El Reglamento DORA (UE 2022/2554) refuerza la resiliencia operativa digital del sector financiero en la UE, exigiendo controles demostrables para prevenir, gestionar y recuperarse de disrupciones TIC. En la práctica, converge con la seguridad de datos: reducir exposición, mantener control cuando intervienen terceros TIC y sostener evidencias consistentes en todo el ecosistema, no solo en producción.




Qué cambia con DORA para equipos de tecnología y datos



DORA incrementa el nivel de exigencia en tres dimensiones que afectan a cómo se gestionan datasets fuera de producción:


  • Gobierno y control del riesgo TIC: políticas, procesos y controles técnicos definidos, operativos y revisables.

  • Evidencia verificable: trazabilidad y resultados reproducibles que permitan demostrar ejecución de controles.

  • Riesgo de terceros TIC: el control debe mantenerse cuando el dato se consume en proveedores y servicios externos.



En ejecución, esto se materializa en tres frentes:


  • Seguridad: define políticas, segregación, acceso mínimo, monitorización y logging.

  • Plataforma de datos/DevSecOps: implementa pipelines de publicación, transformaciones y validaciones.

  • Gestión de terceros: gobierna inventario de proveedores, accesos, caducidad y evidencias asociadas.




Alcance en España: banca, pagos y aseguradoras



Al ser un reglamento europeo, DORA aplica en España de forma directa. El reglamento incluye explícitamente entidades del ámbito asegurador (aseguradoras y reaseguradoras, entre otras tipologías), además de un conjunto amplio de entidades financieras.


En incidentes TIC, las autoridades nacionales publican guías operativas para determinados sujetos obligados; por ejemplo, el Banco de España ha difundido documentación de proceso para notificación de incidentes graves bajo DORA en su ámbito.




Control del dato en entornos no productivos: requisito operativo y verificable



Los estándares técnicos complementarios de DORA sobre gestión del riesgo TIC concretan controles aplicables a entornos no productivos. En particular, establecen que los entornos no productivos deben almacenar únicamente datos de producción anonimizados, seudonimizados o aleatorizados, protegiendo la integridad y confidencialidad de esos datos.



También contemplan que el uso de datos de producción sin transformar pueda permitirse como excepción acotada en ocasiones específicas y por periodos limitados, con gobernanza asociada.



Operativamente, el control no se mide solo por endurecimiento del entorno; se mide por el ciclo de vida del dataset: qué entra, cómo se transforma, quién lo usa, cuánto tiempo existe y qué evidencia queda.




Cómo implementar datos seguros en cualquier entorno sin frenar el delivery



La forma de escalar cumplimiento y agilidad es convertirlo en un servicio interno: entregar datasets útiles por finalidad, con salvaguardas incorporadas, automatizadas y auditables.



Clasificación y reglas de tratamiento



Empieza por una clasificación de datos accionable y automatizable:


  • Datos personales y categorías especiales (según contexto de negocio).

  • Datos financieros y operativos (por ejemplo: cuentas, pólizas, siniestros, pagos, pricing, fraude).

  • Identificadores y claves de relación (necesarios para consistencia).

  • Secretos operativos: credenciales, tokens, claves API, certificados (no deben propagarse).



A cada clase, asigna una regla por defecto de transformación:


  • Enmascaramiento para preservar formatos y utilidad operativa.

  • Seudonimización cuando necesitas consistencia y trazabilidad controlada.

  • Anonimización o aleatorización cuando el riesgo y el caso de uso lo exigen.


El criterio técnico es mantener utilidad minimizando reidentificación: consistencia por campo, preservación de formato y, cuando aplique, preservación de relaciones.



Publicación controlada de datasets por entorno y finalidad



Estandariza un flujo de publicación que produzca datasets listos para usar según destino:


  1. Selección de origen y alcance (tablas/campos, ventanas temporales, subconjuntos).
  2. Transformación aplicada con reglas versionadas.
  3. Validaciones automáticas: integridad referencial, constraints, distribuciones y checks de fuga.
  4. Publicación al entorno o destino (incluye proveedores si aplica).
  5. Caducidad y rotación: expiración automática del dataset y revocación de accesos.

Este enfoque reduce proliferación de copias y hace que la evidencia de control sea un subproducto del proceso.



Excepciones con aprobación, caducidad y trazabilidad



Cuando se requiera una excepción, conviértela en un procedimiento controlado:


  • Solicitud con motivo, alcance, plazo y entorno.

  • Aprobación por propietario del dato y Seguridad.

  • Controles reforzados: segregación, acceso mínimo, logging exhaustivo.

  • Expiración automática y evidencia de retirada o borrado.


Esto permite cumplir el requisito de excepción acotada y gobernada, en línea con los estándares técnicos.




Terceros TIC: control cuando el dato sale de tu perímetro



DORA refuerza la gestión del riesgo de terceros TIC y la necesidad de mantener un registro de acuerdos y dependencias TIC. Para equipos de datos, el punto crítico es asegurar que el control se mantiene cuando datasets se consumen en plataformas externas (cloud, servicios gestionados, consultoras o tooling).



En términos operativos, el control con terceros se sostiene con tres elementos:


  • Inventario y clasificación de destinos: qué proveedores acceden a datos, con qué finalidad y bajo qué contexto (entorno, proyecto, servicio).

  • Condiciones de salida: qué categorías de datos pueden compartirse, qué transformaciones son obligatorias y qué excepciones están permitidas.

  • Trazabilidad hacia el proveedor: capacidad de reconstruir qué dataset se entregó a qué tercero y bajo qué vigencia, para revocar y demostrar control ante auditoría.


Con esto, el registro contractual se complementa con evidencia técnica de uso real.




Evidencia auditable: qué artefactos debe poder enseñar una entidad



Diseña evidencia por defecto. Un paquete mínimo por ejecución (publicación/entrega) debería incluir:


  • Identificador del dataset y su versión (origen, alcance, timestamp).

  • Reglas aplicadas (políticas y versión de transformaciones).

  • Resultados de validaciones (integridad referencial, constraints, checks de fuga).

  • Destino y vigencia (entorno, permisos, caducidad).

  • Aprobaciones y justificación cuando aplique.

  • Evidencia de expiración, retirada y borrado verificable.


Este esquema reduce fricción: auditoría interna y revisiones de cumplimiento se apoyan en artefactos consistentes, trazables y reproducibles.




Cómo encaja Gigantics en un programa de resiliencia operativa digital



Gigantics centraliza la entrega gobernada de datasets a entornos internos y de terceros, aplicando políticas de transformación y trazabilidad para reducir exposición de datos sensibles sin perder utilidad operativa.


  • Políticas consistentes y versionadas de enmascaramiento, seudonimización, anonimización o aleatorización por dominio de datos.

  • Mantenimiento de la integridad referencial: preservación de formatos, consistencia entre campos y relaciones.

  • Evidencias por ejecución: registro de qué dataset se entregó, a qué entorno o tercero, qué reglas se aplicaron y cuál es su vigencia/caducidad, facilitando auditoría y control cuando el dato sale del perímetro.