AURALL blog
Sistemas de Grabación de Voz y Cumplimiento de la Normativa DORA en Entidades Financieras
Abril 2025
La entrada en vigor del Reglamento DORA (Digital Operational Resilience Act) marca un punto de inflexión en la gestión de riesgos TIC en el sector financiero.
Desde el 17 de enero de 2025, las entidades estarán obligadas a asegurar la resiliencia operativa de todos sus sistemas críticos, incluyendo los de grabación de voz, habitualmente utilizados para registrar órdenes de ejecución, comunicaciones de trading y otras interacciones sensibles.
Importancia de la Grabación de Voz en el Marco de DORA
La grabación de voz, además de responder a normativas como MiFID II, pasa a ser un componente clave del ecosistema tecnológico supervisado por DORA.
La normativa exige que estos sistemas sean seguros, disponibles, trazables y capaces de resistir y recuperarse ante incidentes tecnológicos o ciberataques.
Seguridad y Confidencialidad
Las grabaciones deben cifrarse, con control de acceso restringido a personal autorizado. Se recomienda el uso de autenticación multifactor y mecanismos de integridad (como huellas digitales) para prevenir manipulaciones.
Alta Disponibilidad y Resiliencia
El sistema debe operar sin interrupciones, incorporando redundancia, backups automáticos y planes de continuidad con objetivos de recuperación bien definidos (RTO/RPO).
Supervisión y Monitorización Continua
Es fundamental monitorear en tiempo real el correcto funcionamiento del sistema, detectar fallos, accesos no autorizados o pérdida de calidad, y generar alertas e informes automatizados para la gestión de incidentes.
Trazabilidad y Registros Auditables
Cada acceso, copia o eliminación debe quedar registrada con fecha, hora y usuario responsable. Esta trazabilidad es indispensable para auditorías internas, investigaciones o notificaciones regulatorias.
Gestión del Ciclo de Vida de Datos
Las grabaciones deben almacenarse conforme a los periodos normativos vigentes (ej. 5 años por MiFID II), asegurando su inalterabilidad y destrucción segura al finalizar el plazo.
Pruebas Periódicas y Mantenimiento Preventivo
DORA exige pruebas regulares de continuidad, recuperación de datos y análisis de seguridad. El sistema debe someterse a actualizaciones periódicas y revisiones estructuradas para garantizar su operatividad frente a amenazas cambiantes.
AURALL | Void Sistemas
Implicaciones para Proveedores y Entidades
Si la solución de grabación es provista por un tercero (local o en la nube), DORA impone a las entidades la responsabilidad de evaluar su seguridad, continuidad y cumplimiento. El proveedor debe ofrecer garantías sobre su infraestructura, permitir auditorías, participar en simulacros y disponer de acuerdos de nivel de servicio alineados con los estándares del sector financiero.
Consecuencias del Incumplimiento
Las sanciones por incumplimiento de DORA pueden alcanzar el 2% de la facturación anual de la entidad, incluir multas personales a directivos y medidas administrativas severas.
La falta de conformidad en sistemas de grabación puede implicar además la pérdida de confianza de clientes y supervisores.
La grabación de voz ya no puede considerarse una función auxiliar o meramente documental. Bajo DORA, se convierte en una función crítica cuya seguridad, continuidad y trazabilidad deben estar garantizadas. Prepararse para esta realidad implica revisar el diseño, los controles y la gobernanza tecnológica del sistema de grabación, integrándolo plenamente en el programa de resiliencia operativa digital de la entidad.
CONTACTA CON NOSOTROS
© 2025 VOID SISTEMAS S.L. Todos los derechos reservados
