¿Qué hace cuando un posible cliente de SaaS empresarial le exige que realice auditorías excesivas (en relación con lo que está proporcionando) como SOC1 y SOC2?

Si los quieres como clientes, haces las auditorías. Estas son auditorías anuales, por lo que debe incluir el presupuesto en sus gastos generales. Los clientes empresariales esperan vendedores empresariales.

Las auditorías de SOC2 revelan si tiene una estructura de administración que se preocupa por la privacidad, la seguridad y el proceso de trabajo con los controles adecuados. La mayor parte de lo que entra en una auditoría de SOC es la carga de la prueba que muestra que tiene controles sobre la autorización y las políticas. Qué significa eso? Básicamente, verifica y equilibra de manera tal que existan elementos para evitar acciones no autorizadas.

Si tiene clientes en el rango Fortune 500/5000, puede esperar que requieran ver su informe SOC2. El SOC2 es una herramienta para evaluar la capacidad de un proveedor para operar dentro de las mejores prácticas estándar de la industria.

SOC2 Tipo 1 es simplemente una auditoría de punto en el tiempo, lo que significa que solo tiene que demostrar una instancia de cumplimiento de un requisito de auditoría.

SOC2 Tipo 2 es una extensa auditoría aleatoria de rango de tiempo. Los auditores elegirán cosas al azar de cada área para auditar y usted debe demostrar su adhesión a las políticas y procedimientos documentados. Este es el informe que los clientes quieren ver, ya que explica sus debilidades.

SOC3 es un informe de auditoría genérico, utilizado principalmente por los proveedores de centros de datos / nube como herramienta de marketing para decir “oye, estamos auditados por SOC, aquí hay un informe genérico de alto nivel que no divulga ningún detalle”.

O lo pagan, o usted no lo proporciona. Las empresas que necesitan este tipo de cert saben con certeza el costo.