SECTOR · BANCA Y FINANZAS

Banca, fintechs
y servicios financieros.

El sector financiero europeo opera bajo el régimen DORA (Digital Operational Resilience Act), PCI-DSS para tarjetas, EBA Guidelines on ICT Risk Management, MiFID II y normativa local de bancos centrales. Itamite cubre la capa TIC operativa: inventario, hardening, auditoría inmutable y control remoto auditable que tu departamento de cumplimiento puede demostrar al supervisor.

Ver precios Demo banca

DORA aplica desde el 17 de enero de 2025

DORA es directamente aplicable: bancos, aseguradoras, fondos, gestoras, plataformas de cripto, infraestructuras de mercado y proveedores TIC críticos. El Art. 6 exige un marco de gestión de riesgo TIC, el Art. 9 protección+prevención+detección, el Art. 10 detección, el Art. 11 respuesta y recuperación, el Art. 17 gestión de incidentes con notificación 4h al supervisor. Sin un inventario TIC actualizado y un sistema de auditoría operativo no puedes cumplir DORA.

PCI-DSS v4.0 aplica a cualquier entidad que procese, almacene o transmita datos de tarjetas: bancos emisores, adquirientes, comercios, ISVs, gateways. Requirement 2 (configuración hardening), Requirement 6 (parches), Requirement 8 (autenticación), Requirement 10 (logs y auditoría), Requirement 11 (vulnerability scanning) — Itamite cubre la parte de endpoints y servidores en alcance.

Casos típicos: banco mediano con 5.000 puestos en sucursales y oficinas centrales. Aseguradora con 1.500 empleados y red de mediadores. Fintech con 200 ingenieros y exigencias DORA tras la última ronda. Gestora de fondos con 80 personas y exigencia EBA por el supervisor.

CASOS DE USO BANCA Y FINANZAS

Lo que Itamite hace por entidades financieras

Inventario TIC para DORA Art. 8

Inventario completo y actualizado de todos los activos TIC: hardware, software, dependencias, criticidad, ubicación, propietario, conexiones. Itamite genera el "ICT Asset Register" exigido por DORA con exportación auditable y trazabilidad de cambios.

Hardening PCI-DSS v4.0 Requirement 2

Plantillas pre-configuradas para CIS Benchmarks aplicadas automáticamente: políticas de contraseñas, servicios deshabilitados, puertos cerrados, BitLocker/FileVault, antivirus EDR, firewall. Detección automática de drift fuera de baseline.

Patch management bajo SLA

Cumple PCI-DSS Req. 6 y DORA Art. 9: parches críticos en 30 días, severos en 90 días, normales en 12 meses. Itamite reporta automáticamente compliance window. Excepciones documentadas con justificación firmada por CISO.

Auditoría inmutable para supervisor

Hash-chain SHA-256 imposible de manipular incluso por administradores. Cada acción técnica, cada acceso remoto, cada cambio de configuración queda con timestamp y hash verificable. Listo para inspecciones de Banco de España, ESMA, EBA, supervisores nacionales.

Acceso remoto auditable a entornos sensibles

Sesiones remotas a equipos en zona PCI/cardholder data environment con grabación opcional (SHA-256), MFA obligatorio, autorización just-in-time, retención de audit log mínimo 12 meses. Cumple PCI-DSS Req. 8 y 10.

Reporte de incidentes DORA Art. 17

Cuando se detecta un incidente TIC clasificable, Itamite proporciona timeline forense completo: qué endpoints afectados, qué patrones de acceso anómalos, qué acciones técnicas se han tomado. Material directo para el reporte 4h al supervisor.

Programa Itamite Finanzas

Para entidades financieras Enterprise: setup específico que incluye plantillas DORA + PCI-DSS + EBA Guidelines, formación al departamento de cumplimiento normativo, plan de auditoría anual con apoyo de partner auditor, hosting opcional en datacenter financiero certificado (PCI-DSS Level 1), integración nativa con SIEM (Splunk, QRadar, Sentinel), soporte 24x7 con SLA financiero y línea de escalado a supervisor preparada.

Plantillas DORA Art. 8 ICT Asset Register pre-configuradas
Plantillas PCI-DSS v4.0 (Requirements 2, 6, 8, 10, 11) listas para uso
Hosting opcional en datacenter PCI-DSS Level 1 certificado
Integración nativa con SIEM (Splunk, QRadar, Microsoft Sentinel, Elastic)
Soporte 24x7 con SLA financiero (incidente crítico <15 min)

PREGUNTAS FRECUENTES

Dudas del sector financiero

¿Itamite cubre todo DORA?

Itamite cubre la capa TIC operativa de DORA: Art. 6 (inventario), Art. 8 (asset register), Art. 9 (protección/parches/hardening), Art. 10 (detección de anomalías), Art. 17 (forense para reporte). No cubre temas no-TIC: gobernanza ejecutiva, contratos con proveedores TIC críticos, testing de resiliencia avanzado (TLPT), Penetration Testing.

¿Puedo usar Itamite en entorno PCI con CDE (Cardholder Data Environment)?

Sí, Itamite es compatible con CDE. El agente puede operar en lista controlada de software, sin tráfico saliente a Internet (proxy white-list), con cifrado mTLS y auditoría completa. Documentación PCI-DSS específica disponible bajo NDA.

¿Itrion es proveedor TIC crítico bajo DORA?

Itrion no es ICT third-party service provider crítico (CTPP) declarado como tal por la Comisión. Pero como proveedor de servicios TIC, te firmamos el contrato exigido por DORA Art. 30 con todas las cláusulas obligatorias: derecho de auditoría, terminación, escalado, exit plan, ubicación de procesamiento.

¿Cómo encaja con EBA Guidelines on ICT and Security Risk Management?

Las EBA Guidelines son la base sobre la que se construye DORA. Itamite cubre los mismos puntos: inventario activos, identidad y acceso, gestión de cambios, gestión de incidentes, business continuity para TIC, gestión de proveedores. Mismas plantillas y reportes funcionan para ambos marcos.

Listo para inspección DORA o auditoría PCI

Demo Enterprise con plantillas DORA + PCI + EBA pre-configuradas. SLA financiero y BAA legal preparado.