欧盟的《数字运营弹性法案》(DORA) 将于 2025 年 1 月 17 日起适用于欧盟金融部门。这项新法规 ( EU 2022/2554 ) 要求金融实体及其关键信息和通信技术 (ICT) 供应商实施合同、组织以及提高该部门数字运营弹性水平的技术措施。

与许多公司一样，金融实体正在采用云计算技术，特别是为了提高支持其金融服务的网络和信息系统的弹性。此类 ICT 服务外包还需要明确定义金融实体和 ICT 第三方服务提供商之间的责任、风险和缓解措施。

为此，DORA 定义了适用于金融实体的要求，包括：

• ICT风险管理

• ICT第三方风险管理

在本文，我们将深入了解银行或保险等金融实体如何成功满足这两个要求并改善其跨混合 IT/多云的安全状况。

DORA 的范围是什么？

正如其第 2 条所述，DORA 适用于整个金融服务部门。其中包括银行、保险、支付机构、股票市场和许多金融管理公司（交易、加密资产等）。由于它们在金融实体网络和信息系统的安全性和弹性方面发挥着核心作用，ICT 第三方提供商本身也受到监管。

DORA 是一项法规，意味着它是法律，而不是行业标准，不是技术建议，也不是一套可有可无的最佳实践。上述受监管实体必须遵守 DORA。不遵守规定可能会导致监管机构规定的行政处罚和补救措施，以及可能的刑事处罚。

DORA 第 1 条规定了适用于以下方面的要求：

• 金融实体本身涉及：
• 信息通信技术风险管理
• ICT 相关事件管理、分类和报告
• 数字化运营弹性测试
• 信息和情报共享
• ICT第三方风险管理——金融实体与ICT第三方服务提供商之间的合同条款
• 当被定义为“关键”时，ICT 第三方提供商本身
• 不同监管机构之间的关系

云和运营弹性，这就是问题！

采用云计算是提高ICT服务安全性和弹性的一种方式。

• 安全性第一，因为云的安全性（云服务提供商的责任）通常处于或接近最先进的水平。特别是超大规模企业花费了前所未有的大量资金和资源来确保其平台尽可能安全。
• 还有弹性，因为大多数云服务在可用性、地理冗余、24/7 支持等方面都附带服务级别协议 (SLA)。内源网络和信息系统有时无法匹配 SLA。

另一方面，云服务是将业务外包给第三方服务提供商。其中有两个主要影响：

• 对第三方提供商的依赖意味着失去对支持金融实体负责的服务的关键基础设施的直接控制。云用户仍然对云中的安全负责。
• 跨国执法带来的复杂性，甚至可能的冲突。金融实体运营的法律、第三方服务提供商的法律。

DORA 使金融实体能够采用云计算服务，前提是金融服务仍然负责并管理上述影响，即与第 9 条定义的网络安全风险和第 28 条定义的第三方风险相关的影响。

ICT安全风险的保护和预防（DORA第9条）

通过 DORA，金融实体必须评估和减轻其网络安全风险，特别是“无论是静态、使用中还是传输中的数据，都保持高标准的安全性、机密性和完整性。”

第9条明确规定，“金融实体应实施基于相关标准和专用控制系统的强认证机制的政策和协议，以及基于批准的数据分类结果和ICT风险评估过程对数据进行加密的密钥保护措施”。 

密钥管理系统 (KMS)是“专用控制系统”，用于保护加密密钥、定义基于角色的访问控制和策略，并通过加密的方式强制执行。

第三方风险管理（DORA 第 28 条）

DORA 还强调，金融实体需要控制其对第三方提供商的依赖程度，特别是“对遵守和履行本条例和适用的金融服务法规定的所有义务承担全部责任”。正如上面几行所述，当涉及到云服务时，这一点变得至关重要。

第一个含义是，金融实体有责任实施第 9 条的缓解措施，例如加密和 KMS，即使数据位于云端。

然后，金融实体必须能够将应用程序和数据从一个服务提供商迁移到另一个服务提供商，从而定义“退出策略”，第 28 条将其定义为金融实体“制定过渡计划，使他们能够删除签约的 ICT 服务和来自 ICT 第三方服务提供商的相关数据，并将其安全、完整地传输给替代提供商或在内部重新整合”。

与物理世界中文件不能同时位于两个位置不同，将数字文件从服务器移动到另一个服务器需要 2 次操作：首先将文件复制到目的地，然后从原始位置删除文件。为了“安全、完整”地传输数据（并展示它！），需要金融实体确保数据在原始位置没有踪迹。这称为网络粉碎。

简而言之，网络泄露需要在 KMS 中对数据进行加密并单独控制加密密钥。当数据从A“移动”到B时，保护原始数据的密钥被删除。 A 中可能留下的任何内容都将是加密数据，因此不可读/毫无价值（没有密钥）。

Thales CipherTrust 数据安全平台如何提供帮助

Thales CipherTrust Data Security Platform (CDSP/数据安全平台) 支持金融实体遵守 DORA，特别是在管理第三方云提供商的网络安全和弹性风险方面。

• CipherTrust Manager 是第 9 条要求的密钥管理系统。CipherTrust 帮助金融实体证明密钥在其整个生命周期中受到良好保护，记录对密钥的访问，并可用于证明密钥已被删除，例如（网络粉碎用例）

• CipherTrust 加密连接器允许根据第 9 条的要求对静态和使用中的数据进行加密

• 金融实体可以使用 CipherTrust 数据安全平台定义和实施基于角色的访问控制，以实现第 9 条要求的强身份验证

• CipherTrust 数据安全平台是一个企业级集中式平台，与所有主要云服务提供商和本地虚拟环境集成，使金融实体能够按照第 28 条的要求跨混合 IT/多云实施控制

云中成功的 DORA 合规性

Thales 2023 年数据威胁报告指出，“83% 的受访者非常或有些担心数据主权和/或隐私法规会影响其组织的云部署计划”。IDC 数据表明，这种担忧将转化为强制要求，并显示“65% 的大型企业将强制其云服务提供商进行数据主权控制，以遵守数据保护和隐私监管要求。”

DORA 要求金融实体在使用云计算服务等 ICT 第三方服务提供商时实施加密和密钥管理等主权控制。

DORA 在第 28 条中规定：“金融实体应制定适当的应急措施”。

Thales CipherTrust 是世界上被广泛使用的数据安全平台，用于混合 IT 中的数据混淆和强大的加密密钥管理。它与所有主要云提供商良好集成，使金融实体领先一步，并在 2025 年 1 月应用 DORA 时做好准备。

欢迎联系揽阁信息，了解更多关于Thales CipherTrust产品的更多信息。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 探索欧盟-美国数据隐私框架

• 关于“欧盟-美国数据隐私框架”的问与答

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 适合每位居民的欧盟数字身份钱包：利用HSM和开放标准SSCD

• 企业需要了解欧盟物联网法案：网络弹性法案