Didit 如何满足 DORA 要求:身份验证的 ICT 第三方风险管理 (ZH)
DORA 要求金融实体对其依赖的 ICT 第三方(包括身份提供商)承担责任。本文将介绍 Didit 的 ISO 27001 认证、SOC 2 Type 1 证明以及审计追踪机制如何支持符合 DORA 要求的供应商文件,从而帮助金融实体满足合规性要求。.
《数字运营韧性法案》(DORA)改变了外包的含义。自 2025 年 1 月起,欧盟境内的金融实体将直接对其所依赖的信息和通信技术(ICT)第三方的运营韧性负责——而银行、电子货币机构或加密资产服务提供商在客户入职流程中使用的身份验证提供商,正是这种 ICT 第三方。
这给每一次采购电话提出了一个新问题:您能否证明您的提供商具有韧性,并能为您的监管机构记录这些证明?本指南解释了 DORA 对 ICT 第三方的要求,并详细展示了 Didit 的认证、控制和审计追踪如何支持符合 DORA 要求的供应商文件。
主要内容
- DORA 要求金融实体对其使用的 ICT 第三方负责——包括身份和欺诈提供商。您不能外包责任,只能外包工作。
- Didit 已通过 ISO/IEC 27001:2022 认证(法国船级社,ENAC 认可,证书编号 ES144068,有效期至 2027-06-03)——这是一个国际公认的信息安全管理体系,直接对应 DORA 的 ICT 风险管理要求。
- Didit 持有 SOC 2 Type 1 证明(ATOM,截至 2026-04-09),涵盖安全、可用性和保密性信任标准,并计划进行 Type 2 审查。
- 每次验证都会留下不可篡改的审计追踪——状态、决策和 Webhook 事件,您的团队可以重放以用于事件报告和 ICT 注册。
- 完整的身份和欺诈生命周期通过一个统一的
/v3/API 运行,因此韧性、监控和报告都集中在一个负责任的提供商处,而不是分散在多个提供商处。
DORA 的要求
DORA 是欧盟金融部门数字运营韧性框架。它将网络安全视为核心关注点,并将五个支柱融入单一法规中:
- ICT 风险管理——一个用于识别、防范、检测、响应和从 ICT 相关事件中恢复的文档化框架。
- ICT 事件报告——在规定期限内对重大事件进行分类并向主管当局报告。
- 数字运营韧性测试——定期对 ICT 系统进行测试,对于重要实体,包括基于威胁的渗透测试。
- ICT 第三方风险管理——涉及 Didit 等提供商的支柱:尽职调查、合同保障、每项 ICT 安排的信息登记,以及监控和退出的能力。
- 信息共享——自愿交换网络威胁情报。
第四个支柱是供应商必须回答的问题。DORA 要求金融实体维护一个信息登记册,描述每项 ICT 第三方安排,在签订合同前进行尽职调查,确保特定的合同权利(审计、访问、分包透明度、退出),并评估集中风险。提供商的工作是使所有这些都易于证明。
重要性
身份验证很少是一个边缘系统。它位于客户入职的关键路径上——并且越来越多地通过交易筛选进行持续监控。如果该功能退化,入职就会停止,收入也会随之停止。DORA 正是将这种依赖性视为监管机构可以询问的问题。
实际后果是:当金融实体将其身份提供商添加到其 ICT 注册中时,它需要关于该提供商的安全控制、可用性承诺和事件态势的文档化保证。一个能够提供公认认证和清晰审计追踪的提供商可以将尽职调查时间从数月缩短到数天。一个不能提供这些的提供商将成为一个问题。
Didit 如何提供帮助
Didit 的合规性态势旨在通过证据而非承诺,完美融入 DORA 供应商文件。
ISO/IEC 27001:2022 认证。Didit 运营着一个经过认证的信息安全管理体系(ISMS)。该证书——由法国船级社认证,ENAC 认可,证书编号 ES144068,最初于 2026-04-07 认证,有效期至 2027-06-03,颁发给 DIDIT IDENTITY SPAIN S.L.——涵盖了 Didit 数字身份解决方案的开发、运营和技术支持。ISO 27001 是 ICT 风险管理的国际基准:它要求一个文档化的框架、明确的控制、风险评估和持续改进——这些正是 DORA 第一个支柱对依赖 Didit 的实体所期望的纪律。该证书可分发,因此可以直接放入注册文件。
