Salta al contingut principal

SOC 2 Tipus II per a Startups SaaS: Cost, Criteris i la Finestra d'Observació de Sis Mesos

· 14 minuts de lectura
Mike Thrift
Mike Thrift
Marketing Manager

Un client potencial d'empresa acaba d'enviar un correu electrònic al teu fundador demanant el teu informe SOC 2 Tipus II. No en tens cap. L'acord té un valor de 4 milions de dòlars i la data límit de contractació és d'aquí a 90 dies. Aquí tens la veritat incòmoda: un SOC 2 Tipus II requereix una finestra mínima d'observació de tres mesos, i la majoria dels compradors corporatius experimentats no n'acceptaran cap de menys de sis. No pots arribar a l'informe fent un esprint; només pots posar el cronòmetre en marxa.

Per als fundadors que s'enfronten al seu primer gran contracte empresarial, el SOC 2 s'ha convertit en la credencial bàsica que separa el "ens encantaria avaluar-vos" de l'"envieu-nos l'informe i en parlarem". Aquesta guia desglossa què cobreix realment l'auditoria, com definir-ne l'abast, què costa el 2026 i les trampes de preparació que han enfonsat acords reals, perquè puguis superar el primer examen sense haver d'aturar les vendes durant un any.

Què és realment el SOC 2

2026-05-11-soc-2-type-ii-saas-startups-trust-services-criteria-audit-cost-six-month-observation-window-first-examination-guide

El SOC 2 (abreviatura de System and Organization Controls 2) és un informe d'atestació emès per una signatura de CPA llicenciada sota els estàndards establerts per l'Institut Americà de Comptadors Públics Certificats (AICPA). Avalua els controls que una organització de serveis opera per protegir les dades dels clients i mantenir la fiabilitat dels seus sistemes. L'informe no és una certificació ni una casella de verificació; és l'opinió d'un auditor, escrita en llenguatge formal, sobre si els teus controls estan dissenyats adequadament i funcionen amb eficàcia.

Existeixen dos tipus, i la distinció és més important del que els fundadors solen creure:

  • SOC 2 Tipus I és una instantània d'un moment determinat. L'auditor avalua si els teus controls estan dissenyats correctament en una sola data. En pots obtenir un en qüestió de setmanes un cop els controls estiguin implementats. Moltes startups ho utilitzen com un pas previ.
  • SOC 2 Tipus II avalua si aquests mateixos controls realment van funcionar amb eficàcia durant un període de temps, normalment d'entre tres i dotze mesos. Això és el que realment volen els clients corporatius, perquè demostra que els teus controls no només estan documentats, sinó que s'apliquen de forma real.

Les empreses solen veure el Tipus I com un senyal prometedor i el Tipus II com el lliurable real. Si et saltes el Tipus I i vas directament al Tipus II, estalvies diners en tarifes d'auditoria duplicades, però perds la credencial inicial de "hi estem treballant".

Els Criteris de Serveis de Confiança

El SOC 2 es basa en els Criteris de Serveis de Confiança (Trust Services Criteria), actualitzats per darrera vegada per l'AICPA el 2017 amb Punts de Focus revisats el 2022. Existeixen cinc categories, i tu tries quines s'apliquen al teu abast:

  1. Seguretat — l'única categoria obligatòria, sovint anomenada Criteris Comuns (del CC1 al CC9). Cada informe SOC 2 inclou la Seguretat. Cobreix l'accés lògic, la gestió del canvi, l'avaluació de riscos, el monitoratge i la resposta a incidents.
  2. Disponibilitat — si els teus sistemes són accessibles i utilitzables segons el compromís. Útil si vens acords de nivell de servei (SLA) o operes una infraestructura on el temps d'activitat és crític.
  3. Integritat del processament — si el processament és complet, precís, puntual i autoritzat. Rellevant per a processadors de pagaments, plataformes de facturació i canonades de dades (data pipelines).
  4. Confidencialitat — si la informació designada com a confidencial està protegida en conseqüència. La majoria d'empreses SaaS B2B que gestionen dades de clients privades afegeixen aquest punt.
  5. Privadesa — si la informació personal es recull, s'utilitza, es conserva, es divulga i s'elimina d'acord amb l'avís de privadesa de l'entitat. Afegeix un abast significatiu; normalment es posposa a menys que es vengui a indústries amb exigències de privadesa explícites.

Un abast típic per a una SaaS per primera vegada és Seguretat + Disponibilitat + Confidencialitat. La Privadesa suposa un esforç considerable. L'Integritat del processament rarament es necessita tret que el teu servei sigui en si mateix un motor de transformació de dades. L'AICPA llista 61 criteris en les categories amb gairebé 300 Punts de Focus, però no escrius un control per a cadascun. Simplement vincules els teus controls existents als criteris.

