Lexnomia vs OneTrust, TrustArc și Drata — de ce un SaaS US lock-in nu e răspunsul pentru o companie EU de 50-200 angajați
Comparație directă între Lexnomia și platformele americane de compliance: cost real, suveranitate, evidență vs PDF, și de ce SMB-urile europene plătesc de două ori pentru aceleași controale.
Lexnomia vs OneTrust, TrustArc și Drata — de ce un SaaS US lock-in nu e răspunsul pentru o companie EU de 50-200 angajați
În primăvara lui 2025, un grup industrial cu 130 de angajați din Cluj a făcut un calcul simplu pe un colț de tablă în sala de board. Aveau OneTrust pentru DPIA și RoPA, TrustArc pentru gestionarea consimțământului, Drata pentru pregătirea ISO 27001, plus o licență Vanta pentru un audit SOC 2 cerut de un client american. Patru abonamente, patru console, patru exporturi de date personale ale angajaților către vendori americani, patru contracte de prelucrare. Costul anual cumulat: aproape 78 000 EUR. Echipa care lucra efectiv în aceste tool-uri: 1,4 FTE.
Acest articol explică de ce arhitectura “stack de SaaS-uri americane de compliance” nu este răspunsul natural pentru o companie europeană de 50-200 de angajați și ce am construit diferit cu Lexnomia.
TL;DR
- Stack-ul tipic OneTrust + TrustArc + Drata costă 60-90 000 EUR/an pentru un SMB de 100 angajați și creează patru console paralele.
- Toate cele trei sunt corporații americane sub CLOUD Act — un nou Schrems III nu este o ipoteză academică.
- Self-serve “PDF-uri și certificate” nu trece auditul real: lipsește evidența operațională (loguri, ticketing, snapshot-uri verificabile).
- Lexnomia înlocuiește cele patru module printr-o singură platformă EU-resident cu evidență automată legată de stack-ul tehnic existent.
- Migrarea tipică durează 6-10 săptămâni cu păstrarea istoricului de evidență.
Ce face fiecare jucător, de fapt
OneTrust este lider de piață GRC global, cu peste 14 000 de clienți enterprise. Suite-ul include Privacy Management, Third-Party Risk, GRC, ESG, Ethics. Pentru un SMB tipic, doar 8-12% din funcționalități sunt utilizate efectiv. Modelul de licențiere se face per data subject sau per asset, ceea ce produce surprize la al doilea an când scope-ul se extinde.
TrustArc este specializat pe consimțământ, cookie scanner și data mapping. A fost achiziționat în 2023 de fondul de private equity Bowmark (UK). Sediul operațional rămâne în San Francisco. Punct forte istoric: cookie consent. Punct slab: integrările cu sisteme on-premise sunt minimale.
Drata este “compliance automation” focalizat pe SOC 2, ISO 27001, HIPAA, PCI-DSS. Modelul lor: instalează un agent pe laptop-uri și pe cloud-uri, citește configurația, mapează la controale. Pentru SOC 2 Type II la o startup SaaS pe AWS, e foarte util. Pentru o companie EU cu mediu hibrid (Azure + on-premise + două data centers regionale), Drata acoperă doar parțial.
Vanta este similar cu Drata, mai friendly pe UI, mai puțin profund pe controale custom. Ambele sunt destinate echipelor anglofone cu mediu cloud-native US.
Problema 1 — Suveranitate și jurisdicție
Toate cele patru platforme stochează datele în cloud-uri americane. Datele lor includ: nume angajați, adrese email, roluri organizaționale, mapping de date personale, screenshot-uri de configurări de securitate, rapoarte de incidente, registre de prelucrare GDPR. Cu alte cuvinte, aproape tot ce ar interesa o agenție de informații care vrea să mapeze o companie europeană țintă.
Schrems II (cauza C-311/18, 16 iulie 2020) a invalidat Privacy Shield. EDPB Recommendations 01/2020 cer măsuri tehnice suplimentare pentru transferurile către SUA. Pentru un GRC tool care prin definiție conține metadate sensibile despre întreaga organizație, măsurile contractuale (Standard Contractual Clauses) sunt insuficiente. Vezi și articolul nostru De ce un cabinet de avocatură nu poate folosi Auth0 — Schrems II în detaliu — același raționament se aplică oricărui vendor GRC american.
Problema 2 — Self-serve devine PDF fără evidență
Vânzarea de “compliance automation” funcționează pe un trick subtil. Dashboard-ul arată verde, controlul C.AC.01 este “passing”, utilizatorul descarcă un PDF cu o iconiță de check. Auditorul real (un BSI, un BDO, un Mazars) cere însă altceva: dovada operațională că pe data de 12 martie ora 14:42, accesul user-ului X la sistemul Y a fost revocat conform politicii. Logul. Ticket-ul. Aprobarea managerului. Snapshot-ul configurării.
