Назад към блога
Съответствие9 мин четене

SOC 2 сертификация: цена, срокове и стъпки за 2026

A

Alexander Sverdlov

Анализатор по сигурността

5.07.2026 г.
SOC 2 сертификация: цена, срокове и стъпки за 2026

Когато кажа на основател, че е дошло време за SOC 2 сертификация, първият въпрос почти винаги е един и същ: "Добре, а колко ще струва и колко време ще отнеме?". Напълно разбираемо е - SOC 2 рядко идва от вътрешно желание, а от конкретна сделка, която не може да се затвори без доклада. В тази статия давам честни числа и срокове, без заобикалки и без скрити уговорки, така че да можете да планирате бюджет и календар още преди да сте се обадили на когото и да било.

Колко струва SOC 2 сертификацията

Колко струва SOC 2 сертификацията

Първото, което трябва да знаете, е че SOC 2 има два отделни разхода, които хората постоянно бъркат и събират в едно число:

  • Подготовка - анализ на пропуските (gap analysis), писане на политики, въвеждане на липсващите контроли и подготовка за самия одит. Това е по-голямата част от усилието и мястото, където добрият партньор ви спестява месеци лутане.
  • Самият одит - таксата на лицензираната CPA фирма, която преглежда контролите ви и издава доклада. Това е напълно отделен разход, който се плаща на одитора, а не на консултанта.

За българска SaaS компания с екип до около 30 души ориентировъчните диапазони изглеждат така. Подготовката, ако я водите с външен партньор, обикновено е между 8 000 и 20 000 EUR в зависимост от това колко неща вече имате налице. Одиторската такса за Type I е приблизително 6 000 - 12 000 EUR, а за Type II - около 10 000 - 20 000 EUR. Към това добавете инструмент за автоматизация на доказателствата (Vanta, Drata, Secureframe и подобни), който струва грубо 7 000 - 15 000 EUR на година. Тоест първата година реалистично се движи между 25 000 и 50 000 EUR общо, а следващите години са по-евтини, защото остава основно поддръжката и повторният одит.

Крайната сметка зависи от няколко фактора, които могат да се назоват точно предварително: броя на служителите, броя на средите (само облак или хибрид), колко контроли вече работят, дали ви трябва Type I или Type II и кои от петте Trust Services Criteria включвате. Точно затова фиксираме цената след кратък разговор за обхвата, вместо да хвърляме число на сляпо - и вие трябва да се пазите от всеки, който ви дава твърда оферта, без да е разбрал средата ви.

Type I или Type II: кое и кога

Type I или Type II: кое и кога

Това е решението, което най-силно влияе и на цената, и на срока, затова заслужава отделно внимание.

SOC 2 Type I е снимка в точен момент - одиторът потвърждава, че контролите ви са правилно проектирани към определена дата. Бърз е, по-евтин е и често е напълно достатъчен, за да отблокира една забуксувала сделка.

SOC 2 Type II доказва, че същите тези контроли реално работят през период от време, обикновено между 3 и 12 месеца. Това е докладът, който сериозните корпоративни клиенти в крайна сметка искат, защото показва не намерение, а доказана практика.

Стратегията, която препоръчвам в 9 от 10 случая, е проста: минете първо през Type I, за да затворите текущата сделка и да покажете напредък, и веднага стартирайте наблюдателния период за Type II. Така не губите момента с клиента, но и не оставате с по-слабия доклад завинаги.

Колко време отнема

Колко време отнема

За компания, която тръгва практически от нулата, реалистичната подготовка до готовност за одит е около 90 дни съсредоточена работа. Ето как изглеждат те на практика:

  • Седмици 1 - 2: анализ на пропуските и определяне на обхвата. Накрая имате ясен, приоритизиран списък какво липсва.
  • Седмици 3 - 6: писане на политиките и въвеждане на най-важните технически контроли - MFA, централизирано логване, управление на достъпа.
  • Седмици 7 - 10: настройка на автоматичното събиране на доказателства, обучение на екипа и затваряне на останалите пропуски.
  • Седмици 11 - 12: вътрешен преглед, симулация на одита и избор на одитор.

След това Type I приключва бързо, защото е оценка към дата. При Type II следва наблюдателният период - ако клиентът ви е готов да приеме 3-месечен прозорец, се движите бързо; ако иска класическите 6 месеца, планирайте съответно. Важното е, че броячът за Type II тръгва едва когато контролите реално работят, а не от деня, в който сте решили да започнете.

Стъпките на практика

Стъпките на практика
  1. Анализ на пропуските. Сравняваме текущото ви състояние спрямо изискванията и получавате приоритизиран списък какво липсва, подреден по риск и усилие, а не по азбучен ред.
  2. Политики. Пишем политиките за сигурност така, че да отговарят на реалните ви процеси, а не да са копирани шаблони, които никой няма да спазва. Одиторът бързо надушва политика, която съществува само на хартия.
  3. Технически контроли. Въвеждаме липсващото - MFA навсякъде, централизирано логване, управление на достъпа по роли, наблюдение и ясна процедура за реакция при инциденти.
  4. Доказателства. Настройваме автоматично събиране на доказателства, за да не се събира всичко на ръка в нощта преди одита. Това е разликата между поддържан SOC 2 и еднократна агония всяка година.
  5. Одит. Свързваме ви с лицензиран одитор, подготвяме ви за въпросите и ви водим през целия процес до издаването на доклада.