Qui necessita realment el SOC 2

Si els teus clients emmagatzemen, processen o transmeten dades a través del teu servei i algun d'ells és d'empresa mitjana o gran, la pregunta no és si necessitaràs el SOC 2, sinó quan. Factors desencadenants que obliguen a actuar:

  • Equips de compres o de risc de proveïdors que afegeixen qüestionaris de seguretat a les renovacions.
  • Clients potencials corporatius que citen el "SOC 2" com a requisit contractual previ.
  • Una bretxa de seguretat o incident en un competidor que posa nerviosos els teus compradors.
  • Adquirents que realitzen una "due diligence"; l'absència de SOC 2 es converteix en una reducció de preu negociada.
  • Companyies d'assegurances que subscriuen pòlisses ciber i demanen proves d'atestacions.

No necessites el SOC 2 per vendre a petites empreses, desenvolupadors individuals o clients d'autoservei. Però en el moment en què comencis a tancar contractes anuals de cinc i sis xifres, arribaran els qüestionaris i les respostes que pots donar sense un informe començaran a esgotar-se.

Com és un examen SOC 2 Tipus II

Un compromís de Tipus II té aproximadament cinc fases:

1. Definició de l'abast i avaluació de la preparació

La primera fase defineix què és el teu sistema, on es troben els seus límits, quines organitzacions de subserveis s'exclouen i quins Criteris de Serveis de Confiança s'apliquen. Una avaluació de la preparació — de vegades anomenada avaluació de deficiències — és l'assaig general. Un auditor (o un consultor independent) repassa cada criteri, identifica els controls que falten o les proves febles, i et dóna una llista de tasques per solucionar abans que comencis el període d'observació.

Saltar-se la preparació és la causa més comuna de fracàs en les primeres auditories. Els fundadors que compren una plataforma d'automatització de compliment i assumeixen que amb això n'hi ha prou, sovint descobreixen, només en el moment de la prova, que la plataforma documentava els controls però no els feia complir.

2. Remediació

Vostè construeix, escriu, configura i posa en marxa tot el que falta. Àmbits comuns de remediació:

  • Polítiques de seguretat de la informació (ús acceptable, control d'accés, gestió de canvis, resposta a incidents, gestió de proveïdors, continuïtat del negoci)
  • Gestió d'identitats i accessos (inici de sessió únic, MFA, disseny de rols amb privilegis mínims, flux de treball d'altes, canvis i baixes)
  • Protecció de punts terminals i gestió de pedaços
  • Gestió de canvis en producció amb revisió de codi i evidències de CI/CD
  • Escaneig de vulnerabilitats, proves de penetració amb una cadència definida
  • Registre i monitoratge centralitzat amb alertes i revisió
  • Gestió del risc de proveïdors amb arxius de diligència per a cada subprocessador
  • Avaluació anual de riscos, formació en seguretat per als empleats i verificació d'antecedents

3. La finestra d'observació

La característica definitòria del Tipus II. Els auditors comprovaran que els seus controls hagin funcionat de manera eficaç durant tot aquest període. Finestres comunes:

  • Tres mesos — el mínim tècnic, rarament acceptat per clients corporatius. Útil per a un informe provisional quan el calendari ho requereix.
  • Sis mesos — el primer Tipus II típic per a les startups. Un equilibri raonable entre velocitat i credibilitat.
  • Dotze mesos — preferit per les empreses adverses al risc i necessari per a la cadència anual a partir d'aquí.

Durant aquesta finestra, cada control de la seva llista ha de funcionar. Si es compromet a fer revisions d'accés mensuals, faci-les cada mes. Si els escanejos de vulnerabilitats trimestrals figuren a la seva llista de controls, executi'ls trimestralment. Les mancances aquí són el que els auditors anomenen "excepcions", i una sola excepció que l'auditor consideri generalitzada pot comportar una opinió amb reserves.

4. Treball de camp

Un cop tancat el període d'observació, l'auditor extreu una mostra d'evidències —tiquets, registres, captures de pantalla, registres de formació, atestacions de revisió d'accés— i comprova si cada control ha funcionat tal com es descriu. Entrevisten el personal i observen els sistemes en directe. Aquesta fase sol durar de quatre a vuit setmanes.