SOC 2 Type 1 证明。Didit 持有 ATOM(根据 AICPA SOC for Service Organizations 框架的独立服务审计师)出具的 SOC 2 Type 1 报告,证明截至 2026-04-09,在安全、可用性和保密性方面的控制设计。可用性是 DORA 对关键入职依赖项最关心的标准。计划进行Type 2 审查——该审查测试一段时间内的操作有效性。完整的 SOC 2 报告根据 AICPA 规则限制使用,并在 NDA 下与潜在客户和客户共享;Didit 在此引用它而不是发布其内容。
审计追踪和事件证据。每次验证、每次交易监控决策和每次状态更改都通过统一的 /v3/ API 和 Webhook(session.status.updated、transaction.status.updated 和相关事件)进行记录和公开。这为金融实体提供了可重放的、带有时间戳的记录,它可以将其整合到自己的事件报告和韧性测试义务中——以及在注册中记录的清晰数据流。
一个负责任的提供商。由于身份、业务验证、AML 筛选、交易监控和钱包筛选都在同一个 /v3/ API 上运行,金融实体将关键功能集中在一个经过认证的 ICT 第三方,而不是连接多个第三方。注册中的安排更少,需要管理的合同关系更少,需要维护的认证也更少。
深入探讨:为 Didit 构建 ICT 注册条目
DORA 身份提供商的信息注册条目通常需要捕获所提供的功能、其关键性、合同保障和保证证据。对于 Didit 来说,这可以清晰地映射:
| DORA 注册元素 | Didit 提供的内容 |
|---|---|
| ICT 服务描述 | 身份验证 (KYC)、业务验证 (KYB)、AML 筛选、交易监控、钱包筛选——统一的 /v3/ API |
| 关键性 / 支持的功能 | 客户入职和持续监控——通常是关键或重要功能 |
| 安全保障 | ISO/IEC 27001:2022 证书编号 ES144068(可分发) |
| 运营保障 | SOC 2 Type 1(安全、可用性、保密性),截至 2026-04-09(根据 NDA) |
| 数据位置 / 处理 | 在数据处理协议中记录;欧盟实体 DIDIT IDENTITY SPAIN S.L. |
| 审计 / 访问权限 | 合同审计权利;完整的 API 审计追踪和 Webhook 事件日志 |
| 退出 / 可移植性 | 会话和交易记录的标准 API 导出 |
这些认证在保证行中发挥了重要作用。Didit 的文档和安全中心 didit.me/security-compliance 是您的尽职调查团队收集所需文件的唯一地点。
用例
- 欧盟银行和电子货币机构在不增加其 ICT 注册足迹的情况下添加远程入职——一个经过认证的提供商,一个安排。
- MiCA 下的加密资产服务提供商,也属于 DORA 范围,需要来自具有韧性的第三方提供的入职和交易监控服务。
- 支付机构必须根据要求向主管当局证明入职依赖项的可用性和安全性。
- 合规和采购团队希望预先获得认证和审计证据,而不是在审查期间追逐这些文件。
常见问题
DORA 是否直接适用于身份验证提供商?
DORA 的义务落在金融实体身上,但它们通过第三方风险管理支柱延伸到身份提供商等 ICT 第三方。金融实体必须进行尽职调查、确保合同权利并注册安排——这意味着提供商必须能够证明其韧性。
Didit 是否已通过 ISO 27001 认证?
是的。Didit 持有 ISO/IEC 27001:2022 证书(法国船级社,ENAC 认可),证书编号 ES144068,有效期至 2027-06-03,颁发给 DIDIT IDENTITY SPAIN S.L.。该证书可分发用于您的供应商文件。
Didit 是否已通过 SOC 2 认证?
Didit 持有 ATOM 出具的 SOC 2 Type 1 证明,涵盖安全、可用性和保密性,截至 2026-04-09。计划进行 SOC 2 Type 2 审查。完整报告在 NDA 下共享。
我可以获取 DORA 事件报告的审计追踪吗?
是的。每次验证和交易监控事件都通过 /v3/ API 和 Webhook 记录和公开,为您提供可重放的、带有时间戳的记录,用于事件报告和韧性文档。
我在哪里可以获取认证文件?
请访问 Didit 安全与合规中心 didit.me/security-compliance。ISO 27001 证书可分发;SOC 2 Type 1 报告在 NDA 下共享。
准备好开始了吗?
请访问安全与合规中心查看 Didit 的完整证明堆栈,在身份验证产品页面了解身份验证如何适应欧盟入职流程,并在定价页面查看透明的按次检查定价。准备就绪后,免费开始——每月 500 次免费 KYC 检查,使用您的 DORA 注册将记录的相同统一 /v3/ API。