Aceste evidențe nu se generează automat dintr-un agent care citește configurări săptămânal. Ele cer integrare cu IdP-ul, ITSM-ul, SIEM-ul, sistemul de control schimbări. Restaurantul de tip “self-serve” produce PDF-uri frumoase, dar la auditul SOC 2 Type II sau la un audit ANSPDCP (autoritatea română de protecția datelor), aceste PDF-uri nu țin loc de probă.
Vezi și articolul dedicat 7 anti-patterns ale compliance SaaS-urilor self-serve pentru o analiză detaliată a fenomenului.
Problema 3 — Cost real pentru SMB-ul EU
Iată o comparație de cost pentru o companie de 100 angajați, un singur tenant, cu un mediu hibrid Azure + on-premise:
| Platformă | Cost listă/an | Cost real (după negociere) | Implementation fee | An 2 (creștere scope tipică) |
|---|---|---|---|---|
| OneTrust Privacy + GRC | 48 000 EUR | 36 000 EUR | 12 000 EUR | 52 000 EUR |
| TrustArc Consent + Mapping | 18 000 EUR | 14 000 EUR | 6 000 EUR | 22 000 EUR |
| Drata ISO 27001 | 22 000 EUR | 18 000 EUR | 8 000 EUR | 26 000 EUR |
| Vanta SOC 2 | 24 000 EUR | 19 000 EUR | 7 000 EUR | 28 000 EUR |
| Total stack | 112 000 | 87 000 | 33 000 | 128 000 |
| Lexnomia (toate module) | — | 28 000 EUR | inclus | 32 000 EUR |
Cifrele OneTrust/TrustArc/Drata/Vanta sunt extrase din RFP-uri reale primite de clienții noștri în 2024-2025. Nu sunt prețurile de la pagina lor de marketing. Sunt ce primești după ce semnezi NDA și treci de prima negociere.
Pentru o companie de 100 angajați, diferența cumulată pe trei ani e de aproximativ 280 000 EUR. Pentru SMB-ul european, asta e jumătate de salariu de director financiar, sau două dezvoltatori senior pe an, sau un audit ISO 27001 complet plătit cash.
Problema 4 — Lock-in și exit
OneTrust folosește un format proprietar pentru data mapping. Drata folosește un format proprietar pentru control mapping. Migrarea ulterioară către alt vendor cere re-introducerea manuală a 60-80% din date sau scrierea unui adapter ETL custom. În contractul standard OneTrust, clauza de “data portability” garantează export în CSV — dar fără semantică, fără referințe încrucișate, fără istoric de aprobări.
Lexnomia exportă în trei formate deschise: ISO 27001 SoA în XML standard, RoPA GDPR în format ANSPDCP, control evidence ca pachet DocBundle (PDF + JSON + Merkle tree pentru integritate). Migrarea inversă către orice tool care înțelege aceste formate e directă.
Cum am construit diferit Lexnomia
Lexnomia este platforma noastră de compliance pentru SMB-ul EU, construită pe trei principii:
Suveranitate efectivă. Stack-ul rulează pe infrastructura noastră EU-resident sau pe infrastructura clientului (deployment on-premise pentru clienți reglementați NIS2). Zero dependență de vendori americani la nivel de date.
Evidență, nu PDF. Fiecare control este legat de o sursă de evidență operațională: IdP-ul (CAI-AUTH sau Keycloak), ITSM-ul (Jira, ServiceNow, Zammad), SIEM-ul (Wazuh, Splunk, Elastic), Git, sistemul de change management. Când auditorul cere proba pentru “user X access revoked on date Y”, Lexnomia produce: log-ul SIEM, ticket-ul ITSM, commit-ul Git relevant, aprobarea în chain.
Multi-framework simultan. Un singur control mapează la GDPR + ISO 27001 + NIS2 + DORA + AI Act simultan. Nu duplici efortul pentru fiecare audit.
Ce primești concret
- DPIA și RoPA conforme ANSPDCP cu generare automată din inventarul de aplicații.
- ISO 27001:2022 SoA cu cele 93 controale (detalii migrare în articolul dedicat).
- NIS2 readiness checklist (deadline implementation).
- DORA five-pillar tracker pentru fintech (detalii).
- AI Act risk classification pentru sistemele AI interne (cum clasifici).
- Cyber Resilience Act SBOM tracker pentru produse (detalii).
- Data Subject Request workflow cu SLA legal de 30 zile.
- Export semnat criptografic pentru auditori.
Articole conexe
- 7 anti-pattern-uri ale compliance SaaS-urilor self-serve — și cum le evităm în Lexnomia
- Implementation NIS2 — checklist operațional pentru entități esențiale și importante
- ISO/IEC 27001:2022 — migrarea de la ediția 2013 cu cele 93 controale reorganizate
- De ce un cabinet de avocatură românesc nu poate folosi Auth0 — Schrems II
- Pillar Lexnomia — platforma EU de compliance suveran
Pași următori
Dacă administrați un GRC stack american și pregătiți un audit ISO 27001 sau o evaluare NIS2 — pe pagina Lexnomia găsiți specificațiile tehnice complete și planul de migrare în 6-10 săptămâni. Sau scrieți la contact pentru o discuție de 30 de minute.