O Regulamento (UE) 2022/2554 - Lei da Resiliência Operacional Digital (DORA) - está em vigor desde janeiro de 2025. Se é CISO, responsável pelo risco informático ou arquiteto de conformidade numa entidade financeira regulamentada, já está informado. A pergunta a que a maioria das empresas ainda não respondeu é enganosamente específica: o que é que exigência de integridade verificável dos dados da sua pilha de TIC? Um inquérito revelou que 96% das empresas da EMEA consideram que o seu atual nível de resiliência digital é insuficiente.
Aqui pode reforçar e aprender:
- o que diz a norma de integridade da DORA - na sua própria linguagem;
- onde os sistemas padrão ficam aquém;
- o aspeto de um controlo de integridade tecnicamente defensável;
- e quais as ferramentas operacionais que dão resposta às obrigações de disponibilidade e continuidade que lhe estão associadas.
O que o DORA realmente diz sobre a integridade dos dados
DORA utiliza a integridade como uma obrigação específica e recorrente - e não como um princípio geral. O n.º 2 do artigo 9.º estabelece a base de referência:
"As entidades financeiras concebem, adquirem e aplicam políticas, procedimentos, protocolos e ferramentas de segurança das TIC... para manter elevados padrões de disponibilidade, autenticidade, integridade e confidencialidade dos dados, quer em repouso, quer em utilização, quer em trânsito."
O nº 7 do artigo 12º estabelece o limite máximo:
"Ao recuperar de um incidente relacionado com as TIC, as entidades financeiras efectuam as verificações necessárias, incluindo quaisquer verificações múltiplas e reconciliações, a fim de garantir a manutenção do mais alto nível de integridade dos dados."
Essa obrigação de conciliação exige um ponto de referência fixo - uma base de integridade verificável de forma independente, em relação à qual os dados recuperados podem ser verificados. O n.º 1, alínea d), do artigo 18.º associa a integridade à classificação dos incidentes. O n.º 2, alínea c), do artigo 30.º alarga a obrigação aos contratos de TIC celebrados com terceiros. A integridade dos dados é um requisito sistémico em todas as suas operações e na sua cadeia de abastecimento.
A lacuna que a maioria das empresas não identificou
A maioria das entidades regulamentadas já possui SharePoint, Salesforce, Dynamics 365, Google Workspace, Microsoft 365 ou plataformas equivalentes que produzem registos de acesso, históricos de versões e carimbos de data/hora. Parte-se do princípio de que isto constitui um controlo adequado da integridade. Não é o caso.
ENISA'O mapeamento das normas técnicas da UE ao abrigo do quadro da Lei da Ciber-resiliência da UE afirma que a integridade dos dados "deve ser assegurada utilizando tecnologia atual não obsoleta" e que os sistemas devem ser concebidos tendo em mente "a proteção de provas" - porque se o acesso aos registos for comprometido, um atacante pode apagar o seu rasto.
Um registo interno armazenado no mesmo sistema pode ser alterado. Não é inviolável. Quando uma entidade reguladora lhe pede para provar que um ficheiro existia num estado específico num determinado momento e que não foi alterado desde então, um carimbo de data/hora interno não responde a essa questão de forma independente. RGPD Artigo 5(2) atribui o ónus da prova ao responsável pelo tratamento: demonstrar o cumprimento - e não afirmá-lo.
O que é de facto a integridade verificável
A DORA não prescreve um método técnico. Prescreve um resultado: dados autênticos, rastreáveis, invioláveis e verificáveis de forma independente ao longo de todo o seu ciclo de vida.
Uma via tecnicamente defensável é a ancoragem de hash criptográfico. Uma impressão digital do ficheiro é gerada no momento da criação ou da última modificação autorizada e ancorada num registo público imutável. O conteúdo do documento nunca entra na cadeia - a confidencialidade é preservada desde a conceção. Qualquer modificação subsequente produz um hash diferente. A divergência é matematicamente certa e verificável de forma independente, sem acesso a conteúdos sensíveis.
O Documento de Estabilidade Financeira de 2024 do Banco de Inglaterra sobre a resiliência operacional referiu que as empresas financeiras "estão a explorar o potencial da tecnologia de livro-razão distribuído para aumentar a eficiência dos processos e transacções financeiras... é provável que também tenha aplicações no sistema financeiro tradicional"."
Truth Enforcer operacionaliza isto: ancoragem de hash a uma cadeia de blocos pública, deteção instantânea de adulterações, verificação independente sem exposição de conteúdos e integração com SharePoint, Salesforce, Google Workspace, e outros. Converte a obrigação de integridade da DORA de uma declaração política num facto comprovável e auditável.
Integridade na Resiliência Operacional e Governação do Risco
O n.º 2 do artigo 5.º do DORA coloca a governação do risco das TIC ao nível do conselho de administração. O órgão de direção deve aprovar, supervisionar e rever a política de continuidade das actividades e os planos de recuperação. A Deloitte enquadra o mandato diretamenteAs empresas devem demonstrar que "podem resistir, responder e recuperar de todos os tipos de perturbações e ameaças relacionadas com as TIC"."
Os registos de integridade ancorados na hash e os registos de continuidade de sincronização em tempo real não são preferências tecnológicas. Eles são provas documentadas de conformidade com obrigações que o conselho de administração é legalmente obrigado a supervisionar. O princípio de responsabilidade do RGPD encerra o argumento: o ónus da prova recai sobre a sua organização e esta tem de sobreviver ao escrutínio.
A norma de integridade da DORA é direta e já está em vigor. A maioria das instituições financeiras tem registos de acesso. A maioria não possui registos de integridade verificáveis de forma independente e invioláveis. É essa a diferença.
A sua estrutura de risco para as TIC deve ser capaz de produzir um registo de integridade verificável de forma independente para um ficheiro específico num determinado momento, esse é o nível padrão que pretende - o mais elevado.
.
Contacte-nos para obter a norma de integridade DORA: https://www.connecting-software.com/truth-enforcer-sign-up/
OU
Experimente-o GRATUITAMENTE:
Verificador da verdade para criadores de PI: https://truth-verifier.com/landing
Verificador da verdade para jornalistas: https://truthverifier.news/landing
.
Explore a Sincronização da Microsoft para continuidade e disponibilidade do negócio: https://www.connecting-software.com/microsoft-synchronization/
Por Francisco Rodrigues, Gestor de produtos
"Escrevo sobre a forma como as integrações de software se podem adaptar aos ambientes empresariais e responder às exigências específicas do sector. Quero mostrar às empresas o caminho para simplificar processos, eliminar estrangulamentos e garantir a conformidade, capacitando as equipas e os executivos C-suite com as ferramentas certas."
Leituras relacionadas
Integridade dos dados DORA: O que o “padrão mais elevado” realmente exige
O problema da modificação: Regra 613 do SEC - Conformidade do CAT com dados que pode provar que nunca foram tocados
Reforma da legislação sobre testamentos no Reino Unido em 2025: Preparação para a verificação digital independente antes da chegada da lei