Перейти до основного вмісту

SOC 2 Type II для SaaS-стартапів: вартість, критерії та шестимісячне вікно спостереження

· 12 хв. читання
Mike Thrift
Mike Thrift
Marketing Manager

Потенційний корпоративний клієнт щойно надіслав вашому засновнику електронний лист із запитом на звіт SOC 2 Type II. У вас його немає. Угода коштує 4 мільйони доларів, а дедлайн закупівлі — через 90 днів. Ось невтішна правда: SOC 2 Type II вимагає мінімум тримісячного вікна спостереження, і більшість досвідчених корпоративних покупців не приймуть нічого меншого за шість місяців. Ви не можете отримати цей звіт екстерном — ви можете лише запустити відлік часу.

Для засновників, які стоять перед своїм першим великим корпоративним контрактом, SOC 2 став базовим стандартом, який відокремлює «ми б хотіли вас оцінити» від «надішліть нам звіт, і тоді поговоримо». Цей посібник розкриває, що саме охоплює аудит, як визначити його межі, скільки він коштуватиме у 2026 році та які пастки підготовки зривали реальні угоди — щоб ви могли пройти першу перевірку, не зупиняючи продажі на рік.

Що таке SOC 2 насправді

2026-05-11-soc-2-type-ii-saas-startups-trust-services-criteria-audit-cost-six-month-observation-window-first-examination-guide

SOC 2 (скорочення від System and Organization Controls 2) — це атестаційний звіт, що видається ліцензованою CPA-фірмою відповідно до стандартів, встановлених Американським інститутом дипломованих громадських бухгалтерів (AICPA). Він оцінює заходи контролю, які організація впроваджує для захисту даних клієнтів і підтримки надійності своїх систем. Звіт — це не сертифікація чи «галочка»; це висновок аудитора, написаний офіційною мовою, про те, чи розроблені ваші контролі належним чином і чи ефективно вони функціонують.

Існує два типи, і різниця між ними важливіша, ніж зазвичай вважають засновники:

  • SOC 2 Type I — це моментальний зріз на певну дату. Аудитор оцінює, чи належним чином розроблені ваші контролі станом на конкретний день. Його можна отримати за кілька тижнів після впровадження контролів. Багато стартапів використовують це як проміжний етап.
  • SOC 2 Type II оцінює, чи справді ці самі контролі ефективно працювали протягом певного періоду — зазвичай від трьох до дванадцяти місяців. Саме це справді цікавить корпоративних клієнтів, оскільки це доводить, що ваші контролі не просто задокументовані, а реально діють.

Корпорації зазвичай сприймають Type I як багатообіцяючий сигнал, а Type II — як повноцінний результат. Якщо ви пропустите Type I і перейдете відразу до Type II, ви заощадите гроші на повторних аудиторських зборах, але втратите можливість на ранніх етапах заявити: «Ми над цим працюємо».

Критерії довірчих послуг

SOC 2 базується на Критеріях довірчих послуг (Trust Services Criteria), востаннє оновлених AICPA у 2017 році з переглянутими аспектами фокусування у 2022 році. Існує п'ять категорій, і ви обираєте, які з них застосовуються до вашої оцінки:

  1. Безпека (Security) — єдина обов'язкова категорія, яку часто називають Загальними критеріями (від CC1 до CC9). Кожен звіт SOC 2 включає Безпеку. Вона охоплює логічний доступ, управління змінами, оцінку ризиків, моніторинг та реагування на інциденти.
  2. Доступність (Availability) — чи є ваші системи доступними та придатними для використання згідно із зобов'язаннями. Корисно, якщо ви продаєте послуги з SLA або керуєте критично важливою інфраструктурою.
  3. Цілісність обробки (Processing Integrity) — чи є обробка повною, точною, своєчасною та авторизованою. Актуально для платіжних систем, білінгових платформ та конвеєрів даних.
  4. Конфіденційність (Confidentiality) — чи захищена інформація, визначена як конфіденційна, належним чином. Більшість B2B SaaS-компаній, що працюють із пропрієтарними даними клієнтів, додають цей пункт.
  5. Приватність (Privacy) — чи збирається, використовується, зберігається, розкривається та видаляється персональна інформація відповідно до повідомлення про конфіденційність організації. Значно розширює обсяг аудиту; зазвичай відкладається, якщо ви не продаєте рішення галузям із чіткими вимогами щодо приватності.

Типовий обсяг для першого SaaS-аудиту — це Безпека + Доступність + Конфіденційність. Приватність — це важке завдання. Цілісність обробки потрібна рідко, хіба що ваш сервіс сам по собі є механізмом трансформації даних. AICPA перелічує 61 критерій у різних категоріях із майже 300 аспектами фокусування — але ви не пишете контроль для кожного з них. Ви зіставляєте свої існуючі контролі з цими критеріями.