5. Elaboració d'informes

L'auditor redacta l'informe. Vostè revisa la descripció del sistema i l'asserció de la direcció. L'auditor finalitza l'opinió: favorable (neta), amb reserves (excepcions però d'altra manera eficaç), desfavorable (els controls no van ser eficaços) o denegada (no s'ha pogut formar una opinió). Els fundadors han d'aspirar a una opinió favorable. Els informes amb reserves encara permeten tancar acords, però generen preguntes de seguiment incòmodes.

La realitat dels costos per al 2026

Els fundadors que només pressuposten la taxa d'auditoria estan pressupostant una fracció del cost. Aquí teniu un desglossament realista per al 2026 per a una petita empresa SaaS (menys de cinquanta empleats, producte únic, infraestructura nativa del núvol):

Component del costRang típic
Taxa d'auditoria (Tipus II, finestra de sis mesos)12.000 25.000– 25.000
Avaluació de preparació (si és independent de l'auditor)5.000 15.000– 15.000
Plataforma d'automatització de compliment (anual)7.000 25.000– 25.000
Prova de penetració (anual)5.000 15.000– 15.000
Addicions d'eines de seguretat (millores d'MDM, SIEM, IAM)5.000 25.000– 25.000
Temps del personal intern (cost en mesos-persona)20.000 60.000– 60.000
Total acumulat del primer any45.000 150.000– 150.000

El segon any normalment el cost baixa entre un 30 i un 50 per cent. Les polítiques ja estan escrites, les eines desplegades i l'auditoria es converteix en una actualització i re-comprovació en lloc d'una construcció des de zero. La taxa d'auditoria en si mateixa difícilment canvia gaire perquè la feina continua sent similar cada any.

Un petit detall amb grans conseqüències: les empreses consolidades cobren entre 20.000 i 30.000 perlamateixaauditoriaqueunaconsultoraboutiqueenfocadaastartupsrealitzaraˋperunpreudentre10.000i15.000per la mateixa auditoria que una consultora boutique enfocada a startups realitzarà per un preu d'entre 10.000 i 15.000. Ambdues lliuraran un informe AICPA vàlid. La marca de l'empresa d'auditoria és important per a alguns compradors corporatius (els noms de primer nivell apareixen ocasionalment en els qüestionaris de proveïdors), però la majoria d'equips de contractació es fixen en l'opinió, els criteris coberts i el període, no en l'empresa.

Feu el seguiment de la despesa en compliment des del primer dia

El SOC 2 és un d'aquells projectes en què els fundadors miren enrere a finals d'any i es pregunten: "on han anat els diners?". La factura de l'auditoria és la part visible, però la despesa està dispersa en eines de seguretat, proves de penetració, subscripcions a plataformes de compliment, temps de contractistes, revisió legal de polítiques i dotzenes de petits canvis en la infraestructura. Si etiqueteu cada transacció en un compte dedicat Despeses:Compliment:SOC2 a la vostra comptabilitat des del principi, tindreu una resposta honesta quan la vostra junta pregunti quant ha costat el programa i com hauria de ser el segon any. També tindreu una documentació neta per a la conversa sobre la deducció fiscal per R+D, ja que algunes parts de la feina de remediació tècnica sovint compleixen els requisits.

Els sis errors que maten les primeres auditories

Després de suficients encàrrecs de SOC 2 Tipus II per primera vegada, els mateixos patrons d'error es repeteixen. Eviteu aquests:

1. Tractar els controls documentats com a controls operatius

Una política que diu "les revisions d'accés es realitzen trimestralment" no passa l'auditoria. L'evidència que les revisions d'accés es van fer realment, a temps, cada vegada, durant tota la finestra d'observació passa l'auditoria. La majoria dels errors no es deuen a la manca de controls; es tracta de controls que funcionen tres trimestres de cada quatre.

2. Menystenir la gestió del risc de proveïdors

Sou responsables dels controls de les vostres organitzacions de subserveis: el vostre proveïdor de núvol, el vostre proveïdor de monitoratge, el vostre servei de verificació d'antecedents. Els auditors demanaran evidències que heu revisat el SOC 2 de cada proveïdor o que heu completat una avaluació de riscos per als proveïdors que no en tinguin cap. Les startups sovint arriben al treball de camp amb un inventari de proveïdors mig buit.

3. Deixar que la incorporació i la baixa es descontrolin

El procés d'incorporació-canvi-baixa (joiner-mover-leaver) es troba entre les famílies de control més avaluades. Cada nova contractació hauria de tenir un provisionament documentat. Cada sortida hauria de tenir un desprovisionament documentat, completat dins de l'SLA al qual es compromet la vostra política. Els missatges de Slack no compten com a evidència; els registres de tiquets, sí.

