金融科技身份提供商如何实现DORA合规 (ZH)

DORA的广泛影响DORA将监管范围扩大到第三方ICT提供商，包括身份验证服务，使其直接对运营韧性负责。

关键支柱合规性取决于健全的ICT风险管理、事件报告、数字运营韧性测试、第三方风险管理和信息共享。

对身份验证的影响身份提供商必须展示韧性、安全性和即使在中断期间也能保持服务连续性的能力，这影响了金融科技选择和管理其IDV合作伙伴的方式。

可操作的步骤金融科技需要绘制其ICT依赖关系图，对IDV提供商进行彻底的尽职调查，实施严格的测试，并建立清晰的事件响应计划。

金融行业正在经历深刻的数字化转型，带来了前所未有的便利，但也引入了新的复杂风险。为此，欧盟出台了《数字运营韧性法案》(DORA)，这是一项开创性的法规，旨在增强金融实体及其关键第三方信息和通信技术 (ICT) 提供商的运营韧性。对于金融科技公司及其所依赖的身份验证 (IDV) 服务而言，理解和实现身份验证的DORA合规性不仅是监管义务，更是一项战略要务。

什么是DORA，它为何对金融科技至关重要？

DORA于2023年1月16日生效，有两年的实施期，这意味着金融实体必须在2025年1月17日之前实现合规。其主要目标是确保金融机构能够抵御、响应并从所有类型的ICT相关中断和威胁中恢复。与以往主要关注金融稳定的法规不同，DORA将重点放在数字运营韧性上。

对于金融科技公司而言，DORA尤为关键，因为其商业模式本质上是数字化的，并且通常严重依赖复杂的第三方ICT提供商生态系统。这包括从云服务和数据分析到至关重要的身份验证和反洗钱 (AML) 筛选解决方案等一切服务。根据DORA，这些第三方提供商，如果被认定为关键，将直接受到欧洲金融监管机构的监督。这是一个重大转变，将监管范围从金融实体本身扩展到其供应链。

DORA的五大支柱是：

1. ICT风险管理：实施一个全面的框架，以识别、分类、管理和报告ICT风险。
2. ICT相关事件管理、分类和报告：建立健全的流程，用于检测、管理和报告重大ICT事件。
3. 数字运营韧性测试：定期测试ICT系统，包括对关键功能进行高级威胁主导的渗透测试。
4. 管理ICT第三方风险：详细了解ICT第三方依赖关系，并确保合同安排支持韧性。
5. 信息共享：建立共享网络威胁情报和漏洞信息的能力。

DORA合规性与金融科技中的身份验证

身份验证服务是金融科技运营的基础，从客户入职 (KYC) 和交易监控到欺诈预防。IDV提供商的服务中断或安全漏洞可能对金融科技造成灾难性后果，导致入职停滞、合规失败、经济损失和声誉损害。因此，DORA合规性身份验证要求这些服务不仅有效，而且具有高度韧性。

对于金融科技公司而言，这意味着：

• 加强尽职调查：比以往任何时候都更彻底地审查IDV提供商的运营韧性框架、安全措施和事件响应能力。例如，Didit已获得SOC 2 Type II和ISO 27001认证，为安全和运营控制提供了坚实的基础。
• 合同明确性：确保与IDV提供商的合同中包含明确的服务水平协议 (SLA)，涉及正常运行时间、事件通知以及恢复时间目标 (RTO) 和恢复点目标 (RPO)。
• 依赖关系映射：了解IDV服务故障将如何影响其自身运营和整体金融科技运营韧性。
• 测试：将IDV系统纳入其数字运营韧性测试计划，确保这些关键组件能够抵御模拟攻击和中断。

对于像Didit这样的身份提供商，DORA要求展示和证明：

• 健全的ICT风险管理：维护一个全面的框架，用于识别和缓解对其服务的风险。
• 事件响应能力：拥有清晰、经过测试的计划，用于管理和向其金融科技客户报告ICT相关事件，如果被认定为关键，则直接向监管机构报告。
• 业务连续性和灾难恢复：确保其平台设计具有高可用性和快速恢复能力，配备冗余系统和地理分散的数据中心。例如，Didit的架构包括内置冗余和编排功能，允许动态路由和故障转移。
• 安全设计：在整个身份验证生命周期中实施强大的安全控制，从数据捕获到存储和处理。这包括强大的加密、访问控制和定期漏洞评估。

