Често срещана грешка: български основатели плащат за Type 1 и спират дотам, защото "имаме SOC 2". Шест месеца по-късно купувачът се връща с искане за Type 2 и часовникът за observation period едва тогава тръгва, което забавя реалния договор с още 3-6 месеца. Винаги стартирайте observation period-а в деня, в който получите Type 1, дори преди клиентът да го е поискал изрично.

Бюджетна засада: compliance платформите се котират в USD на годишен абонамент и често имат минимален едногодишен ангажимент. Това е повтарящ се разход, а не еднократен. Заложете го като оперативен разход в P&L още от първата година, защото купувачите ще искат подновяване на Type 2 всяка година и платформата ще ви трябва постоянно за непрекъснат evidence collection.

Език на доказателствата

Целият evidence и всички политики трябва да са на английски. Одиторът не чете кирилица. Това звучи очевидно, но е честа причина за забавяне: български компании имат вътрешни политики, договори и тикети на български и трябва да ги преведат или препишат. Изградете политиките директно на английски от началото. Ако имате evidence, генериран на български (например screenshot от админ панел с български интерфейс), сменете езика на интерфейса на английски преди да правите screenshots за observation period-а.

Формат и канал на доказателствата

Модерните одитори работят през compliance платформа или защитен портал, не през имейл с прикачени файлове. Evidence-ът са screenshots с видима дата, експорти от конфигурации, списъци на потребители с роли, тикети за управление на промени, записи от onboarding/offboarding и логове. За Type 2 одиторът взема извадки (sampling) от различни моменти на observation period-а, така че трябва да имате evidence от началото, средата и края, не само снимка от последния ден. Това е причина да стартирате evidence collection в ден 1.

Договор и плащане на одитора

Ще подпишете engagement letter по американско право (обикновено щата на CPA фирмата). Плащането е в USD по банков превод (wire) или картов посредник. Българска компания плаща без проблем, но банковите такси и валутната конверсия добавят 1-3 на сто и понякога 2-5 работни дни забавяне. Поискайте фактура с вашия ЕИК и точните данни, и планирайте плащането предварително, за да не блокира kickoff-а. Подробностите за данъчната форма W-8BEN-E са в следващата стъпка.

Практичен съвет: отделете един човек от екипа като единствена точка за контакт с одитора (обикновено CTO, head of engineering или назначен compliance owner). Одиторите задават въпросите си на вълни и разпиляната комуникация през петима души удвоява времето за приключване. Един отговорен човек с добър английски и достъп до всички системи приключва Type 1 одита 30-40 на сто по-бързо.

Специфика 1: W-8BEN-E и липсата на US EIN

Когато плащате американски одитор и когато получавате плащане от американски клиент, отсрещната страна ще поиска данъчна форма. Като чуждестранно юридическо лице българската компания попълва W-8BEN-E (не W-9, която е за US лица), за да докаже статута си и да приложи спогодбата за избягване на двойно данъчно облагане между България и САЩ. Без коректно попълнена W-8BEN-E американският клиент може да удържи 30 на сто withholding данък от плащанията ви. Това не е SOC 2 изискване, но изниква в същия procurement пакет и блокира договора. Подгответе W-8BEN-E предварително; ако сделката изисква US EIN, заявяването му отнема няколко седмици, така че не чакайте до последно.

Специфика 2: MSA и DPA по чуждо право

Американският enterprise клиент ще ви прати своя Master Service Agreement и Data Processing Agreement, обикновено по правото на щат Делауеър, Ню Йорк или Калифорния, с arbitration клауза и понякога с искане за нива на застраховка (cyber и professional liability), които българските компании рядко имат по подразбиране. SOC 2 докладът отговаря на security въпросите, но не на договорните. Подгответе се да договаряте governing law, limitation of liability и insurance изисквания. Препоръка: имайте готов собствен DPA шаблон, съвместим с GDPR и със Standard Contractual Clauses за трансфер на данни към САЩ, за да не приемате наизуст чуждия текст.

