Қазақстан, Өзбекстан, Грузия немесе Қырғызстандағы банк не финтех DORA талаптарына тікелей бағынбауы мүмкін — бірақ ЕО-дағы клиенттер, төлем серіктестері және инвесторлар дәлелденетін цифрлық төзімділікті барған сайын жиі талап етеді. Келіссөздерде «ISO бар ма?» дегеннен бөлек, инцидентті қалай еңсеретініңіз, маңызды сервистерді қалай қалпына келтіретініңіз және бұлт/аутсорсингті қалай бақылайтыныңыз туралы сұрақтар қойылады.
DORA — бұл тек қауіпсіздік туралы емес, төзімділік туралы
DORA (оны жиі «цифрлық операциялық төзімділік актісі» деп атайды) қаржы секторына бейімделген: төлемдердің үздіксіздігі, қашықтан қызмет көрсету арналарының қолжетімділігі, АКТ-тәуекелдерді басқарудың реттелуі, мердігерлермен жұмыстың ашықтығы және тексерулерге дайындық. Яғни DORA ұйымға «тірі ағза» ретінде қарайды: ақау болғанда не болады, қалыпты жұмысқа қаншалықты тез ораласыз және мұны құжат жүзінде қалай дәлелдейсіз.
ISO/IEC 27001 қай жерде көмектеседі, ал қай жерде “бірақ” басталады
ISO ақпараттық қауіпсіздігі дегенде әдетте ISO/IEC 27001 және ISMS (ақпараттық қауіпсіздік менеджменті жүйесі) құру меңзеледі. Банк/финтех үшін бұл мықты негіз: тәуекелге бағдарланған басқару, қолжетімділікті бақылау, саясаттар, мониторинг, инциденттерді басқару, ішкі аудиттер. Басқаша айтқанда, ISO бойынша ақпараттық қауіпсіздік менеджменті жүйелі әрекет етуге үйретеді.
Алайда DORA көбіне базалық жүйенің үстінен «операциялық нақтылықты» талап етеді: төзімділікті тұрақты тестілеу, АКТ-жеткізушілермен (соның ішінде бұлттық сервистермен) қатаң жұмыс, қалпына келтірудің өлшенетін көрсеткіштері, түсінікті сценарийлер бойынша инциденттер туралы хабарлауға дайындық.
ISO мен DORA күтулері арасындағы финсектордағы типтік алшақтықтар
Төменде — сертификат бар болса да, банктер мен финтех компаниялары көбіне сүрінетін тұстар. Басында бұл жай ғана ұсақ-түйек сияқты көрінеді, бірақ серіктестер мен аудиторлар дәл осы «ұсақ-түйектерді» тексереді.
- Инциденттер және хабарламалар: формалды жіктеу, эскалация триггерлері, бірыңғай таймлайн және регуляторлар/серіктестер үшін есеп беру шаблондары.
- Төзімділікті тестілеу: бір реттік DR-тест емес, жаттығулар бағдарламасы (tabletop, техникалық тесттер, провайдердің істен шығу сценарийлерін тексеру).
- Үшінші тараптарды басқару: жеткізушілер тізілімі, критикалдылықты бағалау, SLA/OLA талаптары, аудит құқығы, субмердігерлерді бақылау, шығу жоспары (exit plan).
- Ақпараттық қауіпсіздік пен үздіксіздіктің байланысы: RTO/RPO, сервистерді басымдыққа қою (мобайл банк, процессинг, KYC/AML ағындары) және жоспарлардың шынайы жұмыс істейтінін дәлелдеу.
- Дәлелдемелік база: жаттығу хаттамалары, түзетуші әрекеттердің нәтижелері, мониторинг жазбалары, комитет шешімдері — «сөзбен емес, қолмен көрсететіндей» материалдар.
Осының бәрін бір тұтас картинаға жинасаңыз, мынаны түсінесіз: ISO/IEC 27001 енгізу — тамаша қаңқа, бірақ DORA үшін оны әдетте төзімділікпен, өлшенетін көрсеткіштермен және жеткізушілер тізбегін басқарумен “толықтыру” керек.
Банк/финтехке артық бюрократиясыз қалай дайындалуға болады
Жұмысқа жарамды тәсіл — бәрін нөлден қайта жазу емес, мэппинг жасау: «DORA талаптарының қайсысы ISO-контрольдермен қазірдің өзінде жабылған, ал қай жерде толықтыру қажет». Көбіне 4 қадам жеткілікті:
- DORA vs ISO/IEC 27001 gap-талдау (процестер + артефактілер);
- АКТ-жеткізушілерін басқаруды күшейту (шарттар, бақылау, exit plan);
- төзімділікті тестілеу бағдарламасы және тұрақты жаттығулар;
- дәлелдемелерді дайындау: журналдар, есептер, KPI/KRI, шешімдер, жақсарту жоспарлары.
ТМД елдеріндегі System Management командасы әдетте нәтижесі серіктестерге «сатылымды» болатындай форматта қосылады: түсінікті құжаттар пакеті, оқытылған процесс иелері және due diligence сұрақтарына жауап беруге дайындық.
FAQ: банктер мен финтехке ең жиі қажет болатын қызметтер
1) Егер бізде ISO/IEC 27001 бар болса, сіздер қалай көмектесе аласыздар?
Біз DORA бойынша gap-талдау жүргізіп, жүйені тәжірибемен расталатындай етіп қайта баптаймыз: төзімділік тесттері, АКТ-жеткізушілерін басқару, инциденттер туралы есеп беру (инцидент-репортинг), серіктестер мен аудиторларға арналған дәлелдемелік база.
2) «Кілтке тапсыр» енгізу және сертификаттауға дайындықты жасайсыздар ма?
Иә. Қызметке ISO/IEC 27001 енгізу, ISMS-ті құру/жаңарту, команданы оқыту, ішкі аудиттер, сертификаттау аудитін сүйемелдеу және финсектор клиенттерінің талаптарына сай артефактілер пакетін дайындау кіреді.
3) Жобаларды басқару аудиті деген не және ол финтехке не үшін қажет?
Бұл өзгерістер мен IT-инициативаларды қалай басқаратыныңызды тексеру: рөлдер, мерзім/тәуекелдерді бақылау, талаптардың сапасы, қабылдау, метрикалар. Финтех үшін бұл әсіресе маңызды, өйткені «сәтсіз релиз» кейде инцидентпен тең. Аудит хаосты азайтып, өзгерістерді болжамды етуге көмектеседі.
4) Сіздер тек банктермен ғана жұмыс істейсіздер ме?
Бұл тақырыптағы негізгі фокус — банк/финтех және финсекторға қызмет көрсететін IT-жеткізушілер. Бірақ біз IT-компаниялар мен сервистік орталықтарға да сертификаттауды сүйемелдейміз, ал қажет болса — басқа салаларға да (соның ішінде сезімтал деректермен және корпоративтік тапсырыс берушілермен жұмыс істейтін аударма бюроларына).
5) Серіктес тексерісінен өтпеу қаупі бар-жоғын қалай тез түсінуге болады?
Ең жылдам жол — экспресс-диагностика: негізгі процестерді (инциденттер, жеткізушілер, қалпына келтіру, тесттер, дәлелдемелер) тексеріп, басымдықтары бар жақсарту жол картасын береміз. System Management осындай диагностиканы жүргізіп, сіздің масштабыңыз бен контрагент талаптарына сай жұмыс жоспарын дайындай алады.
Қажет болса — мәтінді нақты профильге (банк, процессинг, e-wallet, BNPL, төлем шлюзі) бейімдеп, қызмет бетіңізге арналған CTA қосып беремін.