SEKTOR · BANKI I FINANSE

Banki, fintechy
i usługi finansowe.

Europejski sektor finansowy działa pod rygorem DORA (Digital Operational Resilience Act), PCI-DSS dla kart, EBA Guidelines on ICT Risk Management, MiFID II oraz regulacji lokalnych banków centralnych. Itamite obsługuje warstwę operacyjną ICT: inwentaryzacja, hardening, niezmienialny audyt i audytowalna kontrola zdalna, którą twój dział compliance może wykazać przed organem nadzoru.

Zobacz cennik Demo bank

DORA obowiązuje od 17 stycznia 2025

DORA jest bezpośrednio stosowalna: banki, ubezpieczyciele, fundusze, asset managerowie, platformy crypto, infrastruktury rynku i krytyczni dostawcy ICT. Art. 6 wymaga ramy zarządzania ryzykiem ICT, Art. 9 ochrona+prewencja+wykrywanie, Art. 10 wykrywanie, Art. 11 reakcja i odzyskiwanie, Art. 17 zarządzanie incydentami z powiadomieniem nadzoru w 4h. Bez aktualnego inwentarza ICT i operacyjnego systemu audytu nie można spełnić DORA.

PCI-DSS v4.0 dotyczy każdego podmiotu przetwarzającego, przechowującego lub przesyłającego dane kart: banków emitujących, acquirerów, akceptantów, ISV, bramek. Requirement 2 (konfiguracja hardening), Requirement 6 (patche), Requirement 8 (uwierzytelnianie), Requirement 10 (logi i audyt), Requirement 11 (vulnerability scanning) — Itamite obsługuje część endpointów i serwerów w zakresie.

Typowe przypadki: średni bank z 5 000 stanowisk w oddziałach i centrali. Ubezpieczyciel z 1 500 pracownikami i siecią pośredników. Fintech z 200 inżynierami i wymaganiami DORA po ostatniej rundzie. Asset manager z 80 osobami i wymaganiami EBA ze strony nadzoru.

PRZYPADKI UŻYCIA BANKI I FINANSE

Co Itamite robi dla podmiotów finansowych

Inwentarz ICT dla DORA Art. 8

Kompletny i aktualny inwentarz wszystkich aktywów ICT: sprzęt, oprogramowanie, zależności, krytyczność, lokalizacja, właściciel, połączenia. Itamite generuje "ICT Asset Register" wymagany przez DORA z audytowalnym eksportem i śledzeniem zmian.

Hardening PCI-DSS v4.0 Requirement 2

Preconfigurowane szablony dla CIS Benchmarks stosowane automatycznie: polityki haseł, wyłączone usługi, zamknięte porty, BitLocker/FileVault, antywirus EDR, firewall. Automatyczne wykrywanie driftu poza baseline.

Patch management pod SLA

Spełnia PCI-DSS Req. 6 i DORA Art. 9: krytyczne patche w 30 dni, poważne w 90 dni, normalne w 12 miesięcy. Itamite automatycznie raportuje compliance window. Udokumentowane wyjątki z uzasadnieniem podpisanym przez CISO.

Niezmienialny audyt dla nadzoru

Hash-chain SHA-256 niemożliwy do manipulacji nawet przez administratorów. Każde działanie techniczne, każdy zdalny dostęp, każda zmiana konfiguracji jest rejestrowana z timestampem i weryfikowalnym hashem. Gotowe na inspekcje KNF, ESMA, EBA, krajowych nadzorców.

Audytowalny zdalny dostęp do wrażliwych środowisk

Sesje zdalne do urządzeń w strefie PCI/cardholder data environment z opcjonalnym nagrywaniem (SHA-256), obowiązkowym MFA, autoryzacją just-in-time, retencją audit logu minimum 12 miesięcy. Spełnia PCI-DSS Req. 8 i 10.

Raportowanie incydentów DORA Art. 17

Gdy wykryty zostanie klasyfikowalny incydent ICT, Itamite dostarcza pełną forensiczną oś czasu: jakie endpointy zostały dotknięte, jakie anomalie wzorców dostępu, jakie działania techniczne zostały podjęte. Bezpośredni materiał do raportu 4h dla nadzoru.

Program Itamite Finanse

Dla podmiotów finansowych Enterprise: dedykowana konfiguracja zawierająca szablony DORA + PCI-DSS + EBA Guidelines, szkolenie działu compliance, roczny plan audytu ze wsparciem partnera audytora, opcjonalny hosting w certyfikowanym centrum danych finansowych (PCI-DSS Level 1), natywna integracja z SIEM (Splunk, QRadar, Sentinel), wsparcie 24x7 z finansowym SLA i przygotowaną linią eskalacji do nadzoru.

Preconfigurowane szablony DORA Art. 8 ICT Asset Register
Szablony PCI-DSS v4.0 (Requirements 2, 6, 8, 10, 11) gotowe do użycia
Opcjonalny hosting w certyfikowanym centrum danych PCI-DSS Level 1
Natywna integracja z SIEM (Splunk, QRadar, Microsoft Sentinel, Elastic)
Wsparcie 24x7 z finansowym SLA (krytyczny incydent <15 min)

FAQ

Pytania sektora finansowego

Czy Itamite pokrywa cały DORA?

Itamite pokrywa operacyjną warstwę ICT DORA: Art. 6 (inwentarz), Art. 8 (asset register), Art. 9 (ochrona/patche/hardening), Art. 10 (wykrywanie anomalii), Art. 17 (forensika dla raportowania). Nie pokrywa tematów nie-ICT: governance kierownictwa, umowy z krytycznymi dostawcami ICT, zaawansowane testy odporności (TLPT), Penetration Testing.

Czy mogę używać Itamite w środowisku PCI z CDE (Cardholder Data Environment)?

Tak, Itamite jest kompatybilny z CDE. Agent może działać na kontrolowanej liście oprogramowania, bez ruchu wychodzącego do Internetu (proxy white-list), z szyfrowaniem mTLS i pełnym audytem. Dokumentacja PCI-DSS specyficzna dostępna pod NDA.

Czy Itrion jest krytycznym dostawcą ICT zgodnie z DORA?

Itrion nie jest krytycznym ICT third-party service provider (CTPP) zadeklarowanym jako taki przez Komisję. Ale jako dostawca usług ICT, podpisujemy z tobą umowę wymaganą przez DORA Art. 30 ze wszystkimi obowiązkowymi klauzulami: prawo audytu, rozwiązanie, eskalacja, exit plan, lokalizacja przetwarzania.

Jak wpisuje się to w EBA Guidelines on ICT and Security Risk Management?

EBA Guidelines są podstawą, na której budowane jest DORA. Itamite pokrywa te same punkty: inwentarz aktywów, tożsamość i dostęp, zarządzanie zmianami, zarządzanie incydentami, business continuity dla ICT, zarządzanie dostawcami. Te same szablony i raporty działają dla obu ram.

Gotowy do inspekcji DORA lub audytu PCI

Demo Enterprise z preconfigurowanymi szablonami DORA + PCI + EBA. Finansowy SLA i prawny BAA przygotowane.