Специфика 3: GDPR като cross-cutting слой над SOC 2

Българската компания е под GDPR винаги, независимо дали клиентът е американски. Това означава, че трябва да съчетаете SOC 2 (която US купувачът иска) с GDPR задължения (които КЗЛД налага), включително законни основания за обработка, права на субектите, 72-часово докладване на нарушения и трансфери на данни към САЩ. Ако обработвате лични данни на граждани на ЕС в американски облак, нужни са ви Standard Contractual Clauses или Data Privacy Framework сертификация на доставчика. Добрата новина: 55-65 на сто от контролите се припокриват, така че unified control mapping между SOC 2 и GDPR спестява двойна работа. Лошата: ако ги третирате като отделни проекти, плащате двойно и се обърквате кой evidence за кой режим важи.

Специфика 4: Валутни и банкови триения

Одиторската такса и compliance платформата се котират в USD. Българската банка добавя валутна конверсия и такса за международен превод, а понякога изисква документация за произхода на средствата при по-големи изходящи преводи. Това добавя 1-3 на сто към реалната цена и понякога няколко работни дни забавяне на kickoff-а. Решение, което препоръчваме: открийте мултивалутна сметка (USD) при банка или регулиран EMI, за да получавате приходите от US клиенти и да плащате доставчиците си в USD без двойна конверсия. Това намалява триенето и в двете посоки и прави cash flow прогнозите по-чисти.

Специфика 5: Часово и езиково несъответствие при evidence

Освен живите разговори, асинхронната работа с одитор на 7-10 часа разлика означава, че всеки кръг въпроси и отговори отнема цял ден. Ако екипът ви отговаря на английски бавно или неточно, одитът се проточва. Добавете и че интерфейсите на българските инструменти (счетоводен софтуер, вътрешни системи) често са на български и трябва да се превключат за screenshots. Препоръка: назначете compliance owner с уверен бизнес английски, превключете критичните системи на английски интерфейс преди observation period-а, и групирайте отговорите към одитора в дневни batch-ове, за да не губите по един работен ден на всеки въпрос.

Дни 1-30: Scope, gap анализ и избор на одитор

Дефинирайте scope (кои Trust Services Criteria, кой продукт, коя инфраструктура). За повечето български SaaS това е Security, понякога плюс Availability. Направете gap анализ спрямо контролите, изберете compliance платформа и я свържете с AWS/GCP/Azure, Google Workspace или M365, GitHub и MDM. Изберете и ангажирайте CPA фирма с опит с европейски стартъпи, подпишете engagement letter и подгответе W-8BEN-E. Назначете compliance owner.

Готови да преминете напред: одобрен scope, подписан одитор, платформата събира evidence, gap списък с приоритети.

Дни 31-60: Изграждане на контроли и политики

Затворете gap-овете: MFA на всички, RBAC и least privilege, централизиран logging и алерти, автоматизирани backups с тест на възстановяване, vulnerability scanning, secure SDLC с code review и change management, endpoint protection и MDM. Напишете задължителните политики на английски (Information Security, Access Control, Change Management, Incident Response, Vendor Management, Business Continuity, Risk Assessment). Проведете security awareness обучение и документирайте onboarding/offboarding процеса.

Готови да преминете напред: всички приоритетни контроли работят с evidence, пълен policy set одобрен от ръководството.

Дни 61-90: Readiness проверка и Type 1 одит

Проведете вътрешна readiness проверка (сами или с консултант), за да хванете пропуски преди одитора. Отстранете находките. Одиторът провежда Type 1 одита (преглед на дизайна на контролите в "as of" дата), задава въпроси, проверява evidence. Отговаряйте в дневни batch-ове. При липса на съществени проблеми получавате Type 1 доклада 2-4 седмици след as-of датата. В същия ден стартирате observation period-а за Type 2.

Готови да преминете напред: Type 1 докладът е в ръцете ви, observation period-ът за Type 2 тече.

Направете SOC 2 сега, ако:

• Имате поне един американски enterprise клиент или близка сделка, която изрично иска SOC 2 report.
• Продавате SaaS, който обработва клиентски данни, и таргетирате US mid-market или enterprise.
• Vendor security въпросниците от US клиенти ви ядат по 40-60 часа на сделка и забавят цикъла.
• Планирате US фокусиран фундрейзинг и искате SOC 2 като сигнал за зрялост пред due diligence.

