SETOR · BANCA E FINANÇAS

Bancos, fintechs
e serviços financeiros.

O setor financeiro europeu opera sob o regime DORA (Digital Operational Resilience Act), PCI-DSS para cartões, EBA Guidelines on ICT Risk Management, MiFID II e regulamentação local dos bancos centrais. O Itamite cobre a camada TIC operacional: inventário, hardening, auditoria imutável e controlo remoto auditável que o seu departamento de conformidade pode demonstrar ao supervisor.

Ver preços Demo banca

DORA aplica-se desde 17 de janeiro de 2025

DORA é diretamente aplicável: bancos, seguradoras, fundos, asset managers, plataformas de cripto, infraestruturas de mercado e fornecedores TIC críticos. O Art. 6 exige um quadro de gestão de risco TIC, o Art. 9 proteção+prevenção+deteção, o Art. 10 deteção, o Art. 11 resposta e recuperação, o Art. 17 gestão de incidentes com notificação de 4h ao supervisor. Sem um inventário TIC atualizado e um sistema de auditoria operacional não pode cumprir DORA.

PCI-DSS v4.0 aplica-se a qualquer entidade que processe, armazene ou transmita dados de cartões: bancos emissores, adquirentes, comerciantes, ISVs, gateways. Requirement 2 (configuração hardening), Requirement 6 (patches), Requirement 8 (autenticação), Requirement 10 (logs e auditoria), Requirement 11 (vulnerability scanning) — o Itamite cobre a parte de endpoints e servidores em âmbito.

Casos típicos: banco médio com 5.000 postos em balcões e sedes centrais. Seguradora com 1.500 colaboradores e rede de mediadores. Fintech com 200 engenheiros e exigências DORA pós-ronda de financiamento. Sociedade gestora de fundos com 80 pessoas e exigências EBA por parte do supervisor.

CASOS DE USO BANCA E FINANÇAS

O que o Itamite faz por entidades financeiras

Inventário TIC para DORA Art. 8

Inventário completo e atualizado de todos os ativos TIC: hardware, software, dependências, criticidade, localização, proprietário, ligações. O Itamite gera o "ICT Asset Register" exigido por DORA com exportação auditável e rastreabilidade de alterações.

Hardening PCI-DSS v4.0 Requirement 2

Templates pré-configurados para CIS Benchmarks aplicados automaticamente: políticas de palavras-passe, serviços desativados, portas fechadas, BitLocker/FileVault, antivírus EDR, firewall. Deteção automática de drift fora do baseline.

Gestão de patches sob SLA

Cumpre PCI-DSS Req. 6 e DORA Art. 9: patches críticos em 30 dias, severos em 90 dias, normais em 12 meses. O Itamite reporta automaticamente a compliance window. Exceções documentadas com justificação assinada pelo CISO.

Auditoria imutável para o supervisor

Hash-chain SHA-256 impossível de manipular, mesmo por administradores. Cada ação técnica, cada acesso remoto, cada alteração de configuração fica com timestamp e hash verificável. Pronto para inspeções do Banco de Portugal, ESMA, EBA, supervisores nacionais.

Acesso remoto auditável a ambientes sensíveis

Sessões remotas a equipamentos na zona PCI/cardholder data environment com gravação opcional (SHA-256), MFA obrigatória, autorização just-in-time, retenção de audit log mínimo de 12 meses. Cumpre PCI-DSS Req. 8 e 10.

Reporte de incidentes DORA Art. 17

Quando se deteta um incidente TIC classificável, o Itamite fornece uma timeline forense completa: que endpoints afetados, que padrões de acesso anómalos, que ações técnicas foram tomadas. Material direto para o report de 4h ao supervisor.

Programa Itamite Finanças

Para entidades financeiras Enterprise: configuração específica que inclui templates DORA + PCI-DSS + EBA Guidelines, formação ao departamento de conformidade normativa, plano de auditoria anual com apoio de partner auditor, hosting opcional em datacenter financeiro certificado (PCI-DSS Level 1), integração nativa com SIEM (Splunk, QRadar, Sentinel), suporte 24x7 com SLA financeiro e linha de escalado ao supervisor preparada.

Templates DORA Art. 8 ICT Asset Register pré-configurados
Templates PCI-DSS v4.0 (Requirements 2, 6, 8, 10, 11) prontos a usar
Hosting opcional em datacenter PCI-DSS Level 1 certificado
Integração nativa com SIEM (Splunk, QRadar, Microsoft Sentinel, Elastic)
Suporte 24x7 com SLA financeiro (incidente crítico <15 min)

PERGUNTAS FREQUENTES

Dúvidas do setor financeiro

O Itamite cobre todo o DORA?

O Itamite cobre a camada TIC operacional de DORA: Art. 6 (inventário), Art. 8 (asset register), Art. 9 (proteção/patches/hardening), Art. 10 (deteção de anomalias), Art. 17 (forense para reporte). Não cobre temas não-TIC: governança executiva, contratos com fornecedores TIC críticos, testing de resiliência avançado (TLPT), Penetration Testing.

Posso usar o Itamite em ambiente PCI com CDE (Cardholder Data Environment)?

Sim, o Itamite é compatível com CDE. O agente pode operar em lista controlada de software, sem tráfego de saída para a Internet (proxy white-list), com cifragem mTLS e auditoria completa. Documentação PCI-DSS específica disponível sob NDA.

A Itrion é fornecedora TIC crítica ao abrigo de DORA?

A Itrion não é um ICT third-party service provider crítico (CTPP) declarado como tal pela Comissão. Mas como fornecedor de serviços TIC, assinamos consigo o contrato exigido pelo DORA Art. 30 com todas as cláusulas obrigatórias: direito de auditoria, terminação, escalado, exit plan, localização de processamento.

Como se enquadra com as EBA Guidelines on ICT and Security Risk Management?

As EBA Guidelines são a base sobre a qual se constrói o DORA. O Itamite cobre os mesmos pontos: inventário de ativos, identidade e acesso, gestão de mudanças, gestão de incidentes, business continuity para TIC, gestão de fornecedores. Os mesmos templates e relatórios funcionam para ambos os frameworks.

Pronto para inspeção DORA ou auditoria PCI

Demo Enterprise com templates DORA + PCI + EBA pré-configurados. SLA financeiro e BAA legal preparados.