03.06.2026
Bezpieczeństwo systemów contact center w erze DORA i KNF – jak Altar wyprzedza regulacje
Od 17 stycznia 2025 roku rozporządzenie DORA (Digital Operational Resilience Act) obowiązuje wszystkie instytucje finansowe działające na terenie Unii Europejskiej. Jednocześnie Komisja Nadzoru Finansowego systematycznie zaostrza wymagania wobec dostawców oprogramowania obsługującego krytyczne procesy bankowe i ubezpieczeniowe. Audytorzy bezpieczeństwa IT mają coraz dłuższe listy kontrolne, a konsekwencje niedostosowania – od kar finansowych po utratę licencji – są dziś realne. W tym kontekście bezpieczeństwo contact center w obliczu DORA staje się kluczowym testem dla każdego dostawcy oprogramowania – i jego klientów.
W tym kontekście jedno pytanie staje się kluczowe dla każdej organizacji z dojrzałym contact center: czy Twój dostawca oprogramowania zdążył?
Altar zdążył i w tym artykule wyjaśniamy dokładnie, co to oznacza w praktyce.
Czym jest architektura Zero-Trust i dlaczego ma znaczenie dla contact center?
Zero-Trust to model bezpieczeństwa oparty na założeniu, że żaden użytkownik, urządzenie ani proces -nawet wewnątrz sieci firmowej – nie jest automatycznie zaufany. Każde żądanie dostępu musi być weryfikowane, każda sesja monitorowana, każda operacja rejestrowana.
Dla systemów contact center, które przetwarzają dane osobowe klientów, nagrania rozmów, historię transakcji i dokumenty reklamacyjne, architektura Zero-Trust nie jest opcją – jest wymogiem regulacyjnym. DORA wprost nakłada obowiązek wdrożenia mechanizmów zarządzania ryzykiem ICT, w tym kontroli dostępu, ciągłości działania i możliwości audytu operacji.
Najnowsze wersje systemów Altar – AI Contact Center, AI Case Management, AI Quality Management, AI Support Assistant i SARA – są budowane zgodnie z tym modelem. Poniżej trzy konkretne mechanizmy, które to potwierdzają.
Monitoring i rejestracja stacji konsultantów (Altar Screen Recording)
Co to jest?
Altar Screen Recording to mechanizm umożliwiający nagrywanie wideo ekranów konsultantów contact center – zgodnie z harmonogramem, losowo (procentowo dla wybranej usługi) lub uruchamiany ręcznie przez supervisora na żądanie. System obsługuje również podgląd na żywo bez wiedzy agenta.
Dlaczego to ważne z perspektywy compliance?
Z perspektywy KNF i DORA mechanizm ten realizuje trzy funkcje jednocześnie:
Pełny ślad audytowy. Każda operacja wykonana przez konsultanta jest rejestrowana wizualnie. W przypadku kontroli KNF lub postępowania wyjaśniającego organizacja dysponuje niepodważalnym materiałem dowodowym – nie logami systemowymi, które można kwestionować, ale nagraniem wideo sesji roboczej.
Materiał dowodowy w sporach reklamacyjnych. Instytucje finansowe i ubezpieczeniowe regularnie mierzą się ze sporami, w których klient kwestionuje przebieg rozmowy lub działania konsultanta. Nagranie ekranu eliminuje pole do interpretacji i skraca czas rozpatrywania sprawy.
Warstwa Data Loss Prevention (DLP). Rejestracja ekranów to skuteczna bariera przed nieautoryzowanym kopiowaniem, fotografowaniem lub przesyłaniem danych wrażliwych przez pracowników. W środowiskach obsługujących dane finansowe klientów jest to element wymagany przez polityki bezpieczeństwa klasy enterprise.
Zewnętrzna archiwizacja i retencja danych – fundament Disaster Recovery zgodnego z DORA
Co to jest?
Altar wprowadził mechanizm automatycznego, cyklicznego eksportu nagrań rozmów i danych telemetrycznych na zewnętrzny zasób sieciowy – poza główną infrastrukturą systemową. Proces odbywa się bez ingerencji operatora, według zdefiniowanego harmonogramu.
Dlaczego to ważne z perspektywy DORA?
Artykuł 11 rozporządzenia DORA nakłada na instytucje finansowe obowiązek posiadania planów ciągłości działania (Business Continuity Plan) oraz procedur odtwarzania po awarii (Disaster Recovery). Kluczowym wymogiem jest niezaprzeczalność operacji – możliwość udowodnienia, że dana transakcja lub interakcja miała miejsce, nawet w scenariuszu poważnej awarii infrastruktury.
Automatyczna archiwizacja nagrań i telemetrii poza głównym środowiskiem realizuje ten wymóg w sposób procesowy, a nie deklaratywny. Organizacja nie musi polegać na ręcznych procedurach backupu -system robi to automatycznie, a logi archiwizacji stanowią dowód dla audytora.
Dla instytucji finansowych posiadających wewnętrzne polityki BCM jest to element, który bezpośrednio wpisuje się w dokumentację wymaganą przez audytorów KNF.
Modernizacja stosu technologicznego – eliminacja podatności CVE i obniżenie TCO
Co to jest?
Altar przeprowadził kompleksowy upgrade architektury technicznej swoich systemów: przejście na Java 21 LTS (z implementacją wątków wirtualnych), Spring Boot 3.4 oraz Angular 18. Dotyczy to wszystkich produktów z portfolio – AI Contact Center, AI Case Management, AI Quality Management, AI Support Assistant i SARA.
Dlaczego to ważne z perspektywy bezpieczeństwa?
