Qazaxıstan, Özbəkistan, Gürcüstan və ya Qırğızıstanda fəaliyyət göstərən bank və ya fintex şirkəti DORA-nın tələblərinə birbaşa düşməyə bilər — amma Aİ-dən olan müştərilər, ödəniş tərəfdaşları və investorlar getdikcə daha çox sübut edilə bilən rəqəmsal dayanıqlılıq tələb edirlər. Danışıqlarda suallar artıq təkcə “ISO varmı?” ətrafında deyil, həm də insidenti necə idarə edəcəyiniz, kritik servisləri necə bərpa edəcəyiniz və bulud/aoutsorsinqi necə nəzarətdə saxlayacağınız barədə səslənir.
DORA — təkcə təhlükəsizlik deyil, dayanıqlılıq haqqındadır
DORA (onu tez-tez rəqəmsal dayanıqlılıq aktı adlandırırlar) maliyyə sektoru üçün nəzərdə tutulub: ödənişlərin fasiləsizliyi, uzaqdan kanalların əlçatanlığı, İKT risklərinin idarəolunan olması, podratçılarla işin şəffaflığı və yoxlamalara hazırlıq. Yəni DORA təşkilata “canlı orqanizm” kimi baxır: nasazlıq zamanı nə baş verir, normal rejimə nə qədər tez qayıdırsınız və bunu sənədlərlə necə sübut edirsiniz.
ISO 27001 harada kömək edir, “amma”lar harada başlayır
ISO üzrə informasiya təhlükəsizliyi dedikdə adətən ISO/IEC 27001 və ISMS-in qurulması nəzərdə tutulur. Bank/fintex üçün bu, güclü bir təməldir: riskə əsaslanan idarəetmə, girişə nəzarət, siyasətlər, monitorinq, insidentlərin idarə edilməsi, daxili auditlər. Başqa sözlə, ISO üzrə informasiya təhlükəsizliyinin menecmenti sistemli şəkildə fəaliyyət göstərməyi öyrədir.
Lakin DORA çox vaxt baza sisteminin üzərində əlavə “operativ konkretlik” tələb edir: müntəzəm dayanıqlılıq testləri, İKT təchizatçıları (o cümlədən bulud xidmətləri) ilə ciddi iş, ölçülə bilən bərpa göstəriciləri, aydın ssenarilər üzrə insident bildirişlərinə hazır olmaq.
Maliyyə sektorunda ISO ilə DORA gözləntiləri arasındakı tipik boşluqlar
Aşağıda — banklar və fintexlərdə ən çox büdrənilən məqamlar verilib, hətta sertifikat artıq olsa belə. Əvvəlcə bunlar xırda nüans kimi görünür, amma tərəfdaşlar və auditorlar məhz bu nüansları yoxlayırlar.
- İnsidentlər və bildirişlər: formal təsnifat, eskalasiya üçün triggerlər, vahid taymlayn və tənzimləyicilər/tərəfdaşlar üçün hesabat şablonları.
- Dayanıqlılıq testləri: birdəfəlik DR-testi yox, məşqlər proqramı (tabletop, texniki testlər, provayderin sıradan çıxması ssenarilərinin yoxlanması).
- Üçüncü tərəflərin idarə edilməsi: təchizatçı reyestri, kritikliyə qiymətləndirmə, SLA/OLA tələbləri, audit hüquqları, subpodratçıların nəzarəti, çıxış planı (exit plan).
- İT və fasiləsizlik əlaqəsi: RTO/RPO, servislərin prioritetləşdirilməsi (mobil bank, prosessinq, KYC/AML axınları) və planların real işlədiyini təsdiqləyən sübutlar.
- Sübut bazası: təlim/məşq protokolları, düzəldici tədbirlərin nəticələri, monitorinq qeydləri, komitə qərarları — “sözlə yox, əməli şəkildə” göstərmək üçün.
