Num cenário em que falhas tecnológicas e ciberataques podem comprometer a integridade de dados e paralisar operações críticas, garantir a salvaguarda, restauração e recuperação de dados e sistemas TIC é vital.
O Regulamento DORA impõe regras específicas para assegurar que as entidades financeiras possam recuperar rapidamente os seus serviços e dados, mesmo em cenários extremos.
Neste artigo, explicamos o que o DORA exige em termos de backup, restauração e recuperação, como implementar essas políticas e quais são as boas práticas para garantir conformidade e resiliência.
O QUE O DORA EXIGE?
As entidades financeiras devem desenvolver, documentar e testar regularmente:
- Políticas de salvaguarda de dados;
- Procedimentos e métodos de restauração e recuperação de sistemas TIC;
- Infraestruturas redundantes para garantir continuidade.
Essas medidas têm como objetivo minimizar o tempo de indisponibilidade, reduzir perdas e assegurar a integridade, confidencialidade e autenticidade dos dados.
POLÍTICAS DE SALVAGUARDA: O QUE DEVE INCLUIR?
As entidades devem definir nas suas políticas de salvaguarda:
- Âmbito dos dados a salvaguardar, com base na sua criticidade e confidencialidade;
- Frequência mínima das cópias de segurança (por exemplo, diária, semanal);
- Sistemas de backup que não coloquem em risco a segurança da rede, a disponibilidade ou integridade dos dados
Além disso, devem:
- Utilizar sistemas de backup fisicamente e logicamente separados;
- Proteger os dados contra acessos não autorizados ou corrupção;
- Garantir que a restauração pode ser feita de forma atempada e segura.
MÉTODOS DE RESTAURAÇÃO E RECUPERAÇÃO
A restauração deve ser baseada em planos documentados e testados, suportada por infraestruturas redundantes, executada de forma a garantir a continuidade das funções críticas e acompanhada de verificações e reconciliações de dados após qualquer recuperação.
Estes métodos devem prever recuperação parcial ou total dos sistemas e dados, identificação clara de responsabilidades e fluxos de comunicação, avaliação do tempo estimado de recuperação (RTO) e nível aceitável de perda de dados (RPO)
TESTES E AUDITORIA
Os procedimentos de backup e recuperação devem ser testados periodicamente para validar a sua eficácia, auditados por equipas internas independentes (exceto microempresas) e atualizados sempre que houver alterações significativas nos sistemas ou ambiente de risco.
As entidades também devem manter registos das atividades relacionadas com a ativação dos sistemas de salvaguarda e recuperação.
REDUNDÂNCIA DE SISTEMAS TIC
As entidades que não sejam microempresas devem manter capacidades de TIC redundantes com recursos e funções suficientes, bem como locais secundários de tratamento de dados (data centers alternativos), que estejam geograficamente distantes do local principal, sejam acessíveis ao pessoal e possam assegurar as funções críticas ou importantes com os níveis exigidos de serviço.
CONSIDERAÇÕES ESTRATÉGICAS
Ao definir os objetivos de tempo de recuperação (RTO) e de nível de serviço mínimo, a entidade deve considerar a criticidade de cada função, o impacto potencial de interrupções no mercado financeiro e a capacidade de retomar operações com integridade de dados garantida.
As centrais de valores mobiliários e os prestadores de serviços de comunicação de dados devem cumprir requisitos adicionais específicos, incluindo recuperação de transações em curso e manutenção de equipamentos de backup.
CONCLUSÃO
A implementação de políticas robustas de salvaguarda, restauração e recuperação é um dos pilares da conformidade com o DORA.
Mais do que proteger dados, essas medidas garantem continuidade operacional, confiança do mercado e resiliência diante de falhas tecnológicas ou ciberameaças.
As entidades que tratam essas políticas com prioridade estarão sempre um passo à frente em termos de segurança, responsabilidade e conformidade.
