предоставляет веб-хуки и журналы аудита, необходимые для вашей отчетности DORA.

Ознакомьтесь с безопасностью и соответствием Didit, изучите продукты, проверьте цены и начните бесплатно — 500 бесплатных проверок KYC каждый месяц.