Eliminacja znanych podatności (CVE). Każda wersja oprogramowania zawiera listę znanych podatności bezpieczeństwa (Common Vulnerabilities and Exposures). Starsze wersje Java i frameworków frontendowych zawierają luki, dla których istnieją publicznie dostępne exploity. Przejście na aktualne, wspierane wersje LTS eliminuje te wektory ataku bez konieczności stosowania obejść.
Wyższa stabilność platformy. Java 21 wprowadza wątki wirtualne (Project Loom), które radykalnie zmieniają sposób obsługi współbieżnych połączeń. W środowisku contact center, gdzie system obsługuje jednocześnie setki lub tysiące sesji agentów, oznacza to istotne ograniczenie ryzyka przeciążeń i przestojów – co bezpośrednio przekłada się na spełnienie wymogów DORA w zakresie dostępności systemów krytycznych.
Niższy koszt utrzymania infrastruktury (TCO). Wątki wirtualne przy tej samej liczbie obsługiwanych połączeń zużywają znacząco mniej RAM i CPU niż klasyczne wątki systemowe. Dla organizacji utrzymujących własną infrastrukturę on-premise oznacza to realne oszczędności operacyjne przy niezmienionej przepustowości systemu. Dla organizacji korzystających z modelu cloud – niższe rachunki za zasoby obliczeniowe.
Dlaczego Altar podejmuje te decyzje z wyprzedzeniem?
Altar działa na rynku od 1991 roku. Przez 35 lat firma obsługuje instytucje finansowe, ubezpieczycieli i operatorów telekomunikacyjnych – środowiska, w których błąd w systemie informatycznym nie jest incydentem operacyjnym, lecz zdarzeniem regulacyjnym z realnymi konsekwencjami prawnymi i finansowymi.
To doświadczenie przekłada się na sposób myślenia o bezpieczeństwie. Zmiany wprowadzone w najnowszych wersjach systemów Altar nie są reakcją na wymogi DORA – są efektem wieloletniego rozumienia, co stoi za audytem KNF lub wezwaniem inspektora UODO.
Kilka faktów, które warto znać:
- 9 referencji bankowych z udokumentowanymi latami współpracy (BIK – 17 lat, Bank Pocztowy – 14 lat, Generali – 9+ lat, BNP Paribas – 7 lat, Prudential – 7 lat).
- Zerowa liczba spraw sądowych w 35-letniej historii firmy.
- Kilkadziesiąt audytów KNF u klientów regulowanych – zaliczonych bez zastrzeżeń.
- 100% polskiego kapitału prywatnego – brak ekstraterytorialnej jurysdykcji, brak ryzyka CLOUD Act.
- Kod źródłowy w escrow polskiego banku – gwarancja ciągłości niezależna od kondycji dostawcy.
- On-premise lub Cloud w polskim data center – pełna kontrola nad lokalizacją danych wrażliwych.
Suwerenność technologiczna jako element compliance – nie marketing, lecz fakt regulacyjny
W erze DORA i CLOUD Act wybór dostawcy oprogramowania to decyzja o charakterze regulacyjnym, nie tylko technologicznym.
Instytucja finansowa korzystająca z oprogramowania dostawcy podlegającego jurysdykcji państwa trzeciego (USA, Chiny) musi liczyć się z ryzykiem, że dane przetwarzane przez ten system mogą być dostępne dla organów tego państwa bez wiedzy i zgody klienta. CLOUD Act w wersji aktualnej daje służbom federalnym USA możliwość żądania dostępu do danych przechowywanych przez amerykańskie firmy technologiczne – niezależnie od lokalizacji serwerów.
Altar jako 100% polska spółka prywatna z kodem źródłowym w escrow polskiego banku i opcją wdrożenia on-premise w infrastrukturze klienta eliminuje to ryzyko strukturalnie. Nie jako deklarację marketingową, lecz jako fakt prawny i techniczny weryfikowalny przez audytora.
Bezpieczeństwo contact center a DORA – lista kontrolna dla compliance i IT
Jeśli Twoja organizacja przechodzi obecnie lub planuje audyt DORA/KNF i korzysta z systemu contact center, poniższa lista kontrolna pomoże ocenić gotowość:
| Wymóg | Mechanizm Altar |
|---|---|
| Pełny ślad audytowy operacji agentów | Screen Recording (harmonogram / losowo / on-demand) |
| Materiał dowodowy w sporach reklamacyjnych | Nagrania wideo sesji roboczych konsultantów |
| Data Loss Prevention | Rejestracja ekranów jako warstwa DLP |
| Ciągłość działania (DORA Art. 11) | Automatyczny backup nagrań i telemetrii na zewnętrzny zasób |
| Niezaprzeczalność operacji | Archiwizacja z logiem dla audytora |
| Eliminacja podatności CVE | Java 21 LTS + Spring Boot 3.4 + Angular 18 |
| Dostępność systemów krytycznych | Wątki wirtualne — wyższa stabilność przy obciążeniu |
| Suwerenność danych | 100% PL kapitał, on-premise, kod w escrow |
Chcesz wiedzieć, jak Twoja organizacja stoi wobec wymogów DORA i KNF?
Jeśli temat bezpieczeństwa systemów contact center jest dziś na Waszej agendzie – chętnie porozmawiamy. Nasi eksperci mają wieloletnie doświadczenie w środowiskach regulowanych i mogą pomóc ocenić gotowość Waszej organizacji.
Skontaktuj się z nami: info@altar.com.pl | +48 41 368 35 65 | altar.com.pl
Altar Sp. z o.o. – polski producent platform technologicznych dla obsługi klienta, rozliczania odbiorców masowych i medycyny. 35 lat na rynku, 100% polski kapitał, 52 klientów enterprise w 16 branżach.
Czytaj więcej
