Didit na DORA: Kudhibiti Hatari za Wahusika Wengine wa TEHAMA kwa Utambulisho (SW)

Sheria ya Ustahimilivu wa Uendeshaji wa Kidijitali (DORA) ilibadilisha maana ya kutoa huduma nje. Kuanzia Januari 2025, taasisi za kifedha kote EU zitawajibika moja kwa moja kwa ustahimilivu wa uendeshaji wa teknolojia ya habari na mawasiliano (TEHAMA) ya wahusika wengine wanaowategemea — na mtoa huduma wa uthibitishaji wa utambulisho anayeshiriki katika mchakato wa usajili wa benki, taasisi ya fedha za kielektroniki, au mtoa huduma wa mali za kidijitali ndiye hasa mhusika huyo mwingine wa TEHAMA.

Hiyo inaweka swali jipya katika kila wito wa manunuzi: unaweza kuthibitisha kuwa mtoa huduma wako ana ustahimilivu, na unaweza kuandika uthibitisho huo kwa mdhibiti wako? Mwongozo huu unaelezea kile DORA inahitaji kutoka kwa wahusika wengine wa TEHAMA, na unaonyesha jinsi hasa vyeti vya Didit, udhibiti, na rekodi ya ukaguzi inavyosaidia faili ya muuzaji iliyo tayari kwa DORA.

Mambo muhimu

• DORA inawajibisha taasisi ya kifedha kwa wahusika wengine wa TEHAMA wanaowatumia — watoa huduma za utambulisho na udanganyifu wakiwemo. Huwezi kutoa jukumu nje, bali kazi tu.
• Didit ina cheti cha ISO/IEC 27001:2022 (Bureau Veritas, iliyoidhinishwa na ENAC, cheti namba ES144068, halali hadi 2027-06-03) — mfumo wa kimataifa unaotambulika wa usimamizi wa usalama wa habari unaofanana moja kwa moja na matarajio ya DORA ya usimamizi wa hatari za TEHAMA.
• Didit ina uthibitisho wa SOC 2 Aina ya 1 (ATOM, kuanzia 2026-04-09) katika vigezo vya uaminifu vya Usalama, Upatikanaji, na Usiri, huku uchunguzi wa Aina ya 2 ukipangwa.
• Kila uthibitishaji huacha rekodi ya ukaguzi isiyoweza kubadilishwa — hali, maamuzi, na matukio ya webhook ambayo timu yako inaweza kucheza tena kwa ajili ya kuripoti matukio na rejista ya TEHAMA.
• Mzunguko kamili wa maisha ya utambulisho na udanganyifu unaendeshwa kwenye API moja iliyounganishwa ya /v3/, hivyo ustahimilivu, ufuatiliaji, na kuripoti vimejikita kwa mtoa huduma mmoja anayewajibika badala ya kutawanyika kwa wengi.

Kile DORA inahitaji

DORA ni mfumo wa EU wa ustahimilivu wa uendeshaji wa kidijitali katika sekta ya kifedha. Badala ya kutibu usalama wa mtandaoni kama suala la pembeni, inajenga nguzo tano katika kanuni moja:

1. Usimamizi wa hatari za TEHAMA — mfumo ulioandikwa wa kutambua, kujikinga na, kugundua, kujibu, na kupona kutokana na matukio yanayohusiana na TEHAMA.
2. Kuripoti matukio ya TEHAMA — kuainisha na kuripoti matukio makubwa kwa mamlaka husika ndani ya muda uliowekwa.
3. Kupima ustahimilivu wa uendeshaji wa kidijitali — kupima mara kwa mara mifumo ya TEHAMA, hadi kupima uingiliaji unaoendeshwa na vitisho kwa taasisi muhimu.
4. Usimamizi wa hatari za wahusika wengine wa TEHAMA — nguzo inayofikia watoa huduma kama Didit: uangalizi wa kina, ulinzi wa mkataba, rejista ya habari kuhusu kila mpangilio wa TEHAMA, na uwezo wa kufuatilia na kuondoka.
5. Kushiriki habari — kubadilishana hiari ya taarifa za vitisho vya mtandaoni.

Nguzo ya nne ndiyo muuzaji lazima ajibu. DORA inatarajia taasisi ya kifedha kudumisha rejista ya habari inayoelezea kila mpangilio wa TEHAMA wa mhusika mwingine, kufanya uangalizi wa kina kabla ya kuingia mkataba, kupata haki maalum za mkataba (ukaguzi, upatikanaji, uwazi wa huduma ndogo ndogo, kutoka), na kutathmini hatari ya mkusanyiko. Kazi ya mtoa huduma ni kurahisisha yote hayo kuthibitishwa.