Кому насправді потрібен SOC 2

Якщо ваші клієнти зберігають, обробляють або передають дані через ваш сервіс, і хоча б деякі з них є компаніями середнього бізнесу або більшими, питання не в тому, чи знадобиться вам SOC 2, а в тому, коли. Фактори, що змушують вирішити це питання:

  • Відділи закупівель або управління ризиками постачальників додають опитувальники з безпеки до процесу поновлення контрактів.
  • Потенційні корпоративні клієнти вказують SOC 2 як обов'язкову умову контракту.
  • Витік даних або інцидент у конкурента, що змушує ваших покупців нервувати.
  • Покупці під час перевірки компанії (due diligence); відсутність SOC 2 стає причиною для зниження ціни під час переговорів.
  • Страхові компанії, що оформлюють кіберстрахування, запитують докази атестацій.

Вам не потрібен SOC 2 для продажу малому бізнесу, індивідуальним розробникам або клієнтам на самообслуговуванні. Але щойно ви починаєте підписувати п'яти- та шестизначні річні контракти, з'являються опитувальники, і відповіді, які ви можете надати без звіту, починають вичерпуватися.

Як виглядає перевірка SOC 2 Type II

Процес отримання Type II складається приблизно з п'яти етапів:

1. Визначення меж та оцінка готовності

Перший етап визначає, чим є ваша система, де проходять її межі, які сторонні сервісні організації ви виключаєте та які Критерії довірчих послуг застосовуються. Оцінка готовності — яку іноді називають gap-аналізом — це генеральна репетиція. Аудитор (або незалежний консультант) проходить через кожен критерій, виявляє відсутні контролі або слабкі докази та надає вам список виправлень, які потрібно зробити до початку періоду спостереження.

Пропуск етапу оцінки готовності — найпоширеніша причина невдачі перших аудитів. Засновники, які купують платформу для автоматизації відповідності (compliance automation) і вважають, що цього достатньо, часто лише під час перевірки виявляють, що платформа задокументувала контролі, але не забезпечила їх виконання.

2. Усунення невідповідностей

Ви розробляєте, описуєте, налаштовуєте та впроваджуєте все, чого не вистачає. Типові напрямки усунення невідповідностей:

  • Політики інформаційної безпеки (прийнятне використання, контроль доступу, управління змінами, реагування на інциденти, управління постачальниками, безперервність бізнесу)
  • Управління ідентифікацією та доступом (єдиний вхід (SSO), багатофакторна автентифікація (MFA), дизайн ролей із найменшими привілеями, робочий процес прийому, переведення та звільнення співробітників)
  • Захист кінцевих точок та управління патчами
  • Управління змінами в продуктовому середовищі з переглядом коду та доказами CI/CD
  • Сканування вразливостей, тестування на проникнення з визначеною періодичністю
  • Централізоване логування та моніторинг із системою сповіщень та перегляду
  • Управління ризиками постачальників із файлами перевірки (due diligence) для кожного субпроцесора
  • Щорічна оцінка ризиків, навчання співробітників з питань безпеки та перевірка біографічних даних

3. Період спостереження

Визначальна характеристика Типу II. Аудитори перевірятимуть, чи ефективно працювали ваші засоби контролю протягом усього цього періоду. Типові часові межі:

  • Три місяці — технічний мінімум, який рідко приймається корпоративними клієнтами. Корисно для проміжного звіту, коли цього вимагають терміни.
  • Шість місяців — типовий перший звіт Типу II для стартапів. Розумний баланс між швидкістю та авторитетністю.
  • Дванадцять місяців — варіант, якому віддають перевагу корпорації з низьким рівнем толерантності до ризиків; необхідний для подальшого щорічного циклу.

Протягом цього періоду має працювати кожен засіб контролю з вашого списку. Якщо ви зобов’язалися проводити щомісячні перевірки доступу, робіть їх щомісяця. Якщо у вашому списку зазначено щоквартальне сканування вразливостей, запускайте його щокварталу. Пропуски тут — це те, що аудитори називають «винятками», і один-єдиний виняток, який аудитор визнає системним, може призвести до отримання умовного висновку.

4. Польова робота

Після завершення періоду спостереження аудитор вибирає зразки доказів — тікети, логи, скриншоти, записи про навчання, підтвердження перевірок доступу — і перевіряє, чи кожен засіб контролю працював так, як описано. Вони проводять інтерв'ю з персоналом і спостерігають за системами в реальному часі. Цей етап зазвичай триває від чотирьох до восьми тижнів.

