By George Curta · Last updated 2026-05-142026-05-14

DORA & Pengurusan Vendor ICT: Nilai ISO 27001

DORA mewajibkan semakan tahunan bagi semua pembekal teknologi utama. ISO 27001 memotong jam semakan daripada 40-80 jam kepada beberapa jam sahaja.

George CurtaMay 14, 20268 min baca

DORA ICT vendor managementISO 27001 DORA compliancefinancial institution vendor riskannual vendor assessmentMiFID II vendor oversight

Apa yang DORA Perlukan

DORA menjadi undang-undang EU pada Januari 2025. Bank, syarikat insurans, firma pelaburan, dan firma pembayaran kini mesti mengurus risiko daripada setiap pembekal teknologi yang mereka gunakan. Tiga peraturan menonjol.

Terma kontrak mandatori (Artikel 30). Setiap kontrak dengan pembekal teknologi mesti meliputi empat perkara: hak audit, amaran insiden, pelan keluar, dan sasaran prestasi. Fasal-fasal ini tidak boleh diabaikan.

Semakan tahunan (Artikel 28). Firma mesti menyemak setiap pembekal utama sekurang-kurangnya sekali setahun. Pembekal adalah "utama" jika kegagalannya akan menghentikan kerja normal. Alat penanoniman yang digunakan dalam tugasan pematuhan termasuk dalam kumpulan ini.

Daftar pembekal (Artikel 28(3)). Firma mesti mengekalkan senarai langsung semua kontrak pihak ketiga utama. Senarai itu mesti mengandungi rekod keselamatan bagi setiap satu.

Menjalankan semakan tahunan bagi berpuluh-puluh pembekal memerlukan masa. Satu semakan khusus - dilakukan dari awal - dianggarkan mengambil masa 40-80 jam setiap pembekal. Bank di Belanda dengan 50 pembekal utama menghadapi sehingga 4,000 jam kerja semakan setiap tahun. Itu bersamaan dengan dua kakitangan sepenuh masa yang bekerja pada semakan sahaja.

ISO 27001 Mengurangkan Jam Semakan

Pensijilan ISO 27001 memberikan firma laluan yang lebih pantas melalui peraturan semakan tahunan DORA. Badan pensijilan menjalankan audit semakan setiap tahun dan audit penuh setiap tiga tahun. Sijil mempunyai tarikh tamat. Ia kekal sah hanya selagi semakan tahunan lulus.

Di bawah peraturan semakan tahunan DORA, firma boleh menarik sijil ISO 27001 semasa pembekal sekali setahun dan menyemak tarikhnya. Tarikh sah bermakna badan audit luar telah menyemak 93 kawalan keselamatan pembekal dalam dua belas bulan yang lalu. Firma merekodkan ini dalam daftar pembekal. Semakan selesai.

Keuntungan masa adalah nyata. Bank di Belanda yang menyemak alat penanoniman bersijil menghabiskan beberapa jam untuk semakan. Semakan yang sama dilakukan dari awal mengambil masa berminggu-minggu. Merentas 20 pihak ketiga yang bersijil, penjimatan tahunan boleh mencapai 1,200 jam. Masa itu boleh digunakan untuk kerja lain.

Mengapa Alat Privasi Termasuk dalam Skop

Alat privasi dan penanoniman termasuk dalam DORA apabila firma menggunakannya untuk mengendalikan data pelanggan, memenuhi peraturan GDPR, atau memproses fail KYC. Jika alat itu tidak berfungsi dan firma tidak dapat menghasilkan output selamat GDPR, alat itu adalah pihak ketiga utama di bawah DORA. Ia mesti disemak setiap tahun.

Panduan pematuhan GDPR kami menerangkan peraturan minimisasi data. Lihat juga nilai pematuhan hiliran ISO 27001 dan jalan pintas penilaian vendor ISO 27001 untuk maklumat lanjut tentang cara pensijilan mengurangkan kerja pematuhan.

Sumber

Artikel Berkaitan

Keselamatan SMB

Sedia untuk melindungi data anda?

Mulakan pengenalan PII dengan 285+ jenis entiti dalam 48 bahasa.

Mulakan Percubaan Percuma Lihat Ciri-ciri

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

We follow these rules

GDPR (EU 2016/679).
ISO/IEC 27001:2022.
NIS2 (EU 2022/2555).
HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

We never sell your information to third parties.
We never train models on what you upload.
We never keep your work after you delete it.
We never share keys with any outside firm.
We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.

DORA & Pengurusan Vendor ICT: Nilai ISO 27001

Apa yang DORA Perlukan

ISO 27001 Mengurangkan Jam Semakan

Mengapa Alat Privasi Termasuk dalam Skop

Sumber

Artikel Berkaitan

Cut Privacy Training: Weeks to Hours

MSPs: Standardize Anonymization

Transparent Pricing in Privacy Software

Sedia untuk melindungi data anda?

DORA & Pengurusan Vendor ICT: Nilai ISO 27001

Apa yang DORA Perlukan

ISO 27001 Mengurangkan Jam Semakan

Mengapa Alat Privasi Termasuk dalam Skop

Sumber

Artikel Berkaitan

Cut Privacy Training: Weeks to Hours

MSPs: Standardize Anonymization

Transparent Pricing in Privacy Software

Sedia untuk melindungi data anda?

About this page

Related reading

We follow these rules

Our promise

Where we run

Need help?

How we test

What we never do

Plans in plain words

Who built this

Where to start

How the parts fit

Words from our team

Common questions we hear

A short tour of the workflow