El correu electrònic arriba a la vostra bústia compartida un divendres a les 16:47: "Segons la nostra política d'aprovisionament, necessitarem veure el vostre informe SOC 2 Tipus II abans de procedir al contracte". El vostre client potencial és un equip de finances d'una empresa Fortune 500. El tracte val més en ingressos recurrents anuals que la vostra última ronda llavor. I teniu, sent generosos, zero pàgines d'un informe SOC 2.
Aquesta escena es repeteix a les startups SaaS cada setmana. Quan un fundador sent les paraules "SOC 2 Tipus II", gairebé sempre hi ha un tracte associat —i gairebé sempre un malentès sobre quant de temps triga realment el procés. Un SOC 2 Tipus II no és un document que encarregueu i rebeu. És una opinió que un auditor independent emet sobre si els vostres controls de seguretat van funcionar eficaçment durant una finestra d'observació de diversos mesos. No podeu crear aquesta finestra de manera retroactiva. Només podeu iniciar-la.
Aquesta guia explica què és realment el SOC 2 Tipus II, com definir-ne l'abast perquè no s'engoleixi el vostre full de ruta d'enginyeria, com crear els hàbits de monitorització contínua que els auditors esperen el 2026 i com mantenir el flux de vendes actiu mentre el treball de compliment es realitza en paral·lel.
Què avalua realment el SOC 2 Tipus II
SOC 2 és un marc de presentació d'informes mantingut per l'Institut Americà de Comptadors Públics Certificats (AICPA). No és una certificació. No hi ha cap certificat per emmarcar a la paret. En canvi, una firma d'auditoria examina el vostre entorn de control segons els Criteris de Serveis de Confiança (TSC), i després emet un informe que clients, socis i equips de compres empresarials utilitzen per avaluar si externalitzar part de les seves operacions al vostre servei és acceptable.
Hi ha dues modalitats:
- Tipus I és un informe puntual. Descriu els vostres controls i avalua el seu disseny en una data específica. És més ràpid, més econòmic i respon a la pregunta: "existien els controls l'1 d'octubre?".
- Tipus II és un informe de període de temps. Avalua tant el disseny com l'eficàcia operativa d'aquests controls durant una finestra d'observació de 3 a 12 mesos. Respon a la pregunta molt més difícil: "els controls van funcionar realment, cada dia, durant tot el període?".
Els compradors corporatius gairebé sempre volen el Tipus II. El Tipus I es considera generalment com una prova que esteu en el camí, no una prova que hi hagueu arribat. Si un equip de compres demana el "SOC 2" sense especificar, assumiu que es refereixen al Tipus II.
La finestra d'observació és la part que sorprèn els fundadors. Si un client potencial necessita veure un informe que cobreixi de l'1 de gener al 30 de juny, i vosaltres no establiu els controls fins al 15 de març, no podeu lliurar aquest informe. La mancança en els primers mesos és, per definició, una troballa d'auditoria. Els terminis de l'auditoria no depenen de la velocitat de l'auditor, sinó de quanta història de compliment heu acumulat.
Els Criteris de Serveis de Confiança: Trieu el vostre abast amb cura
Cada informe SOC 2 s'emmarca dins d'un o més dels cinc Criteris de Serveis de Confiança (TSC):
- Seguretat — l'únic TSC obligatori. De vegades anomenat "criteris comuns", cobreix el control d'accés, la gestió de canvis, la gestió de vulnerabilitats, la resposta a incidents i l'estructura bàsica de governança d'un programa de seguretat de la informació.
- Disponibilitat — rellevant si els vostres contractes amb clients inclouen compromisos de temps d'activitat o SLAs. Afegeix planificació de la capacitat, salvaguardes ambientals i proves de recuperació davant desastres.
- Integritat del processament — rellevant si el vostre servei realitza transaccions o càlculs on la correcció és crítica (pagaments, sistemes de llibres majors, motors de facturació). La majoria de startups SaaS poden ometre-ho inicialment.
- Confidencialitat — rellevant si gestioneu dades de clients que estan restringides per contracte però que no són necessàriament personals (codi font, dades financeres, plans de negoci).
