I Industrie

Certificare ISO pentru magazine online in Romania

Ce standarde ISO ai nevoie pentru un magazin online: ISO 27001 pentru date, ISO 9001 pentru servicii. Cerinte ANPC, GDPR si PCI DSS, plus preturi 2026.

Elena Tudor
Elena Tudor
Specialist ISO 27001 & GDPR
7 min citire Publicat 4 mai 2026
Certificare ISO pentru magazine online in Romania

Un magazin online certificat ISO 27001 demonstreaza ca protejeaza datele clientilor. Daca proceseaza si plati cu carduri, in paralel are nevoie de conformitate PCI DSS.

Magazinele online romanesti opereaza intr-un context legal dublu: GDPR si Legea 365/2002 privind comertul electronic, fiecare cu propria autoritate de control. ISO 27001 nu inlocuieste niciuna dintre aceste obligatii, dar te ajuta sa le respecti sistematic.

Ce standarde ISO ai nevoie pentru un magazin online?

Pentru un magazin online, alegerea standardelor depinde de ce date prelucrezi, ce volume ai si cu ce parteneri lucrezi.

StandardCe protejeazaCand iti trebuie
ISO 27001Datele clientilor (cont, comanda, profilare)Mereu, daca pastrezi conturi sau procesezi comenzi
ISO 27701Confidentialitatea datelor personale (PIMS)Daca ai volum mare de date sau profilare avansata
ISO 9001Calitatea serviciului si suportul pentru clientiPentru relatii cu marketplace, parteneri B2B sau licitatii
ISO 22301Continuitatea afacerii la incident sau downtimePentru magazine cu venituri zilnice mari
PCI DSSDatele de card (numar, CVV, tranzactii)Cand stochezi sau procesezi date de card direct

Pentru majoritatea magazinelor online, pachetul de baza este ISO 27001 plus ISO 9001. ISO 27701 intra in discutie cand ai volum mare de date personale, iar PCI DSS este cerut de procesatorii de carduri.

De ce conteaza ISO 27001 intr-un magazin online?

Un magazin online proceseaza zilnic date personale: nume, adrese de livrare, telefon, email, istoric de comenzi, comportament de cumparare. Toate sunt date personale sub GDPR, iar protectia lor nu e optionala.

ISO 27001:2022 are 93 de controale in Anexa A. Pentru ecommerce, cele mai folosite controale sunt:

  • 5.12 clasificarea informatiei (separa datele clientilor de cele interne)
  • 5.34 confidentialitate si protectia datelor personale (aliniere GDPR)
  • 8.16 monitorizarea activitatilor (jurnalizare acces la baza de date a clientilor)
  • 8.24 utilizarea criptografiei (parole, plati, comunicari)
  • 8.28 dezvoltare sigura (cod aplicatie, integrari API)

Pentru magazinele care au integrari cu platforme de plata, marketplace sau parteneri logistici, controalele 5.19, 5.20 si 5.21 (securitatea relatiilor cu furnizorii) devin centrale. Tot acolo intra si verificarile periodice ale partenerilor care au acces la date.

Ce cere legea de la magazinele online in Romania?

In Romania, magazinele online au mai multe surse de obligatii legale, fiecare cu autoritate de control distincta.

Legea 365/2002 stabileste cadrul comertului electronic si transpune Directiva 2000/31/CE. Te obliga sa publici pe site datele firmei: denumirea, sediul, CUI, numarul din registrul comertului, datele de contact. Lipsa acestor informatii este una dintre cele mai frecvente sanctiuni ANPC.

OUG 34/2014 transpune drepturile consumatorilor in contractele la distanta. Cele mai importante cerinte:

  • Dreptul de retragere de 14 zile, fara motiv
  • Informarea clara despre pretul total, taxele si livrarea
  • Confirmarea comenzii prin email
  • Returnarea sumelor in 14 zile de la retragere

Aceste reguli sunt verificate de ANPC, care poate aplica amenzi pentru fiecare incalcare.

Regulamentul UE 679/2016 (GDPR) si Legea 190/2018 reglementeaza protectia datelor personale. ANSPDCP este autoritatea de control. In 2024, ANSPDCP a primit peste 7.000 de plangeri, multe legate de prelucrari online (newsletter trimise fara consimtamant, profilare, gestionare cookie-uri). Vezi ghidul ISO 27001 si GDPR pentru cerintele care se suprapun.

Pentru magazinele de dimensiuni medii sau mari, Legea 124/2025 (transpunere NIS2) poate adauga obligatii suplimentare daca operezi un marketplace cu piete online digitale. Detaliile sunt in ghidul ISO 27001 si NIS2.

Cand alegi ISO 27001, cand ISO 27701 si cand PCI DSS?

Daca ai un magazin sub 5.000 de comenzi pe luna, fara stocare de date de card si fara profilare avansata, ISO 27001 acopera nevoile de baza.

Daca ai 5.000 si pana la 50.000 de comenzi pe luna sau folosesti profilare, segmentare si automatizari de marketing pe baza datelor personale, adauga ISO 27701. Acopera explicit cerintele GDPR pentru un sistem de management al confidentialitatii.

Daca stochezi sau procesezi direct date de card (numar card, CVV), PCI DSS se aplica indiferent de dimensiune. Daca folosesti procesatori externi (PayU, Stripe, Netopia, EuPlatesc) prin redirect sau iframe, responsabilitatea PCI DSS sta in mare parte la procesator. Tu raspunzi pentru un chestionar de auto-evaluare minim.

Daca ai integrari B2B cu marketplace sau parteneri logistici care iti cer dovezi de securitate, ISO 27001 este de obicei cerinta contractuala minima.

