Por Paul Garden, Especialista em Soluções de DevOps e Segurança da JFrog; Danny Parizada, Engenheiro Sênior de Soluções da JFrog — 1º de maio de 2025
A conformidade regulatória é uma parte essencial e crítica no cenário atual dos serviços financeiros, que evolui rapidamente. Uma nova regulamentação que as instituições financeiras da União Europeia devem seguir é o DORA — Digital Operational Resilience Act (Lei de Resiliência Operacional Digital), criada para fortalecer a resiliência operacional dos serviços financeiros digitais.
O relatório BCI Supply Chain Resilience 2024 destacou que 80% das organizações enfrentaram interrupções na cadeia de suprimentos, um aumento significativo em relação ao ano anterior. Isso demonstra o impacto contínuo dos problemas de resiliência em Tecnologia da Informação e Comunicação (TIC) na continuidade operacional.
A conformidade com o DORA entrou em vigor em 17 de janeiro de 2025. O termo TIC abrange uma ampla gama de ferramentas e recursos tecnológicos usados para comunicação, criação de conteúdo, disseminação de informações, armazenamento e gestão. Isso inclui dispositivos eletrônicos, componentes de rede e aplicativos de software que facilitam diversas formas de comunicação e processamento digital.
No setor de serviços financeiros, o DORA se aplica a seguros, empresas de investimentos, bancos, fintechs e fornecedores de TIC, que devem entender e cumprir seus requisitos para garantir a resiliência operacional e evitar multas substanciais.
Este artigo discute os principais requisitos de desenvolvimento de software que as empresas financeiras devem seguir para estarem em conformidade com o DORA.
O que é o DORA?
O DORA é uma regulamentação criada pela União Europeia para aumentar a resiliência operacional digital das instituições financeiras, garantindo que essas entidades consigam suportar e se recuperar de qualquer tipo de interrupção ou ameaça tecnológica.
O objetivo do DORA é melhorar a resiliência operacional de todo o setor financeiro, mesmo diante de grandes perturbações. A regulamentação exige que as instituições desenvolvam capacidades robustas em:
- Proteção: prevenir incidentes relacionados à tecnologia.
- Conter: limitar o impacto das interrupções.
- Detecção: identificar incidentes rapidamente.
- Recuperação: restaurar serviços de forma eficiente.
- Reparo: corrigir danos causados por incidentes.
Quem precisa cumprir o DORA?
O DORA se aplica a uma ampla gama de organizações financeiras que atuam na União Europeia. Estima-se que mais de 22.000 entidades sejam impactadas, tornando a conformidade essencial tanto para seguir as regras como para garantir a continuidade dos negócios.
Os 5 Principais Requisitos de Desenvolvimento de Software do DORA
O DORA abrange várias áreas. A seguir, veja como os princípios da regulamentação afetam especificamente os processos e operações de desenvolvimento de software, traduzindo cada um dos cinco pilares principais em ações práticas:
- Governança e Gestão Robusta de Riscos de TIC: as empresas financeiras devem identificar e avaliar vulnerabilidades em seus sistemas de software, implementando estratégias de mitigação para reduzir o impacto dos riscos identificados.
- Compartilhamento de Informações e Inteligência: isso envolve o intercâmbio de informações sobre ameaças cibernéticas entre organizações, aumentando a resiliência coletiva contra ataques e melhorando a preparação e a resposta do setor.
- Relato e Resposta a Incidentes: para atender aos requisitos de detecção e resposta a incidentes, as equipes de DevOps devem implementar soluções de log e monitoramento que detectem anomalias e previnam potenciais incidentes. Além disso, é essencial que DevSecOps tenha um plano claro de resposta a incidentes, incluindo etapas de contenção, erradicação, recuperação e análise pós-incidente.
- Testes e Avaliações de Resiliência Operacional Digital: testes contínuos são vitais para manter a resiliência dos sistemas financeiros, incluindo testes de penetração, avaliações de vulnerabilidades, planejamento de recuperação de desastres e continuidade dos negócios.
- Gestão de Riscos de Terceiros: as empresas frequentemente dependem de fornecedores de software e serviços tecnológicos. Para cumprir o DORA, é essencial: realizar diligência sobre as práticas de segurança dos fornecedores, estabelecer contratos que garantam aderência a padrões de segurança e resiliência, monitorar continuamente essas práticas.
Codificando para o DORA: Como Colocar em Prática
Além do DORA, existem regulamentações como o Cybersecurity Resilience Act (CRA) da UE, o NIST SP 800-218 (SSDF) e a Ordem Executiva dos EUA 14028 sobre Cibersegurança, que possuem abordagens semelhantes.
Veja como traduzir os pilares do DORA em práticas reais de desenvolvimento de software:
Seguro por Design: incorpore segurança em todo o ciclo de desenvolvimento (SDLC), como modelagem de ameaças, práticas de codificação segura, escaneamento de vulnerabilidades, revisões de código, análise estática de código, curadoria de pacotes seguros e gestão de dependências.
DevSecOps: quebre os silos entre desenvolvimento, segurança e operações, criando um ambiente colaborativo onde a segurança é responsabilidade de todos e o monitoramento contínuo da cadeia de suprimentos de software é uma realidade.
Automatize para Ganhar Eficiência: utilize ferramentas de automação para escaneamento de vulnerabilidades, testes de segurança, curadoria de pacotes, resposta a incidentes, etc.
Logs e Monitoramento: implemente práticas robustas de log e monitoramento nas suas aplicações, permitindo a detecção precoce de anomalias e possíveis incidentes de segurança. Também é fundamental gerenciar os riscos de segurança em todo o SDLC, mantendo um sistema unificado de registro.
Quais as penalidades por não conformidade com o DORA?
Instituições financeiras que não cumprirem o DORA podem enfrentar **multas de até 1% do faturamento médio diário global por cada dia de não conformidade.
Como a JFrog Pode Ajudar as Instituições Financeiras da UE
As soluções de segurança da JFrog, incluindo JFrog Xray, JFrog Advanced Security e JFrog Curation, auxiliam empresas de serviços financeiros a cumprir os requisitos do DORA.
A plataforma oferece uma solução completa de segurança e conformidade da cadeia de suprimentos de software, fundamental para o DORA e outras regulamentações como OCC, GDPR, PCI DSS, SOX e NIST, que exigem desenvolvimento seguro, privacidade de dados e governança corporativa.
A plataforma JFrog permite:
- Identificação contínua de vulnerabilidades,
- Priorização, rastreamento, monitoramento e gestão de riscos,
- Sugestões de remediação automatizadas, com políticas configuráveis para adequação ao DORA.
Por exemplo, realizar curadoria de bibliotecas e pacotes de código aberto livres de vulnerabilidades, malwares e riscos operacionais, contribui diretamente para os requisitos de segurança e mitigação de riscos do DORA.
Além disso, um SBOM (Software Bill of Materials) é essencial para entender os componentes que fazem parte de um release de produção. A funcionalidade de geração automática de SBOM da JFrog oferece aos times de QA, segurança e gerenciamento de releases uma visão detalhada de todos os componentes, além de vulnerabilidades e problemas de licenciamento. Os SBOMs da JFrog são compatíveis com formatos padrão como SPDX, CycloneDX (CDX) e o novo formato VEX.
A JFrog também ajuda a eliminar os silos entre desenvolvimento, segurança e operações, promovendo um ambiente colaborativo de DevSecOps, onde todos têm uma visão clara e a segurança é prioridade. Saiba mais entrando em contato com nossos especialistas pelo e-mail consultoria@software.com.br