4. Ignorar l'avaluació de riscos

El marc de treball preveu una avaluació de riscos anual i documentada que identifiqui amenaces, n'avaluï la probabilitat i l'impacte, i les vinculi amb els controls de mitigació. Una llista de vinyetes en un Google Doc no és suficient. El registre de riscos s'ha de connectar amb el vostre conjunt de controls, el vostre pla de resposta a incidents i el vostre pla de continuïtat de negoci.

5. Esperar massa per contractar l'auditor

Si espereu fins a dos mesos abans de necessitar l'informe per buscar un auditor, o bé no en trobareu cap amb disponibilitat o bé pagareu una prima d'urgència. Contracteu-lo entre tres i sis mesos abans que comenci la vostra finestra d'observació prevista. Molts auditors realitzaran primer l'avaluació de preparació (readiness assessment), de manera que contractar-los aviat us dona un soci per a la remediació.

6. Establir una finestra d'observació massa curta

Un informe de tres mesos rarament satisfà els departaments de compres de les grans empreses. Un informe de sis mesos normalment sí. Alguns fundadors s'arrisquen amb tres mesos per tancar un sol acord, i després es troben repetint l'exercici per al següent client potencial. Trieu la finestra més curta que els vostres compradors realment acceptin, no la finestra més curta permesa.

Un pla de 12 mesos que funciona

Aquesta és la cronologia que la majoria de projectes SaaS Tipus II per primera vegada haurien d'esperar:

  • Mesos 1–2: Trieu un abast (Seguretat + Disponibilitat + Confidencialitat és l'inici típic). Contracteu un auditor i un consultor de preparació. Realitzeu l'anàlisi de mancances (gap assessment).
  • Mesos 3–5: Remedieu. Redacteu el conjunt de polítiques. Desplegueu les eines de seguretat que faltin. Implementeu la gestió de tiquets i la recollida d'evidències per a cada control recurrent. Signeu acords amb proveïdors que incloguin obligacions de seguretat.
  • Mes 6: Simulacre intern. Recolliu evidències per a cada control. Corregiu qualsevol cosa que encara no estigui generant evidències clares.
  • Mesos 7–12: Període d'observació. Executeu cada control de manera coherent. Resistiu la temptació d'afegir nous controls a meitat de la finestra si no és absolutament necessari.
  • Mes 13: Treball de camp. Proporcioneu mostres, realitzeu entrevistes, respongueu a les preguntes de l'auditor.
  • Mes 14: Informe final. Envieu-lo als clients potencials que esperen a la llista.

Els fundadors més agressius comprimeixen això en sis o nou mesos realitzant la preparació i la remediació en paral·lel i escollint una finestra de sis mesos. Es pot fer, però rarament amb equips que ho fan per primera vegada.

Després de l'informe

L'informe és vàlid durant dotze mesos des del final del període d'observació. Després d'això, els clients potencials començaran a preguntar quan sortirà el següent. Planifiqueu una cadència anual —una finestra d'observació contínua de dotze mesos sense interrupcions— perquè els vostres informes s'encavallin i sempre tingueu una carta actual per compartir. Aquesta és una de les raons per les quals és important tractar el SOC 2 com un programa i no com un projecte: el segon any és només la cadència operativa del primer any.

Les cartes pont (bridge letters) són documents curts que l'auditor pot emetre entre els períodes de l'informe, donant fe que no ha canviat res substancial des de l'últim informe. Us donen temps quan un client potencial necessita garanties i el vostre proper informe encara no ha sortit. El cost és mínim; pregunteu al vostre auditor si inclou les cartes pont en el contracte.

Mantingueu els vostres llibres de compliment tan nets com els vostres controls

El SOC 2 us obliga a operar amb disciplina: documentació, repetibilitat i evidència. La vostra comptabilitat hauria de funcionar sota el mateix principi. Beancount.io ofereix comptabilitat en text pla que és transparent, amb control de versions i preparada per a la IA, de manera que la pista d'auditoria de les vostres finances sigui tan defensable com la pista d'auditoria que esteu construint per al vostre programa de seguretat. Comenceu de franc i descobriu per què els fundadors i els professionals de les finances trien la comptabilitat en text pla quan la rendició de comptes és fonamental.

Share on TwitterFollow @beancount_io

Comença amb Beancount.io

Pren el control de les teves finances amb el nostre sistema de comptabilitat per partida doble de codi obert. Comença el teu llibre comptable avui mateix.

Comença gratisVeure preus

Primers passos

Funcions

Comunitat

Legal

Beancount.io© 2019 - 2026 Beancount.io
Descarrega a l'App StoreDisponible a Google Play
Creat amb transparència • Controlat per versions • Impulsat per IA