В прошлом году один из наших клиентов прислал нам опросник от своей службы безопасности на сорок четыре страницы. Среди прочего там был вопрос: "Имеет ли производитель программного обеспечения сертификацию ISO 27001 или эквивалент?" Если ответ "нет", дальше можно было не читать.
Сегодня на этот вопрос можно отвечать "да". 21 апреля 2026 года Odoo SA получила сертификацию ISO/IEC 27001:2022. Это актуальная редакция стандарта, заменившая привычную многим версию 2013 года; разница не косметическая, и серьёзные аудиторы всё чаще проверяют именно цифру года. Сертификацию выдала SGS, один из крупнейших органов сертификации в мире, чей штамп редко вызывает встречные вопросы.
И сразу важное уточнение, которое обычно теряется в пересказах. Проверка охватила Odoo SA целиком, не только хостинговую платформу. Аудиторы отдельно отметили зрелость процессов резервного копирования, логического контроля доступа, безопасной разработки (Secure Development Lifecycle), культуры осведомлённости сотрудников и личной вовлечённости руководства. Для compliance-офицера это сигнал: безопасность встроена в организационную ДНК, а не локализована в одной команде или в одном продукте.
На первый взгляд это очередная аббревиатура в пресс-релизе. На практике именно та строчка, без которой Enterprise-сделки не закрываются в банках, страховых, образовательных холдингах и любой компании, где служба безопасности имеет право вето.
Что такое ISO 27001 на самом деле
Стандарт часто описывают абстрактно: "управление информационной безопасностью". На пятнадцатой странице описания читатель тонет. Если убрать туман, остаётся простое: ISO 27001 не про технологии, он про процесс. Сертификат подтверждает, что вендор не "решил защищать данные правильно", а построил систему, которая делает это повторяемо: с политиками, с измерениями, с регулярным внешним аудитом. Технические меры внутри сертификации тоже есть (шифрование, контроль доступа, журналы), но они вторичны. Первично инженерное отношение к безопасности как к процессу, который не разваливается, когда из компании уходит ключевой человек.
Это полезно отличать от двух соседних понятий, которые в разговорах часто путают:
- SOC 2 - американский стандарт для сервис-провайдеров. У Odoo.sh такая сертификация уже есть, и это про хостинговый слой.
- GDPR-compliance - правовое соответствие, не аудит процессов.
ISO 27001 же международный. Признан в ЕС, Великобритании, ОАЭ, Японии и в большинстве других юрисдикций, где работают наши клиенты.
Что получает клиент Rteam практически
Когда мы помогаем компании выбирать ERP, разговор о безопасности почти всегда проходит три этапа. ISO 27001 у вендора закрывает первый из них один раз и навсегда.
1. Vendor due diligence. Служба безопасности крупного покупателя обязана убедиться, что у вендора зрелые процессы. Без сертификата это десятки страниц анкет, переписка с CTO, иногда выездной аудит. С сертификатом достаточно ссылки на сертификат и приложенного Statement of Applicability. Сделки, которые раньше зависали на полгода в "комплаенс-чистилище", теперь идут в темпе бизнеса.
2. Тендеры с обязательным критерием. Государственные закупки, тендеры в банковском секторе и в образовании всё чаще указывают ISO 27001 как обязательное требование к участникам или к их ключевым подрядчикам. Раньше Rteam в таких тендерах приходилось идти с оговоркой: "Odoo SA не сертифицирована, но вот наша внутренняя политика, выстроенная по её принципам". Теперь оговорка не нужна.
3. Снижение страховых премий. Cyber-страхование, которое за последние два года подорожало в разы, считает наличие сертифицированного ERP-вендора смягчающим фактором. На практике мы видим скидки в районе 10-25% по полисам у клиентов, работающих на Enterprise. Цифра зависит от страховщика и от того, что вы сами делаете на своей стороне.
Чего сертификация не даёт
Здесь честность важнее маркетинга. Недопонимание этого пункта рождает иллюзию безопасности, которая дороже её отсутствия.
ISO 27001 у Odoo SA подтверждает зрелость вендора. Она не подтверждает безопасность вашей конкретной инсталляции. Если кто-то из команды поставил кастомный модуль из непроверенного репозитория, если права доступа розданы по принципу "у всех Administrator на всякий случай", если резервные копии лежат на том же сервере, что и продакшен, никакой сертификат вендора эту картину не исправит.
Безопасность Enterprise-инсталляции живёт в двух слоях. Первый слой это вендор, теперь подтверждённый сертификатом SGS. Второй слой это ваша инсталляция и операционные практики. Это зона ответственности партнёра-интегратора и вашего IT, и стандарт её не покрывает по определению.
Как мы строим второй слой
В Rteam мы относимся к ISO 27001 у Odoo как к фундаменту, на котором достраиваем то, что не описано стандартом, но критично для конкретного бизнеса. В базовый Enterprise-пакет с точки зрения безопасности у нас входит:
- Раздельные среды: dev, staging, production, без перекрёстных доступов
- Журналирование действий пользователей с retention под законодательство клиента
- Аудит прав доступа раз в квартал, с отчётом для службы безопасности
- Резервные копии с шифрованием и регулярными drill-восстановлениями: не "копии есть", а "копии восстанавливаются за час"
- Чек-листы инцидентов и контактные процедуры под рукой у дежурного
- Проверка сторонних модулей перед установкой в продакшен
Каждая позиция этого списка не маркетинговая фраза, а процедура, которую мы прогоняем перед сдачей проекта и без которой не подписываем акт.
Что делать прямо сейчас
Если вы уже работаете на Odoo, имеет смысл сделать три вещи:
1. Запросить у Odoo SA копию сертификата и Statement of Applicability, приложить к compliance-пакету компании. 2. Передать документы вашей службе безопасности и аудиторам. У них в списке галочек эта закроет одну из самых тяжёлых. 3. Использовать сертификацию как повод пересмотреть собственный второй слой. Если последний аудит прав доступа был год назад, момент удачный.
Если вы только выбираете ERP, картина поменялась тише, но существеннее. Сертификация Odoo сейчас уравнивает её с SAP и Microsoft Dynamics в том самом разговоре, где раньше Open Source считалось рискованной ставкой. Аргумент "у нас всё на коммерческой платформе с ISO" больше не работает.
Коротко
Безопасность редко выигрывает сделки. Её отсутствие их проваливает. Сертификация Odoo по ISO/IEC 27001:2022 не делает платформу неуязвимой, она просто переносит её из колонки "объяснять, почему безопасно" в колонку "показывать сертификат". Для клиентов с правом вето у службы безопасности это разница между шестимесячным согласованием и закрытой сделкой.
Если вы рассматриваете Odoo Enterprise или хотите проверить, насколько ваш текущий проект соответствует тому, что ожидает ваш compliance-офицер, напишите нам. Покажем, где сертификат вендора уже закрывает вопросы, и где ещё нужна работа на вашей стороне.
Источник: официальный блог Odoo, "Odoo has officially achieved ISO/IEC 27001:2022 certification", 21 апреля 2026.