Cumplimiento DORA para Proveedores de Pagos
El Digital Operational Resilience Act impone nuevas obligaciones de gestion del riesgo TIC a todos los PSPs de la UE. PCI Proxy le ofrece un vault de datos de tarjetas alineado con DORA para que cumpla la normativa sin ampliar su perimetro.
Que es DORA?
DORA (Reglamento UE 2022/2554) entro en vigor en enero de 2025. Armoniza las normas de gestion del riesgo TIC en el sector financiero europeo y convierte la resiliencia operativa digital en una obligacion legal.
Gestion del riesgo TIC
Las entidades financieras deben disponer de marcos documentados de riesgo TIC que abarquen identificacion, proteccion, deteccion, respuesta y recuperacion para todas las funciones criticas.
Notificacion de incidentes
Los incidentes TIC principales deben notificarse a la autoridad competente en plazos estrictos. Las violaciones de datos de tarjetas se clasifican como incidentes principales.
Riesgo de terceros TIC
Los contratos con proveedores TIC criticos de terceros deben incluir clausulas sobre resiliencia, derechos de auditoria, estrategia de salida y subcontratacion. Su vault es un proveedor TIC critico.
Requisitos DORA cubiertos por PCI Proxy
| Requisito DORA | Como PCI Proxy lo cubre |
|---|---|
| Marco de gestion del riesgo TIC | Politicas documentadas, ISO 27001, revisiones anuales del riesgo |
| Continuidad del negocio y recuperacion | Failover multi-region UE, SLA de disponibilidad 99,99% |
| Pruebas de resiliencia operativa digital | Pruebas de penetracion anuales, atestaciones TLPT-ready |
| Notificacion de incidentes TIC | Notificacion contractual en 4 horas, registros detallados |
| Riesgo de concentracion TIC | Tokens processor-agnostic, sin dependencia de un solo PSP |
| Transparencia de subcontratacion | Registro completo de subencargados, solo datos en la UE |
Cumplimiento DORA, respondido
01 Que es DORA y a quien se aplica?
DORA (Reglamento UE 2022/2554) es aplicable desde enero de 2025. Se aplica a entidades financieras como PSPs, entidades de credito y companias de seguros, asi como a los proveedores criticos de servicios TIC de terceros que los atienden.
02 Como afecta DORA a los proveedores de servicios de pago?
Los PSPs deben establecer marcos de gestion del riesgo TIC, realizar pruebas de resiliencia, gestionar los riesgos TIC de terceros y notificar los incidentes TIC principales a la autoridad competente. Cualquier proveedor TIC critico debe cumplir los requisitos de resiliencia DORA.
03 Es PCI Proxy conforme con DORA?
Si. Nuestro vault PCI DSS Nivel 1 con sede en la UE mantiene politicas documentadas de riesgo TIC, monitorizacion continua, runbooks de respuesta a incidentes y pruebas de penetracion periodicas alineadas con DORA.
04 Como ayuda la tokenizacion al cumplimiento de DORA?
Al externalizar el almacenamiento de datos de tarjetas a un vault alineado con DORA, se reduce la superficie de ataque TIC. Menos sistemas con datos sensibles significa un ambito de pruebas mas reducido. PCI Proxy elimina los datos en bruto de su infraestructura.
05 Admite PCI Proxy la notificacion de incidentes DORA?
Si. PCI Proxy proporciona SLAs contractuales, compromisos de notificacion y registros tecnicos detallados para sus obligaciones DORA. Nuestro equipo de seguridad esta disponible para analisis de causas raiz y comunicacion con los reguladores.
Cumpla con DORA sin ampliar su huella TIC
Mapeamos sus flujos de datos de tarjetas frente a los requisitos DORA y le mostramos como PCI Proxy reduce sus obligaciones de resiliencia.