ბანკი ან ფინტექი ყაზახეთში, უზბეკეთში, საქართველოში ან ყირგიზეთში შესაძლოა DORA-ს პირდაპირ არ ექვემდებარებოდეს — მაგრამ ევროკავშირისგან კლიენტები, საგადახდო პარტნიორები და ინვესტორები სულ უფრო ხშირად მოითხოვენ დამადასტურებელ ციფრულ მდგრადობას. მოლაპარაკებებში კითხვები აღარ ისმის მხოლოდ „გაქვთ თუ არა ISO“, არამედ იმაზე, როგორ გადაიტანთ ინციდენტს, როგორ აღადგენთ კრიტიკულ სერვისებს და როგორ გააკონტროლებთ ღრუბელს/აუთსორსინგს.
DORA — ეს მხოლოდ უსაფრთხოებაზე კი არა, მდგრადობაზეა
DORA-ს (ხშირად „ციფრული მდგრადობის აქტს“ ეძახიან) ფოკუსი ფინანსურ სექტორზე აქვს: გადახდების უწყვეტობა, დისტანციური არხების ხელმისაწვდომობა, ICT-რისკების მართვადობა, კონტრაქტორებთან მუშაობის გამჭვირვალობა და შემოწმებებისთვის მზადყოფნა. ანუ DORA ორგანიზაციას „ცოცხალ ორგანიზმად“ უყურებს: რა ხდება გაუმართაობისას, რამდენად სწრაფად უბრუნდებით ნორმას და როგორ ადასტურებთ ამას დოკუმენტურად.
სად ეხმარება ISO 27001 და სად იწყება „მაგრამ“
ISO-ით ინფორმაციული უსაფრთხოება ჩვეულებრივ ნიშნავს ISO/IEC 27001-ს და ISMS-ის (ინფორმაციული უსაფრთხოების მართვის სისტემის) შექმნას. ბანკისა და ფინტექისთვის ეს ძლიერი საფუძველია: რისკებზე დაფუძნებული მართვა, წვდომის კონტროლი, პოლიტიკები, მონიტორინგი, ინციდენტების მართვა, შიდა აუდიტები. სხვა სიტყვებით, ISO-ის მიხედვით ინფორმაციული უსაფრთხოების მენეჯმენტი ასწავლის სისტემურად მოქმედებას.
თუმცა DORA ხშირად მოითხოვს „ოპერაციულ კონკრეტიკას“ საბაზისო სისტემის ზემოთ: მდგრადობის რეგულარულ ტესტებს, ICT-მომწოდებლებთან მკაცრ მუშაობას (მათ შორის ღრუბლოვან სერვისებთან), აღდგენის გაზომვად მაჩვენებლებს, ინციდენტების შეტყობინებებისთვის მზადყოფნას მკაფიო სცენარების მიხედვით.
ISO-სა და DORA-ს მოლოდინებს შორის ტიპური ხარვეზები ფინანსურ სექტორში
ქვემოთ ჩამოთვლილია ის საკითხები, რომლებზეც ბანკები და ფინტექები ყველაზე ხშირად „ფერხდებიან“, თუნდაც სერტიფიკატი უკვე ჰქონდეთ. თავიდან ეს თითქოს ნიუანსებად ჩანს, მაგრამ სწორედ ამ ნიუანსებს ამოწმებენ პარტნიორები და აუდიტორები.
- ინციდენტები და შეტყობინებები: ფორმალური კლასიფიკაცია, ესკალაციის ტრიგერები, ერთიანი ტაიმლაინი და ანგარიშგების შაბლონები რეგულატორებისა/პარტნიორებისთვის.
- მდგრადობის ტესტირება: არა ერთჯერადი DR-ტესტი, არამედ სავარჯიშოების პროგრამა (tabletop, ტექნიკური ტესტები, პროვაიდერის გაუმართაობის სცენარების შემოწმება).
- მესამე მხარეების მართვა: მომწოდებლების რეესტრი, კრიტიკულობის შეფასება, SLA/OLA მოთხოვნები, აუდიტის უფლებები, სუბკონტრაქტორების კონტროლი, გამოსვლის გეგმა (exit plan).
- ინფოუსაფრთხოებისა და უწყვეტობის დაკავშირება: RTO/RPO, სერვისების პრიორიტეტიზაცია (მობილური ბანკი, პროცესინგი, KYC/AML ნაკადები) და მტკიცებულებები, რომ გეგმები რეალურად მუშაობს.
- მტკიცებულებების ბაზა: ვარჯიშების პროტოკოლები, კორექციული ქმედებების შედეგები, მონიტორინგის ჩანაწერები, კომიტეტების გადაწყვეტილებები — რათა „ხელით აჩვენოთ“ და არა მხოლოდ სიტყვებით.
