Infraestructura preparada para DORA

El marco contractual de payware implementa el Articulo 30 del Reglamento de Resiliencia Operativa Digital, permitiendo a las instituciones de pago socias cumplir sus obligaciones DORA con confianza.

Que es DORA

Reglamento (UE) 2022/2554 sobre la resiliencia operativa digital del sector financiero

El Reglamento de Resiliencia Operativa Digital (DORA) establece un marco integral para la gestion de riesgos TIC en el sector financiero de la UE. En vigor desde enero de 2025, exige a las entidades financieras garantizar que sus acuerdos con terceros proveedores de servicios TIC cumplan con rigurosos estandares de resiliencia operativa.

Gestion de riesgos TIC

Las entidades financieras deben implementar y mantener marcos integrales de gestion de riesgos TIC que abarquen identificacion, proteccion, deteccion, respuesta y recuperacion.

Reporte de incidentes

Clasificacion y reporte obligatorio de incidentes TIC significativos ante las autoridades competentes, con plazos y requisitos de contenido definidos.

Pruebas de resiliencia digital

Pruebas periodicas de sistemas TIC incluyendo evaluaciones de vulnerabilidades, pruebas de penetracion y pruebas de penetracion basadas en amenazas (TLPT) para funciones criticas.

Riesgo de terceros

El Articulo 30 impone requisitos contractuales especificos a los acuerdos de las entidades financieras con proveedores de servicios TIC, incluyendo derechos de auditoria, soporte ante incidentes y estrategias de salida.

Rol de payware bajo DORA

Proveedor complementario de servicios TIC con contratos alineados al Articulo 30

payware no es una entidad financiera y no esta directamente sujeta a las obligaciones de DORA. Sin embargo, los servicios de intercambio de informacion transaccional de payware constituyen servicios TIC segun el Articulo 30(21) de DORA. Nuestro marco contractual aborda proactivamente los requisitos del Articulo 30 que se aplican a traves de nuestras asociaciones con instituciones de pago. payware opera una infraestructura nativa en la nube y remota, alojada en plataformas cloud de terceros, por lo que los procesos de auditoria e inspeccion se realizan de forma remota mediante documentacion, paneles de control y demostraciones en vivo.

Rol complementario, no critico

Los servicios de payware son complementarios a las capacidades principales de la institucion de pago. La discontinuacion del servicio no afectaria la capacidad de la IP para ejecutar pagos, autenticar clientes, liquidar fondos o mantener el cumplimiento regulatorio.

Contratos alineados al Articulo 30

Nuestros Terminos de Asociacion con Instituciones de Pago incluyen una Seccion 8B dedicada que implementa todos los requisitos clave del Articulo 30, desde derechos de auditoria hasta estrategias de salida.

Cumplimiento proactivo

En lugar de esperar a que los socios impongan requisitos, payware ha incorporado el cumplimiento DORA en su marco de asociacion estandar, reduciendo la carga administrativa y garantizando consistencia.

Disposiciones contractuales clave

La Seccion 8B de los Terminos de Asociacion con IP aborda cada requisito del Articulo 30

Derechos de auditoria e inspeccion

Art. 30(1)(a) Seccion 8B.2

Enfoque basado en documentacion con paquetes anuales de aseguramiento (alineacion ISO 27001, certificaciones del proveedor cloud, informes de pruebas de penetracion). Auditorias directas disponibles anualmente, realizadas remotamente mediante paneles, registros y demostraciones en vivo. Auditorias agrupadas para multiples socios.

Notificacion y asistencia ante incidentes

Art. 30(1)(b)-(c) Seccion 8B.3

Notificacion proactiva de incidentes TIC que afecten los servicios, dentro de los tiempos de respuesta SLA definidos. Cooperacion total y asistencia razonable sin costo adicional para incidentes de Prioridad 1/2 y cualquier incidente que requiera reporte regulatorio.

Pruebas de penetracion basadas en amenazas

Art. 26 Seccion 8B.4

Cooperacion con TLPT iniciados por la IP cuando la IP clasifica los servicios como soporte de funciones criticas o importantes segun su propia evaluacion de riesgos. 30 dias habiles de preaviso, ventanas de prueba acordadas y planes de remediacion dentro de 30 dias habiles para hallazgos significativos. Arreglos alternativos de pruebas agrupadas disponibles cuando multiples socios requieren TLPT.

Continuidad de negocio y DR

Art. 11, 19 Seccion 8B.5

Planes BCDR documentados y probados anualmente. Resumenes de pruebas disponibles bajo solicitud. Incidentes de Prioridad 1 activan actualizaciones de estado cada 4 horas hasta la resolucion.

Estrategia de salida y transicion

Art. 30(1)(h) Seccion 8B.6

Periodo de transicion minimo de 6 meses en las condiciones comerciales existentes. Exportacion de datos en formato estructurado y legible por maquina dentro de 30 dias habiles. Informacion tecnica de salida (formatos de datos, especificaciones API, arquitectura) disponible bajo solicitud.

Transparencia en subcontratacion

Art. 30(1)(g) Seccion 8B.7

Mecanismo de notificacion, objecion y terminacion para cambios de subcontratistas que afecten los servicios. Se extiende mas alla de la proteccion de datos para cubrir motivos de seguridad de la informacion y cumplimiento regulatorio.

Registro de informacion

Art. 28(3) Seccion 8B.8

Paquete de informacion mantenido que incluye descripciones de servicios, ubicaciones de procesamiento de datos, identidad de subcontratistas y compromisos SLA, apoyando las obligaciones regulatorias de registro de los socios IP.

Auditoria y transparencia

Construido para verificacion, disenado para confianza

Documentacion de aseguramiento

Disponible anualmente para socios IP como alternativa a auditorias directas:

  • Gestion de seguridad de la informacion alineada con ISO/IEC 27001
  • Certificaciones del proveedor cloud (ISO 27001, BSI C5 Type 2)
  • Informes anuales de pruebas de penetracion de terceros
  • Resumenes de seguridad de infraestructura

Registro de informacion

Datos mantenidos que apoyan las obligaciones de los socios IP segun el Articulo 28(3):

  • Descripciones de servicios e inventario de componentes
  • Ubicaciones primarias de procesamiento y almacenamiento de datos (EEE; infraestructura CDN/DR puede estar fuera del EEE bajo salvaguardas GDPR)
  • Identidad y roles de subcontratistas
  • Compromisos y metricas de nivel de servicio

Resiliencia operativa

Probada, documentada y lista para escrutinio

Continuidad de negocio

Planes BCDR documentados probados anualmente con objetivos RTO/RPO definidos. Resumenes de pruebas disponibles para socios bajo solicitud.

Respuesta a incidentes

Clasificacion de incidentes definida, procedimientos de respuesta y mecanismos de notificacion a IP. Asistencia sin costo para incidentes criticos.

Resiliencia de datos

Copias de seguridad diarias automatizadas con incrementales cada hora, almacenamiento remoto, pruebas mensuales de restauracion y retencion de 30 dias.

Preparacion para salida

Capacidad estructurada de exportacion de datos, procedimientos de transicion documentados y minimo 6 meses de continuidad del servicio tras la terminacion.

Listo para asociarse?

Nuestro marco contractual preparado para DORA esta integrado en cada asociacion con instituciones de pago. Hablemos sobre integracion con confianza.

Contactenos Marco de cumplimiento