Назад към блога
Съответствие10 мин четене

SOC 2 сертификация

A

Alexander Sverdlov

Анализатор по сигурността

5.07.2026 г.
SOC 2 сертификация

Рано или късно се случва на почти всяка българска SaaS компания, която продава на по-големи клиенти: пристига имейл от отдела по сигурността на потенциален корпоративен клиент с един простичък въпрос - "Имате ли SOC 2?". И сделката, която изглеждаше почти затворена, изведнъж спира на място.

Този текст е за това какво всъщност означава SOC 2 сертификация, защо я искат от вас и как изглежда пътят дотам, без маркетинг и без излишен страх.

Какво е SOC 2 всъщност

Какво е SOC 2 всъщност

Първо, една терминологична уговорка, която няма да повтарям нататък: на български всички казват "SOC 2 сертификация", но технически SOC 2 не е сертификат, а атестация. Независим лицензиран одитор (CPA фирма) преглежда вашите контроли и издава доклад. Няма лого, което да си сложите, има доклад, който давате на клиента. На практика обаче пазарът го търси като сертификация, затова така го наричаме и тук.

SOC 2 оценява контролите ви спрямо петте Trust Services Criteria: сигурност (задължителен), наличност, цялост на обработката, поверителност и защита на личните данни. За повечето SaaS компании започваме със сигурността и добавяме останалите само ако клиент или регулация го изискват.

Type I срещу Type II

Type I срещу Type II
  • SOC 2 Type I е снимка в точен момент: одиторът потвърждава, че контролите ви са правилно проектирани към определена дата. Бърз е и често е достатъчен, за да отблокира една сделка.
  • SOC 2 Type II доказва, че тези контроли реално работят през период от време, обикновено от 3 до 12 месеца. Това е докладът, който сериозните корпоративни клиенти в крайна сметка искат.

Честата стратегия, която препоръчвам, е да минете първо през Type I, за да затворите сделката, и веднага да започнете наблюдателния период за Type II.

Защо български SaaS компании имат нужда от нея

Защо български SaaS компании имат нужда от нея

Причината почти никога не е вътрешна. Тя идва отвън - от клиент в САЩ или Западна Европа, чийто отдел по доставчиците няма да подпише договор без доклада. SOC 2 се превърна в де факто паспорта, който показва на купувача, че може да ви се довери с неговите данни. Без него попадате в дълъг цикъл от въпросници по сигурността, а понякога просто ви изваждат от списъка.

Ако точно сега продавате или искате да продавате на запад, вижте и по-конкретния ни текст за SOC 2 за български SaaS, който продава в САЩ.

Колко време и колко струва

Колко време и колко струва

За екип, който започва от нулата, реалистичният път до готовност за одит е около 90 дни концентрирана работа. Цената зависи от размера на компанията, броя на средите и това колко неща вече имате налице. По-подробната разбивка на цени, срокове и стъпки е в придружаващия текст: SOC 2 сертификация: цена, срокове и стъпки.

Как изглежда пътят

Как изглежда пътят
  1. Анализ на пропуските - сравняваме текущото ви състояние спрямо изискванията и получавате ясен списък какво липсва.
  2. Политики и контроли - пишем политиките и въвеждаме липсващите технически контроли (MFA, логване, управление на достъпа, наблюдение).
  3. Събиране на доказателства - настройваме процесите така, че доказателствата да се събират автоматично, а не на ръка в нощта преди одита.
  4. Одит - свързваме ви с лицензиран одитор и ви прекарваме през самия одит.

Кои контроли всъщност проверява одиторът

Кои контроли всъщност проверява одиторът

Много компании си представят SOC 2 като абстрактна бюрокрация, но зад него стоят съвсем конкретни, познати технически и организационни мерки. Одиторът ще иска да види неща като: многофакторна автентикация навсякъде, особено за административните акаунти; управление на достъпа по роли и редовен преглед кой до какво има достъп; централизирано логване и наблюдение, за да можете да установите какво се е случило при инцидент; процес за реакция при инциденти, който е описан и упражняван, а не само на хартия; управление на уязвимостите и навременни корекции; криптиране на чувствителните данни; контрол върху промените в кода и инфраструктурата; и процеси около наемането и напускането на служители. Добрата новина е, че повечето от тези мерки са просто добра хигиена по сигурността - SOC 2 само ги формализира и изисква да докажете, че реално ги правите.

SOC 2 или ISO 27001

Това е честият въпрос, особено когато имате и американски, и европейски клиенти. Накратко: SOC 2 е по-разпознаваем в САЩ и при американските купувачи, гъвкав е и се фокусира върху доказване, че контролите ви работят. ISO 27001 е международен стандарт, по-разпознаваем в Европа и при по-големи корпоративни и публични клиенти, и се фокусира върху изграждането на цялостна система за управление на сигурността. Ако клиентите ви са предимно в САЩ, започнете със SOC 2. Ако са предимно в Европа или ви искат изрично ISO, тръгнете натам. А ако имате и от двата свята, добрата новина е, че контролите се припокриват силно - веднъж изградени, те покриват голяма част и от двата стандарта. По темата имаме отделен подробен текст за избора според вашия пайплайн.