თუ ამას ერთ სურათად შევკრებთ, ცხადი ხდება: ISO 27001-ის დანერგვა შესანიშნავი ჩარჩოა, მაგრამ DORA-სთვის მას ჩვეულებრივ სჭირდება „დაშენება“ — მდგრადობით, გაზომვადობით და მიწოდების ჯაჭვის მართვით.
როგორ მოემზადოს ბანკი/ფინტექი ზედმეტი ბიუროკრატიის გარეშე
სამუშაო მიდგომაა — ყველაფერი ნულიდან არ გადაწეროთ, არამედ გააკეთოთ „მეპინგი“: „DORA-ს რომელი მოთხოვნები უკვე იფარება ISO-ის კონტროლებით და სად არის საჭირო გაუმჯობესება“. ხშირად საკმარისია 4 ნაბიჯი:
- gap-ანალიზი DORA vs ISO 27001 (პროცესები + არტეფაქტები);
- ICT-მომწოდებლების მართვის გაძლიერება (კონტრაქტები, კონტროლი, exit plan);
- მდგრადობის ტესტირების პროგრამა და რეგულარული სწავლებები/ვარჯიშები;
- მტკიცებულებების მომზადება: ჟურნალები, ანგარიშები, KPI/KRI, გადაწყვეტილებები, გაუმჯობესების გეგმები.
System Management-ის გუნდი მდს-ში ჩვეულებრივ ისე ერთვება, რომ შედეგი პარტნიორებისთვის „გაყიდვადი“ იყოს: გასაგები დოკუმენტების პაკეტი, გაწვრთნილი პროცესების მფლობელები და due diligence-ზე პასუხისთვის მზადყოფნა.
FAQ: სერვისები, რომლებიც ყველაზე ხშირად სჭირდებათ ბანკებსა და ფინტექს
1) რით შეგიძლიათ დაგვეხმაროთ, თუ უკვე გვაქვს ISO 27001?
ჩვენ ვატარებთ DORA-ს მიხედვით gap-ანალიზს და სისტემას ისე ვამაგრებთ/ვამატებთ, რომ იგი პრაქტიკით დასტურდებოდეს: მდგრადობის ტესტები, ICT-მომწოდებლების მართვა, ინციდენტების რეპორტინგი, პარტნიორებისა და აუდიტორებისთვის მტკიცებულებების ბაზა.
2) აკეთებთ თუ არა “turnkey” დანერგვას და სერტიფიკაციისთვის მზადებას?
კი. სერვისში შედის ISO 27001-ის დანერგვა, ISMS-ის შექმნა/განახლება, გუნდის ტრენინგი, შიდა აუდიტები, სერტიფიკაციის აუდიტის თანხმლება და ფინანსური სექტორის კლიენტების მოთხოვნებზე მორგებული არტეფაქტების პაკეტის მომზადება.
3) რა არის პროექტების მართვის აუდიტი და რატომ სჭირდება ის ფინტექს?
ეს არის შემოწმება, როგორ მართავთ ცვლილებებსა და IT-ინიციატივებს: როლები, ვადებისა/რისკების კონტროლი, მოთხოვნების ხარისხი, მიღება/ჩაბარება, მეტრიკები. ფინტექსთვის ეს განსაკუთრებით მნიშვნელოვანია, რადგან „ცუდი რელიზი“ ხანდახან ინციდენტის ტოლფასია. აუდიტი ეხმარება ქაოსის შემცირებას და ცვლილებების პროგნოზირებადობის გაზრდას.
4) მხოლოდ ბანკებთან მუშაობთ?
ამ თემაში ძირითადი ფოკუსი არის ბანკები/ფინტექი და ფინანსური სექტორისთვის IT-მომწოდებლები, მაგრამ ჩვენ ასევე ვაცილებთ სერტიფიკაციას IT-კომპანიებსა და სერვის-ცენტრებს და საჭიროების შემთხვევაში — სხვა დარგებსაც (მათ შორის თარგმნის ბიუროებს, თუ ისინი მუშაობენ სენსიტიურ მონაცემებთან და კორპორატიულ დამკვეთებთან).
5) როგორ გავიგოთ სწრაფად, არის თუ არა რისკი პარტნიორის შემოწმებაზე ვერ გავიაროთ?
ყველაზე სწრაფი გზა არის ექსპრეს-დიაგნოსტიკა: ვამოწმებთ ძირითად პროცესებს (ინციდენტები, მომწოდებლები, აღდგენა, ტესტები, მტკიცებულებები) და ვაძლევთ გაუმჯობესებების “roadmap”-ს პრიორიტეტებით. System Management-ს შეუძლია ასეთი დიაგნოსტიკის ჩატარება და სამუშაო გეგმის მომზადება თქვენი მასშტაბისა და კონტრაგენტების მოთხოვნებისთვის.
თუ საჭიროა — ტექსტს მოვარგებ კონკრეტულ პროფილს (ბანკი, პროცესინგი, e-wallet, BNPL, საგადახდო გეითვეი) და დავამატებ CTA-ს თქვენი სერვისების გვერდისთვის.