Инфраструктура, готова за DORA

Договорната рамка на payware имплементира член 30 от Акта за цифрова оперативна устойчивост, позволявайки на партньорите - платежни институции да изпълнят задълженията си по DORA с увереност.

Какво е DORA

Регламент (ЕС) 2022/2554 относно цифровата оперативна устойчивост за финансовия сектор

Актът за цифрова оперативна устойчивост (DORA) установява цялостна рамка за управление на ИКТ рисковете във финансовия сектор на ЕС. В сила от януари 2025 г., той изисква финансовите субекти да гарантират, че техните договорености с трети страни - доставчици на ИКТ услуги, отговарят на строги стандарти за оперативна устойчивост.

Управление на ИКТ рисковете

Финансовите субекти трябва да прилагат и поддържат цялостни рамки за управление на ИКТ рисковете, обхващащи идентификация, защита, откриване, реагиране и възстановяване.

Докладване на инциденти

Задължително класифициране и докладване на значими ИКТ инциденти пред компетентните органи с определени срокове и изисквания към съдържанието.

Тестване на цифровата устойчивост

Редовно тестване на ИКТ системите, включително оценки на уязвимостите, тестове за проникване и тестване за проникване, водено от заплахи (TLPT) за критични функции.

Риск от трети страни

Член 30 налага специфични договорни изисквания към договореностите на финансовите субекти с доставчици на ИКТ услуги - включително одитни права, подкрепа при инциденти и стратегии за излизане.

Ролята на payware по DORA

Допълнителен доставчик на ИКТ услуги с договори, съобразени с член 30

payware не е финансов субект и не е пряко подчинен на задълженията по DORA. Въпреки това, услугите на payware за обмен на транзакционна информация представляват ИКТ услуги по смисъла на член 3, точка 21 от DORA. Нашата договорна рамка проактивно адресира изискванията по член 30, които се прилагат към нас чрез партньорствата ни с платежни институции. payware оперира с облачна, дистанционна инфраструктура, хоствана на облачни платформи на трети страни, поради което одитните и инспекционни процеси по подразбиране се извършват дистанционно чрез документация, табла за управление и демонстрации на живо.

Допълнителна, некритична роля

Услугите на payware са допълнителни спрямо основните способности на платежната институция. Прекратяването на услугите не би нарушило способността на ПИ да извършва плащания, да удостоверява клиенти, да извършва сетълмент или да поддържа регулаторно съответствие.

Договори, съобразени с член 30

Нашите Условия за партньорство с платежни институции включват специализиран раздел 8Б, имплементиращ всички ключови изисквания по член 30 - от одитни права до стратегии за излизане.

Проактивно съответствие

Вместо да чака партньорите да наложат изисквания, payware е вградил съответствието с DORA в стандартната си партньорска рамка, намалявайки административната тежест и осигурявайки последователност.

Ключови договорни разпоредби

Раздел 8Б от Условията за партньорство с ПИ адресира всяко изискване по член 30

Одитни и инспекционни права

Чл. 30(1)(а) Раздел 8Б.2

Подход, базиран на документация, с годишни пакети за увереност (съответствие с ISO 27001, сертификати на облачния доставчик, доклади от тестове за проникване). Преки одити - веднъж годишно, провеждани дистанционно чрез табла за управление, логове и демонстрации на живо. Поддръжка на групови одити за множество партньори.

Уведомяване и съдействие при инциденти

Чл. 30(1)(б)-(в) Раздел 8Б.3

Проактивно уведомяване за ИКТ инциденти, засягащи услугите, в рамките на определените времена за реакция по SLA. Пълно сътрудничество и разумно съдействие без допълнителна такса за инциденти с Приоритет 1/2 и всеки инцидент, изискващ регулаторно докладване.

Тестване за проникване, водено от заплахи

Чл. 26 Раздел 8Б.4

Сътрудничество с инициирани от ПИ TLPT тестове, когато ПИ класифицира услугите като поддържащи критични или важни функции въз основа на собствената си оценка на риска. 30 работни дни предизвестие, договорени прозорци за тестване и планове за отстраняване в рамките на 30 работни дни за съществени констатации. Налични са алтернативни групови тестови договорености, когато множество партньори изискват TLPT.

Непрекъснатост на дейността и възстановяване

Чл. 11, 19 Раздел 8Б.5

Документирани и ежегодно тествани планове за BCDR. Обобщения от тестовете - на разположение при поискване. Инциденти с Приоритет 1 задействат актуализации на статуса на всеки 4 часа до възстановяване.

Стратегия за излизане и преход

Чл. 30(1)(з) Раздел 8Б.6

Минимум 6-месечен преходен период при съществуващите търговски условия. Експорт на данни в структуриран, машинночетим формат в рамките на 30 работни дни. Техническа информация за излизане (формати на данни, API спецификации, архитектура) - на разположение при поискване.

Прозрачност при подизпълнителите

Чл. 30(1)(ж) Раздел 8Б.7

Механизъм за уведомяване, възражение и прекратяване при промени на подизпълнителите, засягащи услугите. Разширява обхвата отвъд защитата на данните, обхващайки основания за информационна сигурност и регулаторно съответствие.

Регистър на информацията

Чл. 28(3) Раздел 8Б.8

Поддържан информационен пакет, включващ описания на услугите, местоположения за обработка на данни, идентичност на подизпълнителите и ангажименти по SLA - в подкрепа на регулаторните задължения на партньорите за водене на регистър.

Одит и прозрачност

Изградено за верификация, проектирано за доверие

Документация за увереност

На разположение ежегодно на партньорите - ПИ като алтернатива на преки одити:

  • Управление на информационната сигурност, съобразено с ISO/IEC 27001
  • Сертификати на облачния доставчик (ISO 27001, BSI C5 Type 2)
  • Годишни доклади от тестове за проникване от трети страни
  • Обобщения за сигурността на инфраструктурата

Регистър на информацията

Поддържани данни в подкрепа на задълженията на партньорите - ПИ по член 28(3):

  • Описания на услугите и инвентар на компонентите
  • Първични местоположения за обработка и съхранение на данни (ЕИП; CDN/DR инфраструктура може да е извън ЕИП при гаранции по GDPR)
  • Идентичност и роли на подизпълнителите
  • Ангажименти и метрики по нивото на обслужване

Оперативна устойчивост

Тествана, документирана и готова за проверка

Непрекъснатост на дейността

Документирани BCDR планове, тествани ежегодно с определени RTO/RPO цели. Обобщения от тестовете - на разположение на партньорите при поискване.

Реагиране при инциденти

Определена класификация на инцидентите, процедури за реагиране и механизми за уведомяване на ПИ. Безплатно съдействие при критични инциденти.

Устойчивост на данните

Автоматизирани ежедневни бекъпи с почасови инкрементални, отдалечено съхранение, месечни тестове за възстановяване и 30-дневно съхранение.

Готовност за излизане

Структуриран капацитет за експорт на данни, документирани процедури за преход и минимум 6 месеца непрекъснатост на услугата при прекратяване.

Готови за партньорство?

Нашата договорна рамка, готова за DORA, е вградена във всяко партньорство с платежна институция. Свържете се с нас за интеграция с увереност.

Свържете се с нас Рамка за съответствие