Kwa nini ni muhimu

Uthibitishaji wa utambulisho mara chache huwa mfumo wa pembezoni. Unakaa kwenye njia muhimu ya usajili wa wateja — na inazidi kuwa muhimu katika ufuatiliaji unaoendelea kupitia uchunguzi wa miamala. Ikiwa kazi hiyo itaporomoka, usajili huacha na mapato huacha nayo. DORA inachukulia aina hii ya utegemezi kama kitu ambacho mdhibiti anaweza kuuliza kuhusu.

Matokeo ya kivitendo: wakati taasisi ya kifedha inapoongeza mtoa huduma wa utambulisho kwenye rejista yake ya TEHAMA, inahitaji uhakikisho ulioandikwa kuhusu udhibiti wa usalama wa mtoa huduma huyo, ahadi za upatikanaji, na hali ya tukio. Mtoa huduma anayeweza kutoa vyeti vinavyotambulika na rekodi safi ya ukaguzi hupunguza uangalizi wa kina kutoka miezi hadi siku. Mtoa huduma asiyeweza kufanya hivyo anakuwa dosari.

Jinsi Didit inavyosaidia

Msimamo wa uzingatiaji wa Didit umejengwa ili kuingia kwenye faili ya muuzaji ya DORA na ushahidi, sio ahadi.

Cheti cha ISO/IEC 27001:2022. Didit inaendesha Mfumo wa Usimamizi wa Usalama wa Habari (ISMS) uliothibitishwa. Cheti — Bureau Veritas Certification, iliyoidhinishwa na ENAC, cheti namba ES144068, iliyothibitishwa awali 2026-04-07 na halali hadi 2027-06-03, iliyotolewa kwa DIDIT IDENTITY SPAIN S.L. — inahusu uundaji, uendeshaji, na usaidizi wa kiufundi wa suluhisho la utambulisho wa kidijitali la Didit. ISO 27001 ndiyo msingi wa kimataifa wa usimamizi wa hatari za TEHAMA: inahitaji mfumo ulioandikwa, udhibiti uliofafanuliwa, tathmini ya hatari, na uboreshaji endelevu — taaluma zile zile ambazo nguzo ya kwanza ya DORA inatarajia kutoka kwa taasisi zinazomtegemea Didit. Cheti kinaweza kusambazwa, kwa hivyo kinaweza kuingia moja kwa moja kwenye faili ya rejista.

Uthibitisho wa SOC 2 Aina ya 1. Didit ina ripoti ya SOC 2 Aina ya 1 kutoka ATOM (mkaguzi huru wa huduma chini ya mfumo wa AICPA SOC for Service Organizations), ikithibitisha muundo wa udhibiti katika Usalama, Upatikanaji, na Usiri kuanzia 2026-04-09. Upatikanaji ndio kigezo ambacho DORA inajali zaidi kwa utegemezi muhimu wa usajili. Uchunguzi wa Aina ya 2 — unaopima ufanisi wa uendeshaji kwa kipindi — umepangwa. Ripoti kamili ya SOC 2 imezuiliwa matumizi chini ya sheria za AICPA na inashirikiwa na wateja watarajiwa na wateja chini ya NDA; Didit inairejelea hapa badala ya kuchapisha yaliyomo.

Rekodi ya ukaguzi na ushahidi wa tukio. Kila uthibitishaji, kila uamuzi wa ufuatiliaji wa miamala, na kila mabadiliko ya hali hurekodiwa na kufichuliwa kupitia API iliyounganishwa ya /v3/ na webhooks (session.status.updated, transaction.status.updated, na matukio yanayohusiana). Hiyo inatoa taasisi ya kifedha rekodi inayoweza kuchezwa tena, yenye stempu ya muda ambayo inaweza kuingiza katika majukumu yake ya kuripoti matukio na kupima ustahimilivu — na mtiririko wazi wa data wa kuandika katika rejista.

Mtoa huduma mmoja anayewajibika. Kwa sababu utambulisho, uthibitishaji wa biashara, uchunguzi wa AML, ufuatiliaji wa miamala, na uchunguzi wa pochi zote zinaendeshwa kwenye API ile ile ya /v3/, taasisi ya kifedha inajikita kwenye kazi muhimu na mhusika mmoja, aliyethibitishwa wa TEHAMA badala ya kuunganisha kadhaa. Mpangilio machache katika rejista, uhusiano mmoja wa kimkataba wa kusimamia, seti moja ya vyeti vya kudumisha.