Cat costa certificarea ISO pentru un magazin online?

PachetStandardePretReinnoire anuala
MinimISO 270011.500-2.500 lei + TVA800-1.500 lei
RecomandatISO 27001 + ISO 90012.800-4.000 lei + TVA1.400-2.000 lei
CompletISO 27001 + ISO 9001 + ISO 277013.500-5.000 lei + TVA1.800-2.500 lei

Certificatul este valabil 3 ani. In aceasta perioada ai doua audituri de supraveghere (la 12 si 24 de luni), incluse de obicei in costul initial. Vezi costurile detaliate.

Un exemplu concret: ai un SRL cu 25 de angajati care administreaza un magazin online de electronice. Volumul lunar este de 8.000 comenzi, cu o cifra de afaceri zilnica de 60.000 lei. Un marketplace mare unde ai cont de seller iti cere ISO 27001 ca o conditie pentru a continua integrarea cu API-ul lor. Termenul este in 30 de zile.

Varianta realista: pachet ISO 27001 plus ISO 9001, 2.800-4.000 lei + TVA, certificate emise in 5-7 zile lucratoare. Pregatesti documentatia minima (politica de securitate, procedura de gestionare a incidentelor, registrul de prelucrari GDPR) in 2 saptamani, depui dosarul, iar certificatele ajung inainte de termenul fixat de marketplace. Costul de oportunitate al pierderii integrarii ar fi mult mai mare decat investitia in certificare.

Cum obtii certificarea pentru magazinul tau online?

Pentru un magazin online, etapele sunt:

  1. Stabilesti standardele relevante (vezi tabelul de la inceput)
  2. Faci o evaluare a riscurilor pe partea de informatie (cerinta ISO 27001)
  3. Pregatesti documentatia minima: politica de securitate, declaratie de aplicabilitate, registru de prelucrari GDPR
  4. Verifici controalele Anexei A relevante pentru ecommerce (criptare, jurnalizare, control acces)
  5. Un organism de certificare acreditat verifica documentatia si emite certificatul
  6. Anual urmeaza un audit de supraveghere pentru pastrarea valabilitatii

Pentru un magazin cu activitate consolidata, pregatirea documentatiei dureaza in medie 1-3 saptamani. Auditul si emiterea certificatului se finalizeaza in cateva zile lucratoare.

Daca ai deja un sistem GDPR functional, mare parte din documentatie este gata. ISO 27001 si GDPR au cerinte care se suprapun semnificativ, mai ales pe partea de evaluare a riscurilor, control acces si jurnalizare. Vezi si pagina pentru retail, unde se discuta scenariile in care un magazin combina ecommerce cu locatii fizice.

Intrebari frecvente

Sunt obligat prin lege sa am ISO 27001 ca magazin online?

Nu. ISO 27001 este voluntar. Obligatoriu prin lege sunt GDPR (Regulamentul 679/2016), Legea 365/2002 si OUG 34/2014. ISO 27001 este instrumentul prin care demonstrezi sistematic ca le respecti. Multe marketplace si banci il cer ca cerinta contractuala.

Cum interactioneaza ANPC si ANSPDCP intr-o sesizare?

ANPC verifica respectarea drepturilor consumatorilor (retragere 14 zile, informatii pe site, livrare conforma). ANSPDCP verifica prelucrarea datelor personale (consimtamant, scop, masuri de securitate). O singura situatie poate genera control de la ambele autoritati. Un sistem ISO 27001 ajuta in fata ANSPDCP, dar nu te scuteste de obligatiile fata de ANPC.

Daca folosesc Stripe sau Netopia, mai am nevoie de PCI DSS?

In majoritatea cazurilor, integrarea prin redirect sau iframe muta cerintele PCI DSS pe procesator. Tu raspunzi doar pentru un chestionar minim de auto-evaluare. Daca insa folosesti integrare directa cu campuri de card pe site-ul tau, intri intr-un nivel PCI DSS mai strict si responsabilitatea este a ta. Verifica cu procesatorul ce nivel se aplica magazinului tau.

Merita ISO 27701 daca am deja ISO 27001?

Daca ai volum mare de date personale, profilare automata, segmentare de marketing si activitate cross-border, ISO 27701 aduce un plus clar fata de ISO 27001 singur. Pentru magazine mici cu volume scazute si fara profilare, ISO 27001 acopera nevoile.

Elena Tudor
Scris de
Elena Tudor
Specialist ISO 27001 & GDPR

Elena este specializată în securitatea informației și protecția datelor. Ajută companiile IT și fintech să obțină certificarea ISO 27001 și să demonstreze conformitatea GDPR.

Vezi toate articolele

Citește și mai departe

Toate industriile →
Ghid

ISO 27001 si GDPR in Romania: ce acopera si ce nu

ISO 27001 acopera o parte din cerintele GDPR, dar nu pe toate. Vezi tabelul de mapare, lacunele si cum te ajuta Legea 190/2018.

Citește →
Ghid

Ce inseamna ISO 27701?

ISO 27701 este standardul pentru protectia datelor personale (PIMS). Afla ce certifica, cum se leaga de GDPR si ce s-a schimbat in 2025.

Citește →
Ghid

ISO 27001 și Directiva NIS2 în România: ce acoperă și ce lipsește

ISO 27001 acoperă ~70% din cerințele NIS2. Vezi tabel de mapare, analiza lacunelor și costul certificării vs amenda de 10M EUR.

Citește →
Industrie

Certificare ISO pentru retail

Ce standarde ISO ai nevoie in retail? Ghid pentru magazine, lanturi de magazine si comert online cu standarde, costuri si cerinte legale.

Citește →