5. Звітність

Аудитор готує проєкт звіту. Ви переглядаєте опис системи та твердження керівництва. Аудитор формує остаточний висновок: безумовно-позитивний (чистий), із застереженнями (є винятки, але загалом ефективно), негативний (засоби контролю не були ефективними) або відмова від висловлення думки (не вдалося сформувати думку). Засновники мають прагнути до безумовно-позитивного висновку. Звіти із застереженнями все ще дозволяють укладати угоди, але викликають незручні додаткові запитання.

Реальність витрат у 2026 році

Засновники, які закладають у бюджет лише вартість аудиту, планують лише частку витрат. Ось реалістичний розподіл витрат на 2026 рік для невеликої SaaS-компанії (до п'ятдесяти співробітників, один продукт, хмарна інфраструктура):

Компонент витратТиповий діапазон
Вартість аудиту (Тип II, шестимісячний період)$12,000 – $25,000
Оцінка готовності (якщо окремо від аудитора)$5,000 – $15,000
Платформа автоматизації комплаєнсу (щорічно)$7,000 – $25,000
Тест на проникнення (щорічно)$5,000 – $15,000
Додаткові інструменти безпеки (MDM, SIEM, оновлення IAM)$5,000 – $25,000
Час внутрішнього персоналу (вартість людино-місяців)$20,000 – $60,000
Загальна сума за перший рік «під ключ»$45,000 – $150,000

На другий рік витрати зазвичай падають на 30–50 відсотків. Політики вже написані, інструменти впроваджені, а аудит перетворюється на процес «оновити та перевірити знову», а не «побудувати з нуля». Сама вартість аудиту рідко суттєво змінюється, оскільки обсяг роботи залишається подібним щороку.

Маленька деталь з великими наслідками: відомі фірми беруть від $20,000 до $30,000 за той самий аудит, який бутик-фірма, що спеціалізується на стартапах, проведе за $10,000 – $15,000. Обидві нададуть чинний звіт за стандартами AICPA. Бренд аудиторської фірми має значення для деяких корпоративних покупців (топові назви іноді з’являються в опитувальниках постачальників), але більшість команд із закупівель цікавить сам висновок, охоплені критерії та період, а не назва фірми.

Відстежуйте витрати на комплаєнс із першого дня

SOC 2 — це один із тих проєктів, де засновники наприкінці року озираються назад і запитують: «Куди пішли гроші?». Рахунок за аудит — це лише видима частина, але витрати розпорошені між інструментами безпеки, тестуванням на проникнення, підписками на платформи комплаєнсу, оплатою послуг підрядників, юридичним переглядом політик і десятками дрібних змін в інфраструктурі. Якщо ви від самого початку будете маркувати кожну транзакцію на спеціальному рахунку Expenses:Compliance:SOC2 у своєму обліку, у вас буде чесна відповідь для ради директорів щодо вартості програми та того, як має виглядати бюджет на другий рік. Ви також матимете чисту документацію для розмови про податкові пільги на НДДКР (R&D tax credit), оскільки частина технічних робіт з усунення недоліків часто підпадає під ці критерії.

Шість помилок, що гублять перші аудити

Після достатньої кількості перших аудитів SOC 2 Type II повторюються одні й ті самі шаблони невдач. Уникайте їх:

1. Сприйняття задокументованих контролів як діючих контролів

Політика, в якій сказано, що «перевірки доступу проводяться щоквартально», не проходить аудит. Аудит проходять докази того, що перевірки доступу справді відбувалися, вчасно, щоразу протягом усього періоду спостереження. Більшість невдач пов'язані не з відсутністю контролів, а з контролями, які працюють три квартали з чотирьох.

2. Недооцінка управління ризиками постачальників

Ви несете відповідальність за засоби контролю ваших субсервісних організацій — вашого хмарного провайдера, вендора моніторингу, сервісу перевірки біографічних даних. Аудитори вимагатимуть докази того, що ви перевірили звіт SOC 2 кожного постачальника або провели оцінку ризиків для тих, хто його не має. Стартапи постійно приходять до етапу польової роботи з напівпорожнім реєстром постачальників.

3. Пускання на самоплив процесів прийняття та звільнення працівників

Процеси прийняття, переміщення та звільнення працівників належать до найбільш перевірюваних груп контролів. Кожен новий працівник повинен мати задокументоване надання прав доступу. Кожне звільнення має супроводжуватися задокументованим відкликанням прав, виконаним у межах SLA, визначеного вашою політикою. Повідомлення у Slack не вважаються доказами; ними є записи в системі тікетів.