Uchunguzi wa kina: kujenga kiingilio cha rejista ya TEHAMA kwa Didit

Kiingilio cha rejista ya habari ya DORA kwa mtoa huduma wa utambulisho kawaida kinahitaji kunasa kazi inayotolewa, umuhimu wake, ulinzi wa mkataba, na ushahidi wa uhakikisho. Na Didit, hiyo inafanana vizuri:

Kipengele cha rejista ya DORA	Kile Didit inatoa
Maelezo ya huduma ya TEHAMA	Uthibitishaji wa utambulisho (KYC), uthibitishaji wa biashara (KYB), uchunguzi wa AML, ufuatiliaji wa miamala, uchunguzi wa pochi — API ya /v3/ iliyounganishwa
Umuhimu / kazi inayoungwa mkono	Usajili wa wateja na ufuatiliaji unaoendelea — kwa kawaida kazi muhimu au muhimu
Uhakikisho wa usalama	Cheti cha ISO/IEC 27001:2022 namba ES144068 (kinaweza kusambazwa)
Uhakikisho wa uendeshaji	SOC 2 Aina ya 1 (Usalama, Upatikanaji, Usiri), kuanzia 2026-04-09 (chini ya NDA)
Eneo la data / usindikaji	Imeandikwa katika makubaliano ya usindikaji wa data; taasisi ya EU DIDIT IDENTITY SPAIN S.L.
Haki za ukaguzi / upatikanaji	Haki za ukaguzi wa mkataba; rekodi kamili ya ukaguzi wa API na rekodi ya matukio ya webhook
Kutoka / uhamishaji	Usafirishaji wa kawaida wa API wa rekodi za kikao na miamala

Vyeti hufanya kazi kubwa kwenye safu za uhakikisho. Nyaraka za Didit na kituo cha usalama katika didit.me/security-compliance ndio mahali pekee pa kukusanya nyaraka ambazo timu yako ya uangalizi wa kina inahitaji.

Matumizi muhimu

• Benki za EU na EMIs zinazoongeza usajili wa mbali bila kupanua alama zao za rejista ya TEHAMA — mtoa huduma mmoja aliyethibitishwa, mpangilio mmoja.
• Watoa huduma wa mali za kidijitali chini ya MiCA, ambao pia huanguka chini ya DORA, wanaohitaji usajili na ufuatiliaji wa miamala kutoka kwa mhusika mwingine mwenye ustahimilivu.
• Taasisi za malipo ambazo lazima zithibitishe upatikanaji na usalama wa utegemezi wa usajili kwa mamlaka husika inapohitajika.
• Timu za Uzingatiaji na Manunuzi ambazo zinataka vyeti na ushahidi wa ukaguzi utolewe mapema, sio kufuatiliwa wakati wa uchunguzi.

Maswali yanayoulizwa mara kwa mara

Je, DORA inatumika moja kwa moja kwa watoa huduma wa uthibitishaji wa utambulisho?

Majukumu ya DORA huangukia kwenye taasisi ya kifedha, lakini yanafika kwa wahusika wengine wa TEHAMA kama watoa huduma za utambulisho kupitia nguzo ya usimamizi wa hatari za wahusika wengine. Taasisi ya kifedha lazima ifanye uangalizi wa kina, ipate haki za mkataba, na kusajili mpangilio — ambayo inamaanisha mtoa huduma lazima aweze kuthibitisha ustahimilivu wake.

Je, Didit ina cheti cha ISO 27001?

Ndiyo. Didit ina cheti cha ISO/IEC 27001:2022 (Bureau Veritas, iliyoidhinishwa na ENAC), cheti namba ES144068, halali hadi 2027-06-03, iliyotolewa kwa DIDIT IDENTITY SPAIN S.L. Cheti kinaweza kusambazwa kwa faili yako ya muuzaji.

Je, Didit ina cheti cha SOC 2?

Didit ina uthibitisho wa SOC 2 Aina ya 1 (ATOM) katika Usalama, Upatikanaji, na Usiri, kuanzia 2026-04-09. Uchunguzi wa SOC 2 Aina ya 2 umepangwa. Ripoti kamili inashirikiwa chini ya NDA.

Je, ninaweza kupata rekodi ya ukaguzi kwa ajili ya kuripoti matukio ya DORA?

Ndiyo. Kila uthibitishaji na tukio la ufuatiliaji wa miamala hurekodiwa na kufichuliwa kupitia API ya /v3/ na webhooks, kukupa rekodi inayoweza kuchezwa tena, yenye stempu ya muda kwa ajili ya kuripoti matukio na nyaraka za ustahimilivu.

Ninaweza kupata wapi nyaraka za vyeti?

Anza kwenye kituo cha usalama na uzingatiaji cha Didit katika didit.me/security-compliance. Cheti cha ISO 27001 kinaweza kusambazwa; ripoti ya SOC 2 Aina ya 1 inashirikiwa chini ya NDA.

Uko tayari kuanza?

Tazama orodha kamili ya uthibitisho ya Didit kwenye kituo cha usalama na uzingatiaji, chunguza jinsi uthibitishaji wa utambulisho unavyolingana na mchakato wa usajili wa EU kwenye ukurasa wa bidhaa ya Uthibitishaji wa Vitambulisho, na uangalie bei ya uwazi kwa kila ukaguzi kwenye ukurasa wa bei. Unapokuwa tayari, anza bila malipo — ukaguzi 500 wa KYC bila malipo kila mwezi, kwenye API ile ile iliyounganishwa ya /v3/ ambayo rejista yako ya DORA itaandika.