Entendiendo la normativa DORA: Cómo proteger sus datos sensibles

13 / 01 / 2025

La Ley de Resiliencia Operativa Digital (DORA) es una regulación de la UE que tiene como objetivo fortalecer la seguridad informática de las entidades financieras (bancos, aseguradoras y empresas de inversión) y sus proveedores de servicios de TIC, y garantizar que el sector financiero europeo pueda mantener su resiliencia en caso de una perturbación operativa grave. DORA complementa las regulaciones existentes, como el RGPD (Reglamento General de Protección de Datos), y la Directiva NIS2.

1 min.

Información y Seguridad Identidad y autenticación Seguridad & Fraude
Entendiendo la normativa DORA: Cómo proteger sus datos sensibles
Descarga aquí la versión en PDF Abre en una nueva pestaña

¿En qué consiste?

La Ley de Resiliencia Operativa Digital (DORA) es una regulación de la UE que tiene como objetivo fortalecer la seguridad informática de las entidades financieras (bancos, aseguradoras y empresas de inversión) y sus proveedores de servicios de TIC, y garantizar que el sector financiero europeo pueda mantener su resiliencia en caso de una perturbación operativa grave. DORA complementa las regulaciones existentes, como el RGPD (Reglamento General de Protección de Datos), y la Directiva NIS2. 

DORA se basa esencialmente en las mejores prácticas en gestión de riesgos y ciberresiliencia.

Sin embargo, es única en 4 aspectos:

#1

Mayor alcance

Alcance más amplio que otras normativas al incluir a los proveedores terceros de servicios de TIC incluyendo la identificación de proveedores de servicios críticos a nivel sectorial que serán supervisados directamente por las autoridades. 

#2

Informe a las autoridades

Introducción de diversas obligaciones de notificación (por ejemplo, incidentes graves, proveedores terceros críticos, actualización del marco de riesgos relacionados con las TIC).

#3

Riesgo de proveedores terceros de TIC

Gestión reforzada del riesgo de los proveedores terceros de servicios de TIC a lo largo del tiempo, incluyendo estrategias de salida para terceros considerados críticos.

#4

Cobertura Avanzada a las TLPT 

Cobertura obligatoria de funciones críticas e importantes mediante pruebas de penetración basadas en amenazas, y la participación de terceros en esas pruebas.

Cronograma e Hitos

¿Cuáles son los requisitos?

Gestión del riesgo relacionado con las TIC

Conjunto de principios y requisitos clave sobre el marco de gestión del riesgo relacionado con las TIC

> Capítulo II - Artículos del 5 al 16 

Gestión, clasificación y notificacion de incidentes relacionados con las TIC

Armonizar y racionalizar informes, extender las obligaciones de informes a todas las entidades financieras así como ampliar el alcance de los incidentes que deban notificarse.

> Capítulo III – Artículos del 17 al 23

Prueba de resiliencia operativa digital

Someter a las entidades financieras a pruebas básicas o avanzadas (por ejemplo, las TLPT).

> Capítulo IV – Artículos del 24 al 27

Riesgo relacionado con las TIC derivado de terceros

Normas basadas en principios para supervisar el riesgo de terceros, disposiciones contractuales clave y marco de supervisión para los proveedores terceros de servicios TIC designados como críticos (los CTTP).

> Capítulo V – Artículos del 28 al 44

Intercambio de información

Intercambio voluntario de información e inteligencia sobre ciberamenazas.

> Capítulo VI - Artículo 45

DORA requisitos
regulation diagram

$480

se pierden cada año en productividad por empleado debido al tiempo dedicado a restablecer contraseñas.

$4.88 million

es el coste medio de una violación de datos en 2024, lo que representa un aumento del 10% en comparación con el año pasado.

Fuente: "Measuring Password Fatigue: Usability and Cybersecurity Impacts," Beyond Identity

Fuente: IBM report Cost of a Data Breach 2024. https://www.ibm.com/reports/data-breach

Implementar la AMF para el acceso seguro a los datos

Multi-Factor Authentication image

Capitulo II Artículo 9 de la Autenticación Multifactor con DORA

Requisito:

"Aplicar políticas y protocolos para mecanismos de autenticación fuerte, basados en estándares pertinentes y sistemas de control específicos, […] en función de los resultados de los procesos aprobados de clasificación de datos y evaluación de riesgos relacionados con las TIC.”

En otras palabras, DORA exige a las entidades que realicen evaluación de riesgos de sus activos y procesos de TIC para determinar dónde es necesario implementar la autenticación multifactor para mitigar el riesgo. La AMF, que incluye medidas de protección contra el phishing, se aplica a los miembros de la plantilla (por ejemplo, empleados y contratistas) de las entidades.

ICT Risk Management

Artículo 21 de RTS sobre la gestión de riesgos relacionados con las TIC

El artículo 21 del borrador final del RTS sobre el marco de gestión de riesgos relacionados con las TIC, desarrolla con más detalle los requisitos de autenticación. Establece lo siguiente:

• el uso de métodos de autenticación acorde con la clasificación establecida según el Artículo 8 (1) del Reglamento (UE) 2022/2554, y con el perfil de riesgo general de los activos de TIC, considerando las mejores prácticas.

