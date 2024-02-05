A Lei de Resiliência Operacional Digital (DORA) representa um marco significativo nos esforços da União Europeia (UE) para fortalecer a resiliência operacional do setor financeiro na era digital. Com a intenção de lidar de forma abrangente com a gestão de riscos de tecnologia da informação e comunicação (TIC) nos serviços financeiros, a DORA tem como objetivo harmonizar as regulamentações existentes nos estados-membros da UE. Ela exige que todas as instituições financeiras em seu escopo construam a resiliência operacional digital necessária, enfatizando uma abordagem personalizada para cada organização.
Para lidar com a DORA de forma eficaz, as instituições financeiras são aconselhadas a se concentrar no domínio dos recursos fundamentais em quatro domínios-chave: dados, operações, gerenciamento de riscos, e automação e IA. Ao combinar estrategicamente a tecnologia nessas áreas, as organizações podem aprimorar sua capacidade de incorporar segurança, promover a mitigação de riscos, permitir o monitoramento contínuo, garantir a continuidade de negócios adaptável, promover a interoperabilidade e simplificar a governança.
Embora o cenário econômico para as instituições financeiras seja desafiador, a conformidade com a DORA não é apenas mais uma obrigação dispendiosa. Em vez disso, apresenta uma oportunidade de transformar as despesas de conformidade em investimentos estratégicos que visam proporcionar um desempenho empresarial superior. Adotar essa mentalidade permite que as instituições busquem a conformidade e o valor dos negócios digitais de longo prazo a partir de seus investimentos em resiliência operacional digital.
A computação confidencial e criptografia têm um papel importante na garantia da privacidade de dados, protegendo-a quando em uso, em memória, estendendo tal proteção também para sistemas e administradores de nuvem, que continuará a gerenciar a infraestrutura sem ter acesso aos dados.
Podemos ver isso enfatizado também dentro da DORA, nas RTS (Normas Técnicas de Regulamentação), descritos para a consulta pública (1, link externo ao ibm.com), no Artigo 6, com foco em criptografia e controles criptográficos, e no Artigo 7, que lida com o gerenciamento de chaves criptográficas.
De acordo com o Artigo 6 do RTS, a criptografia de dados é considerada essencial durante todo o ciclo de vida dos dados, abrangendo dados em repouso, em trânsito e em uso. Isso se alinha perfeitamente com a noção de que alcançar total privacidade de dados, conforme exigido pela DORA, requer uma abordagem abrangente para a criptografia, garantindo que as informações confidenciais sejam protegidas em todas as etapas de sua existência.
Além disso, o Artigo 6 do RTS destaca a necessidade de todo o tráfego de rede, tanto interno quanto externo, ser criptografado. Esse requisito reforça a ideia de que um canal de comunicação seguro e criptografado é fundamental, ressoando com a necessidade de uma cadeia de confiança robusta e interligada, do hardware à solução, como mencionado no texto original.
O Artigo 7 do RTS aprofunda-se no gerenciamento de chaves criptográficas, enfatizando a importância do gerenciamento do ciclo de vida das chaves criptográficas. Isso se alinha ao conceito de que os componentes de tecnologia que permitem a computação confidencial devem formar uma cadeia de confiança interligada. Ao garantir a imutabilidade e autenticação do ambiente de execução confiável, as instituições financeiras podem atender às expectativas regulatórias da DORA descritas no artigo 7.º.
Concluindo, os princípios de computação confidencial e criptografia, conforme articulados no texto original, encontram ressonância nos requisitos específicos estabelecidos no RTS. A adesão a esses padrões regulatórios não apenas garante a conformidade com a DORA, mas também estabelece um framework robusto para proteger dados financeiros confidenciais por meio de criptografia e práticas eficazes de gerenciamento de chaves.
Para garantir total privacidade de dados, um componente essencial é a computação confidencial e criptografia. Os componentes tecnológicos que permitem a computação confidencial devem formar uma cadeia de confiança interligada, desde o hardware até a solução, fornecendo uma computação confidencial como solução com um ambiente de execução confiável imutável e autenticado.
A segurança de dados, que leva à privacidade de dados, soberania e resiliência, exige proteção de ponta a ponta durante todo o ciclo de vida e stack. A computação confidencial garante que os provedores de nuvem não acessem dados com base em confiança, visibilidade e controle, mas sim em provas técnicas, criptografia de dados e isolamento de tempo de execução.
A garantia técnica é fundamental para evitar o acesso não autorizado aos dados, o que implica que os administradores de nuvem, fornecedores, provedores de software e engenheiros de confiabilidade do site não podem acessar os dados enquanto estiverem em uso. A garantia técnica garante que o provedor de serviços de nuvem (CSP) não possa liberar nenhum dado no caso de solicitações legais, evitando violações na proteção de dados, independentemente da legislação e da aplicação da lei.
A proteção de dados com garantia técnica promove a soberania dos dados e a resiliência digital. Isso significa que o controle total sobre os dados reais está com o usuário da nuvem, não com o provedor de nuvem. Ao aproveitar a computação confidencial e a criptografia, as instituições financeiras podem atender aos rigorosos requisitos da DORA, garantindo o mais alto nível de garantia técnica e protegendo suas operações digitais em um cenário em evolução.
Concluindo, a DORA não é apenas uma tarefa de conformidade, mas uma oportunidade para as instituições financeiras investirem estrategicamente em resiliência operacional digital. Ao incorporar a computação confidencial e a criptografia na estratégia, as organizações podem navegar pela onda digital com confiança, garantindo privacidade, segurança e controle dos dados em um cenário digital em constante evolução.
