Ai un fintech cu 18 angajati care proceseaza plati prin API pentru doua banci romanesti. Una dintre banci iti cere ISO 27001 inainte sa reinnoiasca contractul. Termenul e in 45 de zile. Fara certificat, pierzi un client care iti aduce 40% din venituri.
ISO 27001 este standardul care certifica modul in care protejezi informatiile. Pentru fintech-uri si banci, e punctul de plecare in orice discutie despre securitate, parteneriate sau conformitate regulatorie.
De ce bancile cer ISO 27001 de la fintech-uri
Bancile nu au de ales. Regulamentul DORA (UE 2022/2554), aplicabil din 17 ianuarie 2025, le obliga sa evalueze riscurile de la furnizorii ICT terti. Un fintech care proceseaza plati, ofera scoring sau furnizeaza date prin API e exact tipul de furnizor pe care DORA il vizeaza.
Concret, bancile trebuie sa verifice ca furnizorii lor au politici de securitate documentate, controale de acces, proceduri de raspuns la incidente si planuri de continuitate. ISO 27001 acopera toate aceste cerinte intr-un singur cadru auditat extern.
In Romania, Regulamentul BNR nr. 2/2020 adauga un strat suplimentar: prestatorii de servicii de plata trebuie sa faca gap analysis pe securitatea informatiei si sa raporteze anual catre BNR (pana la 31 martie). Un fintech cu ISO 27001 are deja structura necesara pentru aceste raportari.
ISO 27001 e obligatoriu pentru fintech-uri?
Legal, nu. Practic, da. Fara ISO 27001, bancile nu te accepta ca furnizor ICT sub DORA. In open banking (PSD2), unde fintech-urile acceseaza conturi bancare prin API ca furnizori AISP sau PISP, securitatea datelor nu e optionala. ISO 27001 e dovada ca ai controale reale, nu doar o declaratie pe hartie.
Ce controale ISO 27001 conteaza cel mai mult in fintech si banking
ISO 27001:2022 are 93 de controale in Anexa A. Nu trebuie sa le implementezi pe toate. Faci o evaluare a riscurilor si selectezi ce se aplica prin Declaratia de Aplicabilitate (SoA). Pentru fintech-uri si banci, cele mai relevante sunt:
- Securitatea API-urilor si a integrarilor cu sisteme bancare
- Criptarea datelor de tranzactii in tranzit si in repaus
- Controlul accesului la date financiare si KYC
- Proceduri de gestionare a incidentelor de securitate
- Jurnalizarea si monitorizarea accesului la sisteme
- Managementul vulnerabilitatilor si testare periodica
Versiunea din 2022 a adaugat controale noi pentru cloud si threat intelligence, ambele relevante pentru fintech-uri care ruleaza pe AWS, Azure sau GCP.
Ce trebuie sa faci diferit in functie de marimea firmei
Daca ai sub 20 de angajati (fintech sau neobank la inceput), evaluarea riscurilor e mai simpla, documentatia mai scurta, iar auditul se face in 1-2 zile. Controlul accesului inseamna sa ai reguli clare pentru cine acceseaza ce in Jira, GitHub si mediul de productie.
Daca ai 50-200 de angajati (banca medie, IFN sau fintech in crestere), ai nevoie de un responsabil de securitate dedicat, proceduri formale de onboarding/offboarding si evaluari periodice ale furnizorilor. Auditul dureaza 3-5 zile.
Daca ai peste 200 de angajati (banca mare), ISO 27001 e de obicei parte dintr-un program mai larg care include si ISO 22301 (continuitatea afacerii) si PCI-DSS (pentru procesarea cardurilor). Bugetul e diferit: organismele traditionale percep intre 5.000 si 15.000 EUR pentru audit on-site in sectorul financiar.
Cum se suprapun DORA, NIS2 si ISO 27001
Legea 124/2025 transpune Directiva NIS2 in Romania si clasifica sectorul bancar ca entitati esentiale. Amenzile ajung la 10.000.000 EUR sau 2% din cifra de afaceri. DORA e mai specific: cere raportarea incidentelor ICT in 4 ore de la clasificare si testarea rezilientei digitale.
ISO 27001 acopera o parte din ambele, dar nu totul. Ce ramane descoperit:
- Raportarea rapida a incidentelor (DORA cere 4 ore, ISO 27001 nu impune un termen fix)
- Testarea rezilientei operationale digitale (penetration testing conform scenariilor DORA)
- Evaluarea riscurilor din lantul de aprovizionare ICT (nu doar intern)
Citeste ghidul complet ISO 27001 si NIS2 pentru detalii.
Cat costa ISO 27001 pentru un fintech?
| Pachet | Pret | Reinnoire anuala |
|---|---|---|
| ISO 27001 (1 standard) | 1.500-2.500 lei + TVA | 800-1.500 lei |
| ISO 27001 + ISO 9001 (2 standarde) | 2.800-4.000 lei + TVA | 1.400-2.000 lei |
Pentru fintech-ul din exemplul de la inceput (18 angajati, partener bancar cu termen de 45 de zile), varianta cea mai rapida e certificarea online. Procesul se finalizeaza in cateva zile lucratoare, suficient pentru a respecta termenul contractual.
De unde incepi
Daca esti fintech si o banca iti cere ISO 27001, fa trei lucruri inainte de orice: documenteaza cum protejezi datele la care ai acces, scrie o procedura de raspuns la incidente si stabileste cine are acces la ce sisteme. Cu aceste trei elemente, esti pregatit pentru audit.
Daca esti banca si vrei sa evaluezi furnizorii ICT conform DORA, cere-le ISO 27001 ca cerinta minima in contractele cu fintech-uri. E standardul pe care il recunosc si regulatorii, si partenerii internationali.
Pentru o vedere de ansamblu a tuturor certificarilor ISO in sectorul financiar, citeste ghidul pentru servicii financiare.