- Privadesa — rellevant si recolliu, utilitzeu, conserveu o elimineu informació personal d'individus. Sovint se solapa amb les obligacions del RGPD i la CCPA.
Aquest és l'error d'abast que cometen les startups: trien els cinc criteris perquè pensen que més criteris semblen més impressionants. No és així. Això fa que l'auditoria sigui més cara, allarga el termini, amplia la càrrega de recollida de proves i dóna a l'auditor més superfícies per escriure observacions o troballes. Els compradors corporatius generalment es preocupen per la Seguretat més qualsevol cosa que s'ajusti al servei específic que estan comprant. Un equip de finances que llicencia el vostre producte d'analítica es preocupa per la Confidencialitat. Un equip que depèn de la vostra plataforma per a fluxos de treball crítics per als ingressos es preocupa per la Disponibilitat.
Comenceu només amb Seguretat per al vostre primer Tipus II. Afegiu criteris en cicles d'auditoria posteriors a mesura que la demanda dels clients ho justifiqui.
Quant costa i quant de temps triga
Per a una petita empresa SaaS el 2026, les xifres realistes són les següents:
- Honoraris de l'auditor: Entre 10.000 i 25.000 . Les firmes "Big Four" cobren múltiples d'aquestes xifres i, normalment, no treballen amb petites startups.
- Plataforma GRC: Entre 5.000 i 12.000 $ a l'any per a la recollida automatitzada de proves i la gestió de polítiques.
- Actualitzacions d'eines de seguretat: Entre 3.000 i 8.000 $ per cobrir mancances en MDM, SIEM, escaneig de vulnerabilitats o proveïdors de verificació d'antecedents.
- Temps intern: Entre 100 i 200 hores d'enginyeria i operacions durant tot el cicle de preparació i auditoria.
En total, espereu una despesa d'entre 20.000 i 35.000 $ el primer any per a una petita empresa SaaS que ho faci amb criteri. Els anys següents el cost baixa significativament perquè el treball pesat de polítiques, eines i processos ja està fet.
El calendari depèn de la finestra d'observació:
- Fase de preparació: D'1 a 3 mesos per redactar polítiques, implementar controls, configurar eines i solucionar mancances. Una avaluació formal de preparació (readiness assessment) del vostre futur auditor afegeix entre 10.000 i 17.000 $ i unes quantes setmanes, però redueix dràsticament els riscos de l'auditoria real.
- Finestra d'observació: Mínim 3 mesos per a un Tipus II de "finestra curta", 6 mesos per a un informe més creïble, 12 mesos per a un cicle de renovació. Els compradors corporatius varien en la finestra que accepten. Molts n'acceptaran una de 3 mesos si us comprometeu a un seguiment de 12 mesos.
- Treball de camp i informe: De 2 a 4 setmanes de revisió de proves, entrevistes, mostreig i redacció de l'informe un cop tancada la finestra.
Una startup que comenci el treball de preparació al gener i executi una finestra d'observació de 3 mesos pot tenir un informe Tipus II a la mà a finals de maig o principis de juny. Aquest és el camí creïble més ràpid. Qualsevol que prometi més velocitat està venent un Tipus I o alguna cosa que us acabarà posant en evidència més endavant.
Els controls que realment fan ensopegar les startups
Els criteris de serveis de confiança publicats inclouen desenes de criteris comuns (del CC1 al CC9) i desenes més per a les categories opcionals. A la pràctica, el mateix grapat de controls causa la major part dels maldecaps:
Revisions d'accés. Heu de revisar l'accés dels usuaris als sistemes de producció i a les dades dels clients amb una cadència definida, normalment trimestral. El control falla no perquè la revisió no es faci, sinó perquè l'evidència és incompleta: sense tiquet, sense aprovació, sense registre de comptes eliminats. Si no podeu mostrar una llista signada de qui ha revisat què i en quina data, la revisió no compta.
Gestió de canvis. Cada canvi de codi que afecti producció necessita una pull request, una revisió per parells, proves automatitzades i un desplegament documentat. La majoria d'equips d'enginyeria ja ho fan. El mode de fallada és la correcció d'emergència (hotfix) que se salta la canalització. Els auditors faran mostrejos de desplegaments, i una sola pujada improvisada en el període d'observació pot convertir-se en una troballa.