• el uso de mecanismos de autenticación fuerte acorde con las mejores prácticas y técnicas para el acceso remoto a la red de la entidad financiera, para el acceso privilegiado, para el acceso a los activos de TIC que respaldan funciones críticas o importantes, o activos de TIC de acceso público.

El RTS subraya la importancia de realizar una autenticación fuerte con los miembros de la plantilla en caso de acceso remoto a la red de la empresa (por ejemplo, a través de una Red Privada Virtual o VPN), y acceso a activos de TIC que respaldan funciones críticas o importantes.

¿Qué es Autenticación Multifactor?

DORA exige la autenticación multifactor (AMF), que requiere que los usuarios verifiquen la identidad a través de un mecanismo de autenticación. Ésta autenticación fuerte generalmente se compone de al menos dos factores provenientes de tres posibles categorías de autenticación. El objetivo es establecer mecanismos de autenticación robustos que ofrezcan una protección integral contra ataques fraudulentos.

Al menos 2 factores independientes entre:

Posesión

Lo que tengo

Conocimiento

Lo que sé

Inherencia

Lo que soy 

Worldline Trusted Authentication, para ofrecer una experiencia segura y fluida a sus empleados y clientes.

  • Solución disponible en todos los dispositivos: móvil, navegador y tabletas.
  • Diferentes métodos de implementación para adaptarse a sus estrategias digitales. 
  • Cumple con todos los requisitos establecidos en la regulación PSD2 RTS, eIDAS y RGPD.
  • Solución inclusiva y accessible que cumple con los requisitos de accesibilidad WCAG AA.
  • Esta solución combate todos los tipos conocidos de ataques de faude para garantizar la seguridad de sus empleados.

Proteger los datos en reposo y en tránsito

Risk management framework image

Capítulo II, Artículo 9

"Las entidades financieras diseñarán, adquirirán y aplicarán políticas, procedimientos, protocolos y herramientas en materia de seguridad de las TIC que tengan por objeto asegurar la resiliencia, la continuidad y la disponibilidad de los sistemas de TIC, en particular aquellos que sustentan funciones esenciales o importantes, así como mantener elevados niveles de disponibilidad, autenticidad, integridad y confidencialidad de los datos, con independencia de que estén en reposo, en uso o en tránsito."

Artículo 6, RTS sobre marco de gestión del riesgo

Las entidades financieras deben diseñar la política sobre cifrado y controles criptográficos mencionados en el párrafo 1 basándose en los resultados de una clasificación de fechas aprobada y una evaluación de las TIC.

Dicha política debe contener normas para todo lo siguiente:

  • el cifrado de datos en reposo y en tránsito; 
  • el cifrado de los datos en uso, cuando sea necesario;  
  • el cifrado de las conexiones de la red interna y el tráfico con partes externas; 
  • la gestión de claves criptográficas referida en el Artículo 7, que establece normas sobre el uso correcto, protección y ciclo de vida de las claves criptográficas.

¿Cifrado o tokenización?

Dos métodos para mantener la seguridad de los datos en reposo y en tránsito

Symmetric encruption diagam

Cifrado

En el cifrado, el 'texto plano' se convierte en 'texto cifrado' utilizando un algoritmo complejo y una clave de cifrado. El texto cifrado sólo puede ser decodificado en el texto plano usando la clave de descifrado correspondiente. Aunque este método ha recibido considerable atención en la investigación criptográfica, la seguridad de los datos cifrados depende de una sólida gestión de claves. Cualquier compromiso en la seguridad de la clave podría potencialmente poner en peligro los datos. 

Tokenisation simplified diagam

Tokenización

La tokenización es el método de protección de datos más utilizado en los sistemas financieros y de pago, con un volumen proyectado de 1 billón de transacciones en 2026, según Juniper Research. La tokenización de pagos sustituye los datos sensibles por «tokens» no sensibles que carecen de valor intrínseco. Los datos sensibles originales se almacenan de forma segura en una base de datos separada, a menudo denominada «almacén de tokens», mientras que los tokens se utilizan en diferentes sistemas y aplicaciones. 

Tanto el cifrado como la tokenización son herramientas vitales para proteger los datos sensibles, pero las características únicas y los puntos fuertes de la tokenización a menudo la convierten en una opción más segura y robusta.

Worldline Sensitive Data Protection :

Impulse su negocio con una solución integral diseñada para proteger sus activos más valiosos.

Worldline Sensitive Data Protection diagram
  • %
    99 95 disponibilidad
  • 3500 transacciones por segundo
  • + BN
    9 tokens procesados en 2023

Sensitive Data Protection es una solución de seguridad plug-and play que ofrece protección instantánea, garantizando una seguridad y defensa sólida a los datos bancarios y personales. Reduce el alcance de PCI-DSS de las empresas y permite el cumplimiento de RGPD.

Would you like to learn more?

Simply fill in a few details and our experts will get in touch.

modern businesswoman looking at the camera while holding a digital tablet
* Mandatory fields
Country
MarketingOptin

By submitting this form, I confirm that I have read and understand the terms of use from Worldline, and that Worldline will process my personal data as stated in the privacy policy.