通过DORA构建强大的金融科技运营韧性

根据DORA实现全面的金融科技运营韧性需要一种整合技术、流程和人员的整体方法。这不是一个一次性项目，而是一项持续的承诺。

金融科技公司的实际步骤包括：

1. 清点和映射ICT资产：了解所有关键ICT系统，包括内部基础设施和所有第三方服务，如IDV平台。
2. 进行业务影响分析 (BIA)：识别关键服务中断对业务运营的潜在影响。
3. 执行风险评估：定期评估ICT相关风险，包括网络安全威胁、系统故障和人为错误。
4. 实施韧性措施：这可能涉及分散IDV提供商、实施多因素身份验证，或使用不完全依赖单一数据源的高级欺诈检测系统。
5. 制定和测试事件响应计划：确保有明确的程序来检测、响应和恢复ICT事件，并定期进行演练和模拟。
6. 主动管理第三方风险：建立供应商管理计划，包括持续监控、定期审计以及与所有关键ICT提供商（尤其是身份验证服务）的强大合同协议。

例如，一家使用Didit进行入职的金融科技公司可能有一个工作流程，包括身份证件验证、被动活体检测和AML筛选。根据DORA，他们需要证明Didit的平台足够有弹性，可以处理高并发量，抵御网络威胁，并具有清晰的事件报告机制。Didit的模块化设计和可视化工作流程构建器允许金融科技公司构建冗余和回退选项，从而增强其整体韧性。

Didit如何提供帮助

Didit专为满足现代监管环境的需求而构建，为DORA合规性身份验证提供了坚实的基础，并增强了整体金融科技运营韧性。我们的平台提供：

• 全面的身份验证：AI驱动的IDV支持14,000多种文档类型、被动和主动活体检测（iBeta Level 1认证）以及1:1人脸匹配，所有这些对于安全入职都至关重要。
• 高级AML筛选：实时筛选1,300多个全球观察名单，并持续监控以检测客户风险状况的变化，确保持续合规。
• 高可用性和可靠性：我们内部开发的核心身份原语和编排层专为韧性而设计，具有冗余系统和强大的基础设施。
• 安全与合规认证：SOC 2 Type II和ISO 27001认证，符合GDPR，以及默认隐私架构，为敏感个人数据提供保障。
• 灵活的工作流程编排：可视化工作流程构建器允许金融科技公司设计有弹性的入职流程，具有条件逻辑和回退选项，减少单点故障。
• 透明定价和可扩展性：按成功付费模式，无最低限制，允许金融科技公司在没有财务障碍的情况下扩展运营，同时确保他们只为成功的、有韧性的验证付费。

准备好开始了吗？

DORA带来了重大挑战，但也为金融科技公司加强其数字运营韧性提供了机会。通过与像Didit这样强大的身份验证提供商合作，您可以确保您的合规工作有效且面向未来。探索我们的平台功能或联系我们讨论您的具体DORA合规需求。

• 查看Didit定价
• 试用演示
• 阅读我们的技术文档

常见问题

什么是身份验证的DORA合规性？

身份验证的DORA合规性意味着身份提供商和使用它们的金融实体必须确保其IDV系统具有运营韧性、安全性，并且能够抵御、响应并从ICT相关中断中恢复。它要求对这些关键服务进行健全的风险管理、事件报告和定期测试。

金融科技公司何时需要符合DORA？

《数字运营韧性法案》(DORA) 于2023年1月16日生效。金融实体（包括金融科技公司）及其关键ICT第三方提供商必须在2025年1月17日之前完全符合DORA。

DORA如何影响金融科技的运营韧性？

DORA通过强制要求全面的ICT风险管理框架、严格的事件报告、定期的数字运营韧性测试（包括威胁主导的渗透测试）以及对第三方ICT风险的健全管理，显著提升了对金融科技运营韧性的要求。它确保金融科技公司即使在严重中断期间也能维持关键功能。

DORA可以直接适用于身份验证提供商吗？

是的，DORA可以直接适用于身份验证提供商。如果IDV提供商被认定为金融实体的“关键”第三方ICT服务提供商，它将受到欧洲金融监管机构的直接监督。这意味着这些提供商必须遵守DORA关于ICT风险管理、事件报告和运营韧性的要求。