《数字运营弹性法案》(DORA) 标志着欧盟在数字时代加强金融领域运营弹性努力的重大里程碑。DORA 旨在全面应对金融服务领域的信息和通信技术风险管理，力求协调欧盟成员国间的现行法规。它要求管辖范围内所有金融机构建立必要的数字运营弹性，强调针对各组织的定制化实施方案。
为有效落实 DORA，建议金融机构聚焦于掌握四大关键领域的基础能力：数据、运营、风险管理、自动化与 AI。组织通过在这些领域战略性整合技术，能够提升以下能力：嵌入安全防护、推动风险缓释、实现持续监控、确保适应性业务连续性、促进系统互操作性以及简化治理流程。
尽管金融机构面临的经济环境充满挑战，但 DORA 合规并非仅是又一笔成本支出。而是将合规支出转化为战略性投资的契机——这些投资旨在提升业务绩效。秉持这种思维模式，机构可以从数字运营弹性的投资中同时获得合规达标与长期数字商业价值。
机密计算与数据加密在实现全方位数据隐私保障方面发挥着关键作用，它们能保护使用中和内存中的数据，并将这种保护延伸至系统和云管理员——这些管理员将继续管理基础设施，却无法访问数据。
这一点在 DORA 的 RTS 中同样得到强调（该标准已面向公众征询意见，1链接位于 ibm.com 外部）——其第 6 条聚焦加密与密码控制，第 7 条则涉及加密密钥管理。
根据 RTS 第 6 条，数据加密被视为贯穿整个数据生命周期的必要措施，涵盖静态数据、传输中数据以及使用中数据。这与以下理念完全契合：要实现 DORA 所要求的全方位数据隐私，必须采用全面的加密方法，确保敏感信息在其存在的每个阶段都受到保护。
此外，RTS 第 6 条强调所有内部与外部网络流量均需加密。这一要求强化了安全加密通信信道至关重要的观点，与原⽂中提到的“从硬件到解决方案构建强健且互联的信任链”需求相呼应。
RTS 第 7 条深入探讨加密密钥管理，强调密钥生命周期管理的重要性。这符合以下核心理念：实现机密计算的技术组件必须构成环环相扣的信任链。金融机构通过确保可信执行环境的不可篡改性与可验证性，能够满足 DORA 第 7 条规定的监管要求。
总而言之，原文阐述的机密计算与密码学原理，与监管技术标准中的具体要求高度契合。遵循这些监管标准不仅确保符合 DORA 要求，更通过加密与有效的密钥管理实践，构建起保护敏感金融数据的强健框架。
实现全方位数据隐私保障的关键要素在于机密计算与密码学技术。支撑机密计算的技术组件必须构建从硬件到解决方案的环环相扣信任链，以提供“机密计算即解决方案”，并具备不可篡改且可验证的可信执行环境。
要实现数据安全乃至数据隐私、主权与数字弹性的目标，必须贯穿完整数据生命周期及技术栈实施端到端防护。机密计算确保云服务商无法基于信任、可见性或控制权访问数据，而是依赖技术验证、数据加密与运行时隔离机制。
技术保障对于防止数据未授权访问至关重要，这意味着云管理员、供应商、软件提供商和站点可靠性工程师均无法访问使用中的数据。技术保障确保云服务商 (CSP) 在面临法律要求时也无法泄露任何数据，从而在任何立法与执法环境下均能防止数据保护漏洞。
通过技术保障实现的数据保护能够促进数据主权与数字弹性的建立。这意味着对实际数据的完全控制权掌握在云用户手中，而非云服务提供商。金融机构借助机密计算与密码学技术，能够应对 DORA 的严苛要求，确保最高级别的技术保障，在不断变化的格局中守护其数字化运营。
总之，DORA 对金融机构而言不仅仅是合规任务，更是对数字运营弹性进行战略性投资的契机。组织通过将机密计算与密码学纳入战略体系，能够在数字浪潮中稳健前行，确保在不断演进的数字环境中实现数据隐私、安全与控制。