4. Ігнорування оцінки ризиків

Методологія передбачає щорічну задокументовану оцінку ризиків, яка ідентифікує загрози, оцінює ймовірність та наслідки, а також пов’язує їх із заходами контролю для мінімізації ризиків. Списку в Google Doc недостатньо. Реєстр ризиків має бути пов’язаний з вашим набором контролів, планом реагування на інциденти та планом безперервності бізнесу.

5. Занадто пізнє залучення аудитора

Якщо ви чекатимете до моменту за два місяці до того, як вам знадобиться звіт, щоб знайти аудитора, ви або не знайдете вільного фахівця, або заплатите премію за терміновість. Залучайте аудитора за три-шість місяців до початку запланованого вікна спостереження. Багато аудиторів спочатку проводять оцінку готовності, тому завчасне залучення дає вам партнера для усунення недоліків.

6. Встановлення занадто короткого вікна спостереження

Тримісячний звіт рідко задовольняє корпоративні закупівлі. Шестимісячний звіт зазвичай підходить. Деякі засновники ризикують із трьома місяцями, щоб закрити одну угоду, а потім змушені повторювати процедуру для наступного потенційного клієнта. Обирайте найкоротше вікно, яке ваші покупці реально приймуть, а не найкоротше з дозволених.

12-місячний план, який працює

Ось графік, на який варто розраховувати більшості SaaS-проектів, що вперше проходять Type II:

  • 1–2 місяці: Визначте обсяг (Безпека + Доступність + Конфіденційність — типовий стартовий набір). Залучіть аудитора та консультанта з готовності. Проведіть аналіз розривів (gap assessment).
  • 3–5 місяці: Усуньте недоліки. Напишіть пакет політик. Впровадьте відсутні інструменти безпеки. Налаштуйте тікетинг та збір доказів для кожного повторюваного контролю. Підпишіть угоди з постачальниками, що включають зобов'язання щодо безпеки.
  • 6 місяць: Внутрішня перевірка. Зберіть докази для кожного контролю. Виправте все, що ще не генерує чітких доказів.
  • 7–12 місяці: Період спостереження. Послідовно виконуйте кожен контроль. Утримайтеся від додавання нових контролів посеред періоду, якщо це не є абсолютно необхідним.
  • 13 місяць: Польова робота. Надайте зразки, пройдіть інтерв'ю, відповідайте на запитання аудитора.
  • 14 місяць: Фінальний звіт. Надішліть його потенційним клієнтам, які чекають у черзі.

Агресивні засновники стискають цей процес до шести-дев'яти місяців, проводячи підготовку та усунення недоліків паралельно та обираючи шестимісячне вікно. Це можливо — але рідко вдається командам, які роблять це вперше.

Після звіту

Звіт дійсний протягом дванадцяти місяців після закінчення періоду спостереження. Після цього потенційні клієнти почнуть запитувати, коли буде наступний. Плануйте щорічний цикл — безперервне дванадцятимісячне вікно спостереження без пауз — щоб ваші звіти перекривали один одного і у вас завжди був актуальний документ. Це одна з причин, чому важливо розглядати SOC 2 як програму, а не як одноразовий проект: другий рік — це просто робочий ритм першого року.

Бридж-листи (bridge letters) — це короткі документи, які ваш аудитор може видати між періодами звітності, підтверджуючи, що з моменту останнього звіту не відбулося жодних суттєвих змін. Вони дають вам час, коли потенційному клієнту потрібні запевнення, а ваш наступний звіт ще не готовий. Вартість мінімальна; запитайте свого аудитора, чи включають вони бридж-листи у вартість послуг.

Тримайте свої книги відповідності такими ж чистими, як і ваші контролі

SOC 2 змушує вас працювати дисципліновано — задокументовано, повторювано, доказово. Ваш бухгалтерський облік має працювати за тим самим принципом. Beancount.io пропонує текстовий бухгалтерський облік, який є прозорим, версіонованим та готовим до використання ШІ, тому аудиторський слід ваших фінансів буде таким же переконливим, як і аудиторський слід, який ви будуєте для своєї програми безпеки. Почніть безкоштовно і дізнайтеся, чому засновники та фінансові професіонали обирають текстовий облік, коли підзвітність має значення.

Share on TwitterFollow @beancount_io

Почніть роботу з Beancount.io

Візьміть фінанси під контроль з нашою відкритою системою подвійного запису. Почніть свій Ledger сьогодні.

Почати безкоштовноПереглянути ціни

Початок роботи

Функції

Спільнота

Юридична інформація

Beancount.io© 2019 - 2026 Beancount.io
Завантажити в App StoreЗавантажити в Google Play
Побудовано на прозорості • Контроль версій • На базі ШІ