Чести заблуди за SOC 2

  • "SOC 2 е еднократен проект." Не е - Type II по дефиниция проверява период от време, а докладът се подновява всяка година. SOC 2 е процес, не събитие.
  • "Купуваме инструмент и сме готови." Платформите за автоматизация помагат, но не заместват реалните контроли и човека, който знае какво прави. Инструмент без процес е скъпо табло с червени точки.
  • "Имаме GDPR, значи сме готови за SOC 2." Двете се припокриват, но не са едно и също. GDPR няма да мине за доказателство пред SOC 2 одитора.
  • "Твърде малки сме за SOC 2." Ако продавате на компании, които искат доклада, размерът ви е без значение - искат го дори от стартъпи с шепа хора.

Какво получавате накрая

Резултатът от целия процес е доклад, който давате на клиентите си (обикновено под NDA). Той описва системата ви, контролите, които сте въвели, и - при Type II - констатациите на одитора дали тези контроли са работили през наблюдавания период. Това е документът, който отключва сделки: вместо да попълвате безкраен въпросник по сигурността за всеки нов клиент, често е достатъчно да изпратите доклада. Много компании установяват, че SOC 2 не само премахва спънката в продажбите, но и реално подобрява вътрешната им дисциплина по сигурността - защото изискването да доказвате, че правите нещата, ви кара да ги правите наистина.

Често задавани въпроси

Колко време е валиден докладът? Обикновено покрива период от 12 месеца и се подновява ежегодно. Клиентите очакват актуален доклад, не отпреди три години.

Кой издава доклада? Само лицензирана CPA фирма. Консултантът (като нас) ви подготвя, но самият доклад идва от независимия одитор.

Можем ли да минем сами, без консултант? Технически да, но повечето екипи без опит губят месеци в лутане. Консултантът съкращава пътя и предотвратява скъпите грешки, които рестартират процеса.

Деветдесетте дни накратко

За да добиете усещане за ритъма, ето как изглежда типичната подготовка. През първите две седмици правим анализ на пропуските и определяме обхвата - кои Trust Services Criteria, кои системи, Type I или Type II. Следващите няколко седмици са за писане на политиките и въвеждане на липсващите технически контроли - тук обикновено е и най-много работа. После настройваме автоматичното събиране на доказателства и обучаваме екипа, за да не се събира всичко на ръка преди одита. Последните седмици са за вътрешен преглед, симулация на одита и избор на одитор. След това Type I приключва бързо, а за Type II стартира наблюдателният период. Деветдесет дни е реалистично за компания, която започва от нулата и работи съсредоточено; ако вече имате част от контролите, може да е значително по-бързо.

А след първата година

SOC 2 не свършва с първия доклад. Той се подновява всяка година, защото клиентите искат актуален доклад. Добрата новина е, че втората година е чувствително по-лека и по-евтина - тежката работа по изграждането на контролите и процесите вече е свършена и остава основно поддръжката и повторният одит. Тук се отплаща инвестицията в автоматично събиране на доказателства: ако сте я направили правилно от началото, всяка следваща година е въпрос на поддържане на ритъма, а не на нова агония. Компаниите, които третират SOC 2 като жив процес, а не като еднократен изпит, харчат все по-малко усилия с всяка изминала година.

Струва ли си

За компания, чиито клиенти искат SOC 2, въпросът всъщност не е "струва ли си", а "колко сделки губим без него". Една-единствена корпоративна сделка често надхвърля многократно цената на цялата подготовка. Освен прякото отключване на продажби, процесът ви оставя и с реално по-добра сигурност - нещо, което рано или късно щяхте да направите така или иначе. Затова за повечето растящи SaaS компании SOC 2 не е разход, а инвестиция, която се връща с първия голям клиент, който иначе би казал "не".

Накратко

SOC 2 е начинът да докажете на корпоративните си клиенти, че могат да ви се доверят с данните си - без дълги въпросници и без губене на сделки. Не е сертификат в буквалния смисъл, а атестация от независим одитор, но на практика е паспортът ви към по-големите клиенти. Подготовката отнема около 90 дни, цената зависи от обхвата, а ползата надхвърля самата сделка, защото в процеса реално заздравявате сигурността си.

SOC 2 не е формалност за отметка. Направен както трябва, той реално намалява риска ви и същевременно отваря врати към клиенти, които иначе никога не биха подписали. Това е рядкото съвпадение, в което сигурността и продажбите дърпат в една и съща посока.

Готови да започнете? Вижте услугата ни за SOC 2 сертификация - анализ на пропуските, разработка на политики и подготовка за одита, с готовност за одит за около 90 дни. Свържете се с нас за безплатен разговор за обхвата.

Александър Свердлов

Александър Свердлов

Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.

SOC 2 сертификация: какво е и как да я получите | Atlant Security