Verificacions d'antecedents. Cada empleat amb accés a producció necessita una verificació d'antecedents documentada abans que se li concedeixi aquest accés. Les startups sovint concedeixen accés el primer dia i fan la verificació "poc després". Això és una troballa. El llenguatge del control diu "abans de l'accés", i els auditors comprovaran les dates.
Gestió de proveïdors. Necessiteu una llista de subprocessadors, evidència que heu revisat la postura de seguretat de cadascun d'ells (normalment recopilant el seu informe SOC 2) i un propietari documentat per a la relació. El mode de fallada és l'eina SaaS a l'ombra que un departament ha contractat amb una targeta de crèdit i de la qual no ha informat mai ningú.
Gestió de vulnerabilitats. Necessiteu una cadència documentada per a l'escaneig, un SLA de remediació definit per gravetat i evidència que realment compliu aquests SLA. Moltes startups redacten una política que diu "vulnerabilitats crítiques corregides en 7 dies" i després deixen passar 60 dies per a les troballes crítiques perquè el llançament de la funcionalitat era més urgent. L'auditor farà un mostreig de tiquets.
Resposta a incidents. Necessiteu un pla de resposta a incidents per escrit i evidència que l'heu provat. Els exercicis de simulació (tabletop) compten. L'exercici no ha de ser elaborat, però la reunió ha de tenir lloc, amb un ordre del dia, assistència i notes.
Accés lògic — MFA, política de contrasenyes, temps d'espera de sessió. Aquests solen estar bé en startups modernes que utilitzen proveïdors d'identitat com Okta o Google Workspace, però la recopilació d'evidències és complicada. Necessiteu captures de pantalla de les configuracions, exportacions de polítiques i proves que aquests controls s'han aplicat durant tot el període d'observació.
Monitoratge continu: el llistó per al 2026 és més alt
El canvi definitiu en les expectatives de SOC 2 durant els últims tres anys és el pas de les comprovacions puntuals periòdiques al monitoratge continu. Els auditors el 2026 esperen cada vegada més que el vostre entorn de control generi evidències verificables cada dia, no que us afanyeu a reunir-les la setmana abans del treball de camp.
Concretament, això significa:
- Recopilació automàtica d'evidències. Les plataformes GRC com Vanta, Drata, Secureframe i Sprinto s'integren amb el vostre proveïdor d'identitat, comptes al núvol, repositoris de codi, sistema de tiquets i eines de RRHH per extreure evidències de forma contínua. Detectaran una deficiència de control —per exemple, un empleat que ha causat baixa l'accés al qual a AWS ha perdurat— en qüestió d'hores en lloc de mesos.
- Taulers de control en temps real. Hauríeu de poder mirar una sola pantalla i veure l'estat operatiu de cada control. Si un control falla, cal senyalitzar-ho en un termini de 48 hores, amb una via de remediació.
- Traces d'auditoria sense interrupcions. Els auditors busquen continuïtat. Si les evidències de la vostra revisió d'accés mostren mesos on no es va fer cap revisió, això és una troballa. Si el registre de l'escaneig de vulnerabilitats es va saltar un trimestre, això és una troballa. L'estàndard implícit el 2026 és: cada dia del període d'observació ha de produir evidències que el control ha funcionat.
El canvi cultural que això requereix és real. El compliment s'ha de convertir en un hàbit integrat en com el vostre equip d'enginyeria fa els llançaments, com el vostre equip d'IT gestiona les incorporacions i com el vostre equip de finances selecciona els proveïdors. Tractar el SOC 2 com una sessió d'estudi intensiva trimestral per al treball de camp produirà, en el clima d'auditoria actual, opinions amb reserves en lloc d'informes favorables —i un informe amb reserves sovint és pitjor que cap informe quan un equip de compres d'una gran empresa el llegeix.