Bunu bütöv şəkildə topladıqda aydın olur: ISO 27001-in tətbiqi əla bir karkasdır, amma DORA üçün onu adətən dayanıqlılıq, ölçülə bilənlik və təchizat zəncirinin idarə edilməsi ilə “tamamlamaq” lazımdır.
Artıq bürokratiya olmadan bank/fintex necə hazırlaşsın
İşlək yanaşma — hər şeyi sıfırdan yenidən yazmaq deyil, mэппинг etməkdir: “DORA tələblərinin hansıları artıq ISO nəzarətləri ilə örtülür, harada isə əlavə təkmilləşdirmələr lazımdır”. Çox vaxt 4 addım kifayət edir:
- DORA vs ISO 27001 üzrə gap-analiz (proseslər + artefaktlar);
- İKT təchizatçılarının idarə edilməsinin gücləndirilməsi (müqavilələr, nəzarət, exit plan);
- Dayanıqlılıq testləri proqramı və müntəzəm təlimlər;
- Sübutların hazırlanması: jurnallar, hesabatlar, KPI/KRI, qərarlar, təkmilləşdirmə planları.
MDB-də System Management komandası adətən elə qoşulur ki, nəticə tərəfdaşlar üçün “satıla bilən” olsun: aydın sənəd paketi, proses sahiblərinin təlimi və due diligence suallarına cavab verməyə hazır olmaq.
FAQ: banklar və fintex üçün ən çox tələb olunan xidmətlər
1) ISO 27001 artıq varsa, siz necə kömək edə bilərsiniz?
Biz DORA üzrə gap-analiz aparırıq və sistemi elə təkmilləşdiririk ki, o, praktikada sübut olunsun: dayanıqlılıq testləri, İKT təchizatçılarının idarə edilməsi, insident hesabatlandırması və tərəfdaşlar/auditorlar üçün sübut bazası.
2) Tətbiqi və sertifikatlaşmaya hazırlığı “açar təslim” edirsiniz?
Bəli. Xidmətə ISO 27001-in tətbiqi, ISMS-in qurulması/yenilənməsi, komandanın təlimi, daxili auditlər, sertifikasiya auditinin müşayiəti və maliyyə sektorundakı müştərilərin tələblərinə uyğun artefakt paketinin hazırlanması daxildir.
3) Layihə idarəetməsi auditi nədir və fintexə niyə lazımdır?
Bu, dəyişiklikləri və İT təşəbbüslərini necə idarə etdiyinizin yoxlanmasıdır: rollar, müddət/risk nəzarəti, tələblərin keyfiyyəti, qəbul (acceptance), metriklər. Fintex üçün bu xüsusilə vacibdir, çünki “pis reliz” bəzən insidentə bərabər olur. Audit xaosu azaltmağa və dəyişiklikləri proqnozlaşdırıla bilən etməyə kömək edir.
4) Siz yalnız banklarla işləyirsiniz?
Bu mövzuda əsas fokus bank/fintex və maliyyə sektoru üçün İT təchizatçılarıdır, amma biz həmçinin İT şirkətləri və servis mərkəzləri üçün sertifikatlaşmanı müşayiət edirik, lazım gəldikdə isə digər sahələr üçün də (o cümlədən həssas məlumatlarla və korporativ müştərilərlə işləyən tərcümə büroları üçün).
5) Tərəfdaş yoxlamasından keçməmək riski olub-olmadığını necə tez anlamaq olar?
Ən sürətli yol ekspress-diaqnostikadır: əsas prosesləri (insidentlər, təchizatçılar, bərpa, testlər, sübutlar) yoxlayırıq və prioritetlərlə təkmilləşdirmə yol xəritəsi təqdim edirik. System Management belə bir diaqnostika keçirə və sizin miqyasınıza və kontragent tələblərinə uyğun iş planı hazırlaya bilər.
İstəsəniz, mətni konkret profilə (bank, prosessinq, e-wallet, BNPL, ödəniş şlüzü) uyğunlaşdırıb xidmət səhifəniz üçün CTA da əlavə edərəm.