Изчакайте или изберете друг ход, ако:

• Продавате основно на ЕС/DACH клиенти. Тогава ISO 27001 е по-разпознаваемият документ и по-добрата първа стъпка.
• Нямате нито един клиент или сделка, която иска SOC 2. Не строите за хипотетичен бъдещ купувач.
• Екипът ви не може да отдели compliance owner и 90 дни концентрирано внимание заради product launch или фундрейзинг.
• Клиентът приема алтернатива (security questionnaire отговори, attestation letter, pentest report) като временен мост.

SOC 2 сертификат ли е, или нещо друго?

Не е сертификат. SOC 2 е одиторски доклад (attestation report), издаден от лицензирана американска CPA фирма, който описва контролите ви и мнението на одитора дали те са проектирани (Type 1) и работят (Type 2) според Trust Services Criteria. Няма "сертификационен орган" и няма лого, което слагате на сайта си по същия начин като ISO. Споделяте самия доклад (под NDA) с купувача, който го преглежда. Това е ключова разлика спрямо ISO 27001, който е сертификат с акредитиран орган.

SOC 2 или ISO 27001, ако имам и US, и ЕС клиенти?

Бърз тест по обема на pipeline-а: ако 60 и повече процента идва от САЩ, започнете със SOC 2 Type 1, после Type 2. Ако 60 и повече процента идва от ЕС/UK/DACH, започнете с ISO 27001. При смесен 40-60 профил направете SOC 2 първо (по-бързо до първи резултат), после ISO 27001 като extension с unified control mapping. Двата режима имат 70-75 на сто припокриване на контроли, така че втората рамка е значително по-евтина, ако сте започнали с обединено mapping от ден 1.

Трябва ли да регистрирам американско дружество, за да получа SOC 2?

Не. Българското ЕООД или АД получава SOC 2 доклад без американско присъствие. Одиторът е частна CPA фирма, която работи с вас дистанционно и издава доклад за вашата компания, независимо от държавата на регистрация. US EIN или дружество могат да са полезни по търговски или данъчни причини (например ако клиентът настоява за US contracting entity), но не са изискване за самия SOC 2. Не създавайте US структура само заради одита.

Колко дълъг observation period за Type 2 да избера: 3, 6 или 12 месеца?

За първи Type 2 повечето български SaaS избират 3 месеца, защото това е най-краткият период, който одиторите приемат, и отблокира сделката най-бързо. Някои enterprise купувачи предпочитат 6 месеца, защото дава по-силно доказателство. След първия доклад следващите Type 2 обикновено покриват 12 месеца, за да има непрекъснато покритие година след година (купувачите не обичат "дупки" между докладите). Препоръка: започнете с 3 месеца за първия, после преминете към 12-месечен годишен цикъл.

Нужна ли е compliance платформа, или мога без нея?

Технически можете без нея, но за български SaaS я препоръчваме силно. Платформата свързва инструментите ви и автоматично събира 60-70 на сто от evidence, което е критично за Type 2, където одиторът взема извадки от целия observation period. Без платформа вътрешното време скача, а рискът да пропуснете evidence от среден момент на периода расте. Цената е 5 000-18 000 EUR/год. според размера и е постоянен оперативен разход, защото подновявате Type 2 всяка година. За съвсем малки екипи (до 8-10 души) ръчният подход е възможен, но рядко по-евтин, ако сметнете вътрешното време.

Какво се случва, ако одиторът намери проблем (exception) в Type 2?

За разлика от ISO, SOC 2 докладът не е "минал/паднал". Одиторът описва намерените exceptions (моменти, в които контролът не е работил) в доклада с мнение. Малък брой минорни exceptions с обяснение и план за корекция не убиват доклада, но опитните купувачи ги четат внимателно. Целта е "чист" доклад (unqualified opinion) без съществени exceptions. Класически причини за exceptions: offboarding на напуснал служител със закъснение, пропуснат access review, backup без тест на възстановяване. Затова readiness проверката преди одита и автоматизираният evidence collection през платформа са толкова важни.