Executar l'auditoria i les vendes en paral·lel
El dilema fonamental en el treball de SOC 2 impulsat pel client és que l'auditoria triga mesos i l'acord no espera. Aquí teniu com mantenir el flux de vendes actiu:
- Comenceu amb un Tipus I i un pla de remediació. Un informe de Tipus I es pot emetre poques setmanes després de completar la preparació. No és el que els compradors corporatius volen en última instància, però és un senyal creïble que heu establert l'entorn de control i que el Tipus II està en marxa. Molts equips de compres signaran amb un Tipus I més un compromís per escrit de lliurar el Tipus II en un termini de nou mesos.
- Utilitzeu el patró de la carta pont. Si teniu un informe Tipus II anterior que cobreix un període que ja ha acabat, el vostre auditor pot emetre una "carta pont" indicant que, segons el seu coneixement, no s'han produït canvis materials entre la data de finalització de l'informe i avui. Les cartes pont mantenen el vostre informe antic viable per a nous acords mentre la següent auditoria està en marxa.
- Compartiu els artefactes adequats sota NDA. Alguns clients potencials acceptaran les vostres polítiques de seguretat per escrit, el resum de la prova de penetració i els diagrames d'arquitectura en lloc d'un informe SOC 2 per a acords de prova de concepte. Tingueu aquests documents preparats, actualitzats i empaquetats perquè el qüestionari de seguretat no es converteixi en una distracció de diverses setmanes per al vostre equip d'enginyeria.
- Sigueu honestos amb els terminis. Prometre un informe Tipus II per a una data que no podeu complir debilita la confiança amb el client quan es retarda. Prometre un calendari creïble recolzat per una carta de compromís executada amb una signatura de CPA reconeguda és molt més sòlid.
Les startups que millor gestionen això tracten el SOC 2 no com un simulacre d'incendi provocat per un sol acord, sinó com una infraestructura fundacional que desbloqueja tot un segment de clients. La primera auditoria és cara i incòmoda. La quarta és una partida pressupostària discreta.
El costat comptable de la despesa en compliment
Un programa SOC 2 també és un centre de cost considerable, i la manera com es comptabilitza és important al tancament de l'exercici. Els honoraris d'auditoria, les subscripcions a plataformes GRC, la consultoria de preparació i les eines de seguretat flueixen a través de diferents comptes del llibre major i sovint es codifiquen incorrectament. Els honoraris d'auditoria i consultoria solen pertànyer als serveis professionals, mentre que les eines de subscripció s'inclouen en la despesa de programari. Algunes empreses en fase inicial capitalitzen una part del treball de preparació com a part del desenvolupament de programari d'ús intern sota la norma ASC 350-40, tot i que el llindar per fer-ho correctament és estret.
Més enllà de la categorització, el programa de compliment produeix un flux de despeses recurrents —renovacions anuals d'auditoria, tarifes de plataformes GRC, càrrecs de proveïdors de verificació d'antecedents, contractacions de proves de penetració— que han de ser controlades en relació amb el pressupost. Moltes empreses emergents pressuposten a la baixa el segon any perquè recorden l'impacte del preu inicial de la preparació i obliden que el cost operatiu recurrent també són diners reals. Una comptabilitat neta i amb control de versions des de l'inici facilita molt la resposta a les preguntes de due diligence de la vostra propera ronda d'inversors i als qüestionaris de seguretat dels vostres clients, ja que ambdós us preguntaran sobre el vostre entorn de control i la vostra disciplina de despesa al respecte.
Mantingueu els vostres registres financers tan preparats per a l'auditoria com els vostres controls de seguretat
Tant si us dirigiu a un SOC 2 Tipus II, a una Sèrie A, o simplement esteu intentant tancar els llibres a temps cada mes, s'aplica el mateix principi: els sistemes auditables guanyen el registre manual en cada ocasió. Beancount.io ofereix una comptabilitat en text pla que és transparent, amb control de versions i preparada per a la IA —proporcionant als fundadors i als equips de finances una traça d'auditoria completa sense l'opacitat de caixa negra de les eines de comptabilitat tradicionals. Comenceu gratis i veieu per què els desenvolupadors i els professionals de les finances s'estan passant a la comptabilitat en text pla.