Tudo sobre FinTech

Etiqueta: DORA

  • O que é DORA e como ela afeta a sua empresa?

    O que é DORA e como ela afeta a sua empresa?

    A Lei de Resistência Digital Operacional (DORA) é uma iniciativa regulatória da Comissão Europeia (UE), com o objetivo de fortalecer medidas de cibersegurança no setor de serviços financeiros da UE. Com entrada em vigor a partir de janeiro de 2025, a DORA impõe medidas significativas para fortalecer a resiliência dos principais participantes do sistema financeiro contra ameaças crescentes de ciberataques e outros riscos.

    A DORA inclui um conjunto abrangente de regulamentos destinados a consolidar e elevar os requisitos de risco de tecnologia da informação e comunicação (ICT) em todos os setores financeiros. Este sistema estrutural garante que todos os participantes cumpram um conjunto comum de padrões de risco da ICT, criando uma defesa unificada e robusta contra possíveis interrupções.

    Os principais objetivos do DORA se concentram em gerenciamento de risco, notificação de incidentes, testes de resiliência, gerenciamento de risco associado a entidades terceiras e compartilhamento de informações. Esses requisitos impõem às instituições financeiras, bem como aos principais fornecedores externos, como provedores de serviços em nuvem (CSPs), a necessidade de implementar processos e procedimentos específicos.

    Principais requisitos

    As empresas sujeitas à DORA têm a obrigação de cumprir cinco requisitos básicos:

    1. Plano de resposta a incidentes: As empresas devem desenvolver um plano detalhado de resposta a incidentes, no qual serão definidos ataques cibernéticos, as respostas apropriadas dos funcionários e os procedimentos para restabelecer as operações após uma violação de segurança.
    2. Programa de cibersegurança: É requerida a implementação de um programa abrangente de cibersegurança, incluindo a avaliação de riscos associados aos ataques cibernéticos e os planos apropriados para mitigar esses riscos.
    3. Controles de segurança: As empresas devem manter controles de segurança sólidos sobre sua infraestrutura digital, incluindo criptografia, autenticação, controle de acesso, registros de auditoria, sistemas de monitoramento, sistemas de gerenciamento de incidentes.
    4. Relatório de incidentes: É exigido um relatório oportuno de incidentes, permitindo que as autoridades regulatórias avaliem a vulnerabilidade e forneçam recomendações para melhorar a segurança.
    5. Continuidade do serviço: Estabelecer um plano para garantir a continuidade do serviço durante interrupções é essencial para a conformidade com as regulamentações.

    O enquadramento de supervisão definido pela DORA impõe às instituições reguladoras da UE a obrigação de auditar e avaliar o controlo das empresas, garantindo a conformidade com os padrões estabelecidos pela DORA e a capacidade de manter um ambiente seguro e resistente para gerir dados financeiros.

    Vale salientar que o impacto da DORA não se limita apenas à UE, já que as autoridades reguladoras, incluindo a Comissão de Valores Mobiliários e Câmbio dos Estados Unidos (SEC), propuseram medidas paralelas. Em resposta a essas mudanças, empresas como a SS&C Advent estão se adaptando ativamente às demandas da DORA, destacando a importância da segurança, conformidade e resiliência na paisagem digital constantemente evolução de hoje.

    A quais organizações a DORA se aplica?

    • Instituições de crédito;
    • Instituições de pagamento;
    • Prestador de serviços de informação da conta;
    • Instituições de dinheiro eletrônico;
    • Instituições que prestam serviços financeiros;
    • Fornecedores externos de serviços de tecnologia da informação e comunicação (ICT); e fornecedores de serviços de ativos criptográficos autorizados pela regulamentação do Parlamento Europeu e do Conselho sobre mercados de ativos criptográficos e emissores de tokens baseados em ativos.
    • Centros de negociação;
    • Registros comerciais;
    • Gestores de fundos de investimento alternativos;
    • Sociedades gestoras;
    • Fornecedores de dados para relatórios financeiros;
    • Prestador de serviços de financiamento coletivo;
    • Registro de securitização;
    • Depósito central de valores mobiliários;
    • Empresas de seguros e resseguros;
    • Corretores de seguros, corretores de resseguros e agentes auxiliares de seguros;
    • Instituições de programas de pensões de empregados;
    • Agências de classificação de risco;
    • Gerente de valores de referência críticos;

    A DORA exige que as organizações financeiras monitorem e gerenciem o risco criado pelos fornecedores com os quais trabalham. Isso se aplica tanto a indivíduos como a organizações que prestam serviços a essas empresas financeiras – eles devem aderir às regras da DORA.

