DORA llegó en enero de 2025 y trajo un requisito que se cuela en cada conversación con bancos: «seis meses después, demostrad qué pasó». El "qué pasó" tiene cinco dimensiones que el regulador puede preguntar.
Las cinco dimensiones
- Quién · el actor exacto, no la organización. Si fue un agente, qué sesión y qué humano lo autorizó.
- Qué · el dato concreto leído. Granularidad mínima: fila, no tabla.
- Cuándo · timestamp con precisión de milisegundo. UTC, no local time.
- Con qué autoridad · la política vigente en ese momento, no la actual.
- Cómo se decidió · el path de decisión, no solo el resultado allow/deny.
Las cinco juntas son raras. Las tres primeras se ven a menudo. Las dos últimas son donde los data lakes se rompen.
Por qué el "con qué autoridad" rompe
La política cambia. Cada cambio crea una versión. Cuando el regulador pregunta «mostrad las decisiones de abril», necesitas saber qué política estaba activa en abril, no la versión actual.
La mayoría de stacks guardan la política activa, no el histórico de versiones. Eso te deja contestando: «era la 14, creo». No pasa el examen.
Qué hace Dome diferente
El policy_id se guarda con cada decisión, no como referencia a un estado mutable. Es inmutable y resolvible — si la política 14 ya no existe, el log sigue diciendo qué era cuando se aplicó.
El Compliance Blueprint tiene el mapeo articulo-por-articulo.