Как да изберете одитор

Как да изберете одитор

Изборът на одитор е по-важен, отколкото изглежда, и е честа причина за забавяния. Няколко практични съвета: одиторът трябва да е лицензирана CPA фирма (SOC 2 се издава само от такива), потърсете опит точно със SaaS и облачни компании, а не само с класически финансови одити, и попитайте предварително за сроковете им - добрите одитори са натоварени и често се планират месеци напред. Не оставяйте този избор за последния момент, защото лесно изяжда седмици от календара ви.

Петте грешки, които удължават процеса

Петте грешки, които удължават процеса
  • SOC 2 като еднократен проект за отметка. SOC 2 е процес, който се поддържа целогодишно. Който го третира като еднократно усилие, плаща двойно следващата година.
  • Инструмент без човек. Купуването на платформа за автоматизация без някой, който знае какво да прави с нея, само ви дава скъпо табло с червени точки. Инструментът помага, но не замества разбирането.
  • Type II с ненастроени контроли. Ако стартирате наблюдателния период, преди контролите реално да работят, одиторът ще установи пропуски и периодът на практика се рестартира - губите месеци.
  • Политики, които никой не следва. Политика, разминаваща се с реалната практика, е по-лоша от липсата на политика. При одита разликата си личи веднага.
  • Късен избор на одитор. Оставен за накрая, изборът на одитор често добавя седмици заради графика на одиторската фирма.

Често задавани въпроси

SOC 2 сертификат ли е, или нещо друго? Технически SOC 2 е атестация, а не сертификат - няма лого, което да си сложите, а доклад, който давате на клиента. На пазара обаче всички го търсят като "SOC 2 сертификация", затова така го наричаме и тук.

Трябва ли ни Type I, или направо Type II? Ако имате конкретна сделка, която чака, започнете с Type I и веднага стартирайте Type II. Ако нямате натиск от клиент, можете да минете направо към Type II.

Колко струва поддръжката след първата година? Значително по-малко - остават основно повторният одит и текущото събиране на доказателства, които вече са автоматизирани.

Можем ли да минем без инструмент за автоматизация? Можете, но при екип над 15-20 души ръчното събиране на доказателства бързо става по-скъпо от инструмента, измерено в изгубено време на хората ви.

Петте Trust Services Criteria: кои да включите

SOC 2 не е един монолитен стандарт - той се гради върху пет критерия (Trust Services Criteria) и вие избирате кои да обхванете според това какво обещавате на клиентите си:

  • Сигурност (Security) - задължителният критерий, основата на всеки SOC 2. Покрива защитата срещу неоторизиран достъп.
  • Наличност (Availability) - дали системата е достъпна според поетите ангажименти (SLA, uptime). Логичен избор, ако продавате платформа с гаранции за наличност.
  • Цялост на обработката (Processing Integrity) - дали системата обработва данните точно и навреме. Важен за финтех и платежни потоци.
  • Поверителност (Confidentiality) - защита на информацията, маркирана като поверителна.
  • Защита на личните данни (Privacy) - как се събират, използват и съхраняват личните данни.

Съветът ми: започнете само със Сигурност и добавяйте останалите критерии единствено когато конкретен клиент или регулация го изискват. Всеки добавен критерий оскъпява и удължава одита, така че няма смисъл да плащате за обхват, който никой не ви е поискал.

Българската специфика и припокриването с GDPR

За българска компания SOC 2 почти винаги върви заедно с GDPR, защото обработвате лични данни на европейски и често на американски клиенти. Добрата новина е, че двете се припокриват значително - контролите за достъп, криптирането, управлението на инциденти и воденето на записи служат и за двете. Ако подходите умно, голяма част от работата по SOC 2 затваря едновременно и изисквания по GDPR, така че не ги третирайте като два отделни проекта. Лошата новина е, че SOC 2 одиторът няма да приеме "имаме GDPR" като доказателство - всеки контрол трябва да е документиран и проследим по начина, който одиторът очаква.

Друг практичен момент: повечето американски клиенти ще поискат и попълнен въпросник по сигурността още преди да видят доклада. Ако вече сте минали през подготовката за SOC 2, тези въпросници се попълват за часове вместо за дни, защото отговорите и доказателствата вече ги имате събрани на едно място.

Ако искате цялостната картина какво е SOC 2 и защо клиентите ви настояват за него, започнете от основния текст: SOC 2 сертификация. А ако решавате между SOC 2 и ISO 27001 за западен клиент, вижте сравнението между двата стандарта.

Готови да започнете? Вижте услугата ни за SOC 2 сертификация - анализ на пропуските, разработка на политики и подготовка за одита, с готовност за одит за около 90 дни. Свържете се с нас за безплатен разговор за обхвата.

Александър Свердлов

Александър Свердлов

Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.

SOC 2 сертификация: цена, срокове и стъпки (2026) | Atlant Security