    No entanto, deve-se notar que a DORA não se aplica a todas as entidades do setor financeiro. Algumas delas estão isentas, como instituições que gerenciam programas de pensão para menos de 15 pessoas, empresas pequenas, como corretores de seguros e algumas outras organizações. A lista completa pode ser encontrada no Artigo 2.3.

    Cronograma para cumprir os requisitos da DORA

    A DORA foi oficialmente aprovada no dia 16 de janeiro de 2023, e as instituições financeiras têm dois anos para se preparar. Isso significa que devem cumprir as regras da DORA até 17 de janeiro de 2025. Embora possa parecer que há muito tempo, é importante que as empresas financeiras comecem a implementar as novas regras agora. Eles não precisam esperar até o último minuto – podem começar a fazer mudanças para cumprir as exigências.

    Como podemos ajudar?

    Na Z3X, compreendemos perfeitamente os desafios que as empresas enfrentam ao se adaptar às regulamentações do Digital Operational Resilience Act (DORA). Com nosso conhecimento dos quadros regulatórios, estamos aqui para ajudar a sua empresa a garantir a conformidade com os requisitos do DORA.

    Nossas soluções personalizadas são projetadas para ajudar as instituições financeiras a implementar as ações necessárias definidas pelo DORA. Desde o desenvolvimento de estruturas abrangentes de gestão de risco até a criação de planos sólidos de resposta a incidentes, nossa equipe na Z3X tem as ferramentas certas para guiar sua empresa durante todo o processo.

    Oferecemos uma abordagem proativa, ajudando a sua organização a se manter à frente da concorrência e iniciar a implementação do DORA com bastante antecedência. Com nossa experiência e conhecimento, você pode simplificar a adoção do DORA, garantindo uma transição suave e minimizando as interrupções nos negócios.

    Colabore com a Z3X, não apenas para cumprir as obrigações regulatórias, mas também para aumentar a resiliência e a segurança geral do seu negócio em um ambiente digital em constante mudança. Nosso objetivo é fornecer soluções práticas que atendam às necessidades específicas de sua organização, tornando a jornada em direção à conformidade com o DORA mais eficaz e eficiente. Deixe a Z3X ser sua parceira de confiança para lidar com a complexidade da regulamentação e garantir o futuro do seu negócio.

    A regulamentação completa do DORA pode ser encontrada aqui.

    Se preferir ler este artigo em inglês, você pode encontrar aqui: What is DORA and what does it mean for your company?

  • O que é DORA e o que isso significa para a sua empresa?

    O que é DORA e o que isso significa para a sua empresa?

    O Digital Operational Resilience Act (DORA) é uma iniciativa regulatória significativa da Comissão Europeia (UE) destinada a aprimorar as medidas de cibersegurança no setor de serviços financeiros da UE. Com uma data efetiva definida para janeiro de 2025, o DORA impõe etapas cruciais para fortalecer a resiliência dos principais participantes no sistema financeiro contra as ameaças crescentes de ciberataques e outros riscos.

    O DORA abrange um conjunto abrangente de regulamentações projetadas para consolidar e elevar os requisitos de risco em Tecnologia da Informação e Comunicação (TIC) em todo o setor financeiro. Esse quadro garante que todos os participantes cumpram um conjunto comum de padrões de risco de TIC, criando uma defesa unificada e robusta contra potenciais interrupções.

    Os objetivos principais do DORA estão centrados em gestão de risco, relatório de incidentes, testes de resiliência, gestão de risco de terceiros e compartilhamento de informações. Esses requisitos obrigam as instituições financeiras, bem como fornecedores críticos de terceiros como Provedores de Serviços em Nuvem (CSPs), a implementar processos e procedimentos específicos.

    Principais requisitos

    As empresas sob a alçada da DORA são obrigadas a cumprir cinco requisitos principais:

    1. Plano de Resposta a Incidentes: As empresas devem desenvolver um plano detalhado de resposta a incidentes, delineando a definição de um ciberataque, respostas apropriadas dos funcionários e procedimentos para restaurar as operações após uma violação da segurança.
    2. Programa de Cibersegurança: Um programa abrangente de cibersegurança, incluindo avaliações de riscos de possíveis ameaças cibernéticas e planos de mitigação correspondentes, é exigido.
    3. Controles de Segurança: As empresas devem manter controles de segurança robustos sobre sua infraestrutura digital, abrangendo criptografia, autenticação, controles de acesso, trilhas de auditoria, sistemas de monitoramento, sistemas de gerenciamento de eventos e planos de resposta a incidentes.
    4. Relatório de Incidentes: A comunicação oportuna de incidentes é necessária, permitindo que os reguladores avaliem vulnerabilidades e forneçam recomendações para aprimorar as posturas de segurança.
    5. Continuidade do Serviço: Estabelecer um plano para garantir a continuidade do serviço durante interrupções é essencial para conformidade.

