¿Cumple el sistema de grabación de llamadas de su empresa con DORA?

Seguridad y Normativas · 24-06-2025

Guía práctica para responsables de cumplimiento, TI y seguridad operativa
El Reglamento DORA (Digital Operational Resilience Act) establece un marco obligatorio para que las entidades financieras y sus proveedores TIC garanticen su resiliencia digital ante incidentes tecnológicos. A partir del 17 de enero de 2025, será exigible en toda la Unión Europea para bancos, aseguradoras, fintechs, entidades de pago, gestoras y todos los actores tecnológicos que les prestan servicios esenciales.
Dentro del ecosistema digital, los sistemas de grabación de comunicaciones (llamadas, radio, VoIP) representan una infraestructura crítica que almacena instrucciones operativas, autorizaciones verbales, datos personales y trazabilidad regulada. Estos sistemas no pueden quedar al margen de las estrategias de cumplimiento y deben ser evaluados con criterios estrictos de seguridad, continuidad y gobernanza.

✔ Evaluación de cumplimiento DORA para sistemas de grabación
La siguiente guía permite a las organizaciones identificar el nivel de adecuación normativa de su sistema de grabación frente a los requisitos operativos y técnicos establecidos por DORA. 

1. Resiliencia operativa y continuidad
Existencia de copias de seguridad cifradas y pruebas documentadas de restauración.
Inclusión del sistema en un plan de recuperación ante desastres (DRP) activo.
Despliegue con mecanismos de alta disponibilidad, replicación o failover automático.
Realización de simulacros regulares para verificar la continuidad de las grabaciones.

💡 DORA requiere evidencias de que la resiliencia no es teórica, sino operativa.

2. Seguridad de la información
Cifrado robusto de las grabaciones tanto en tránsito como en reposo.
Implementación de control de accesos basado en roles (RBAC).
Protección mediante autenticación multifactor (MFA) para perfiles críticos.
Conservación de logs inmutables y auditables de toda acción sobre las grabaciones.

📌 El sistema debe cumplir los mismos estándares de seguridad que los datos financieros o personales.

3. Supervisión y detección
Integración con plataformas de monitorización o SIEM para detección de incidentes.
Generación de alertas proactivas ante accesos fuera de patrón o comportamientos anómalos.
Capacidad de reconstrucción forense del uso, modificación o extracción de grabaciones.

🎯 La supervisión continua es esencial para responder a tiempo y minimizar impactos.

4. Gobernanza, terceros y documentación
Existencia de contratos con proveedores que incluyan cláusulas de ciberseguridad, continuidad y derecho de auditoría.
Disponibilidad de certificaciones y pruebas de cumplimiento por parte de los fabricantes o integradores.
Inclusión del sistema en el mapa de activos críticos de la organización.
Políticas formales sobre retención, destrucción, acceso y custodia de grabaciones.

🔍 La trazabilidad documental es tan importante como la protección técnica.

🟢 Soluciones alineadas desde el diseño: el caso de Aurall
Mientras algunas organizaciones se enfrentan a proyectos complejos de adecuación sobre sistemas heredados, existen soluciones que ya incorporan de forma estructural los requisitos de DORA. Una de ellas es Aurall, una plataforma modular de grabación y análisis de comunicaciones que cumple con los estándares exigidos tanto en entornos cloud como on-premise.

Aurall permite a las organizaciones:

• Asegurar el cifrado extremo a extremo de las grabaciones, con claves gestionadas por el cliente.
• Implementar control de accesos granulares, autenticación multifactor y trazabilidad inmutable.
• Integrar con sistemas de supervisión y respuesta , generando alertas ante accesos indebidos o comportamientos inusuales.
• Adaptar las políticas de retención, conservación y custodia conforme a requisitos normativos o internos.
• Desplegar la solución en entornos cloud seguros o en infraestructura local , manteniendo en ambos casos capacidades de continuidad, recuperación y auditoría.

Asegurar el cifrado extremo a extremo de las grabaciones, con claves gestionadas por el cliente.
Implementar control de accesos granulares, autenticación multifactor y trazabilidad inmutable.
Integrar con sistemas de supervisión y respuesta , generando alertas ante accesos indebidos o comportamientos inusuales.
Adaptar las políticas de retención, conservación y custodia conforme a requisitos normativos o internos.
Desplegar la solución en entornos cloud seguros o en infraestructura local , manteniendo en ambos casos capacidades de continuidad, recuperación y auditoría.

🛡️ Gracias a esta versatilidad y enfoque regulatorio, las organizaciones que operan con Aurall cuentan ya con una base técnica y organizativa sólida para cumplir con DORA sin necesidad de desarrollos adicionales.

🧭 Niveles de preparación ante DORA

DORA redefine el concepto de resiliencia digital en el sector financiero. Ya no se trata únicamente de proteger infraestructuras, sino de garantizar su continuidad, trazabilidad y capacidad de respuesta documentada. El sistema de grabación, como fuente de información estratégica y evidencia regulatoria, debe cumplir con estos principios al mismo nivel que los sistemas financieros, de core bancario o de protección de datos.
Soluciones como Aurall, con un diseño alineado a los requisitos normativos y una arquitectura flexible (cloud u on-premise), permiten a las organizaciones avanzar en el cumplimiento de DORA de forma eficiente, segura y demostrable.

Para entidades sujetas a supervisión (CNMV, Banco de España, EBA, ESMA), disponer de un sistema como Aurall supone reducir riesgos de incumplimiento, simplificar auditorías y fortalecer la confianza institucional.