    O quadro de supervisão delineado pela DORA atribui responsabilidade às autoridades reguladoras financeiras da UE para auditar e avaliar os controles das empresas, garantindo a conformidade com os padrões especificados pela DORA e a capacidade de manter um ambiente seguro e resiliente para lidar com dados financeiros.

    É importante destacar que o impacto da DORA não se limita à UE, uma vez que órgãos reguladores, incluindo a Comissão de Valores Mobiliários dos EUA (SEC), introduziram propostas paralelas. Em resposta a esses desenvolvimentos, empresas como a SS&C Advent estão alinhando ativamente com os requisitos da DORA, enfatizando a importância da segurança, conformidade e resiliência no cenário digital em constante evolução de hoje.

    Quais organizações estão abrangidas pela DORA?

    • instituições de crédito;
    • instituições de pagamento;
    • provedores de serviços de informação de contas;
    • instituições de moeda eletrônica;
    • empresas de investimento;
    • provedores de serviços de terceiros de TIC; e provedores de serviços de ativos criptográficos autorizados ao abrigo de um Regulamento do Parlamento Europeu e do Conselho sobre mercados em ativos criptográficos, e emissores de tokens de referência a ativos.
    • contrapartes centrais;
    • locais de negociação;
    • repositórios de transações;
    • gestores de fundos de investimento alternativos;
    • companhias de gestão;
    • provedores de serviços de relatórios de dados;
    • provedores de serviços de financiamento coletivo;
    • repositórios de titularização;
    • depositários centrais de títulos;
    • empresas de seguros e resseguros;
    • intermediários de seguros, de resseguro e intermediários de seguros auxiliares;
    • instituições de provisão de pensões profissionais;
    • agências de classificação de risco;
    • administradores de índices de referência críticos;

    A DORA torna necessário que as empresas financeiras supervisionem e gerenciem o risco representado pelos fornecedores com os quais trabalham. Isso se aplica tanto a indivíduos quanto a organizações que prestam serviços a essas empresas financeiras—elas precisam seguir as regras da DORA.

    No entanto, é importante saber que a DORA não se aplica a todos os setores financeiros. Alguns são isentos, como instituições que administram planos de aposentadoria para menos de 15 pessoas, pequenas empresas como intermediários de seguros e outras entidades específicas. Você pode encontrar a lista completa em Artigo 2.3.

    Cronograma para cumprir os requisitos da DORA

    A DORA foi oficialmente aprovada em 16 de janeiro de 2023, e as instituições financeiras têm dois anos para colocar tudo em prática. Isso significa que precisam seguir as regras da DORA até 17 de janeiro de 2025. Mesmo que pareça haver bastante tempo, é uma boa ideia para as empresas financeiras começarem a adotar as novas regras agora. Elas não precisam esperar até o último minuto – podem começar a fazer mudanças para cumprir os requisitos.

    Como podemos ajudar?

    Na Z3X, entendemos os desafios que as empresas enfrentam ao se adaptarem às regulamentações da Digital Operational Resilience Act (DORA). Com nossa expertise em navegar em frameworks regulatórios, estamos aqui para apoiar sua empresa em garantir conformidade com os requisitos da DORA.

    Nossas soluções personalizadas são projetadas para auxiliar entidades financeiras na implementação das medidas necessárias delineadas pela DORA. Desde o desenvolvimento de frameworks abrangentes de gerenciamento de riscos até o estabelecimento de planos robustos de resposta a incidentes, nossa equipe na Z3X está bem equipada para orientar seu negócio durante todo o processo.

    Oferecemos uma abordagem proativa, ajudando sua organização a se adiantar e iniciar o processo de implementação com antecedência. Ao aproveitar nosso conhecimento e experiência, você pode agilizar a adoção das regulamentações da DORA, garantindo uma transição suave e minimizando interrupções em suas operações.

    Associe-se à Z3X não apenas para cumprir obrigações regulatórias, mas também para aprimorar a resiliência e segurança geral de seu negócio no cenário digital em evolução. Nosso compromisso é fornecer soluções práticas alinhadas com as necessidades específicas de sua organização, tornando a jornada em direção à conformidade com a DORA eficiente e eficaz. Deixe a Z3X ser sua parceira confiável na navegação das complexidades da conformidade regulatória e na proteção do futuro de seu negócio.

    Você pode encontrar a regulamentação completa da DORA aqui.

    Se preferir ler este artigo em inglês, pode encontrá-lo aqui: What is DORA and what does it mean for you company?