SOC 2 сертификация: цена, срокове и стъпки за 2026
Alexander Sverdlov
Анализатор по сигурността

Когато кажа на основател, че е дошло време за SOC 2 сертификация, първият въпрос почти винаги е един и същ: "Добре, а колко ще струва и колко време ще отнеме?". Напълно разбираемо е - SOC 2 рядко идва от вътрешно желание, а от конкретна сделка, която не може да се затвори без доклада. В тази статия давам честни числа и срокове, без заобикалки и без скрити уговорки, така че да можете да планирате бюджет и календар още преди да сте се обадили на когото и да било.
Колко струва SOC 2 сертификацията

Първото, което трябва да знаете, е че SOC 2 има два отделни разхода, които хората постоянно бъркат и събират в едно число:
- Подготовка - анализ на пропуските (gap analysis), писане на политики, въвеждане на липсващите контроли и подготовка за самия одит. Това е по-голямата част от усилието и мястото, където добрият партньор ви спестява месеци лутане.
- Самият одит - таксата на лицензираната CPA фирма, която преглежда контролите ви и издава доклада. Това е напълно отделен разход, който се плаща на одитора, а не на консултанта.
За българска SaaS компания с екип до около 30 души ориентировъчните диапазони изглеждат така. Подготовката, ако я водите с външен партньор, обикновено е между 8 000 и 20 000 EUR в зависимост от това колко неща вече имате налице. Одиторската такса за Type I е приблизително 6 000 - 12 000 EUR, а за Type II - около 10 000 - 20 000 EUR. Към това добавете инструмент за автоматизация на доказателствата (Vanta, Drata, Secureframe и подобни), който струва грубо 7 000 - 15 000 EUR на година. Тоест първата година реалистично се движи между 25 000 и 50 000 EUR общо, а следващите години са по-евтини, защото остава основно поддръжката и повторният одит.
Крайната сметка зависи от няколко фактора, които могат да се назоват точно предварително: броя на служителите, броя на средите (само облак или хибрид), колко контроли вече работят, дали ви трябва Type I или Type II и кои от петте Trust Services Criteria включвате. Точно затова фиксираме цената след кратък разговор за обхвата, вместо да хвърляме число на сляпо - и вие трябва да се пазите от всеки, който ви дава твърда оферта, без да е разбрал средата ви.
Type I или Type II: кое и кога

Това е решението, което най-силно влияе и на цената, и на срока, затова заслужава отделно внимание.
SOC 2 Type I е снимка в точен момент - одиторът потвърждава, че контролите ви са правилно проектирани към определена дата. Бърз е, по-евтин е и често е напълно достатъчен, за да отблокира една забуксувала сделка.
SOC 2 Type II доказва, че същите тези контроли реално работят през период от време, обикновено между 3 и 12 месеца. Това е докладът, който сериозните корпоративни клиенти в крайна сметка искат, защото показва не намерение, а доказана практика.
Стратегията, която препоръчвам в 9 от 10 случая, е проста: минете първо през Type I, за да затворите текущата сделка и да покажете напредък, и веднага стартирайте наблюдателния период за Type II. Така не губите момента с клиента, но и не оставате с по-слабия доклад завинаги.
Колко време отнема

За компания, която тръгва практически от нулата, реалистичната подготовка до готовност за одит е около 90 дни съсредоточена работа. Ето как изглеждат те на практика:
- Седмици 1 - 2: анализ на пропуските и определяне на обхвата. Накрая имате ясен, приоритизиран списък какво липсва.
- Седмици 3 - 6: писане на политиките и въвеждане на най-важните технически контроли - MFA, централизирано логване, управление на достъпа.
- Седмици 7 - 10: настройка на автоматичното събиране на доказателства, обучение на екипа и затваряне на останалите пропуски.
- Седмици 11 - 12: вътрешен преглед, симулация на одита и избор на одитор.
След това Type I приключва бързо, защото е оценка към дата. При Type II следва наблюдателният период - ако клиентът ви е готов да приеме 3-месечен прозорец, се движите бързо; ако иска класическите 6 месеца, планирайте съответно. Важното е, че броячът за Type II тръгва едва когато контролите реално работят, а не от деня, в който сте решили да започнете.
Стъпките на практика

- Анализ на пропуските. Сравняваме текущото ви състояние спрямо изискванията и получавате приоритизиран списък какво липсва, подреден по риск и усилие, а не по азбучен ред.
- Политики. Пишем политиките за сигурност така, че да отговарят на реалните ви процеси, а не да са копирани шаблони, които никой няма да спазва. Одиторът бързо надушва политика, която съществува само на хартия.
- Технически контроли. Въвеждаме липсващото - MFA навсякъде, централизирано логване, управление на достъпа по роли, наблюдение и ясна процедура за реакция при инциденти.
- Доказателства. Настройваме автоматично събиране на доказателства, за да не се събира всичко на ръка в нощта преди одита. Това е разликата между поддържан SOC 2 и еднократна агония всяка година.
- Одит. Свързваме ви с лицензиран одитор, подготвяме ви за въпросите и ви водим през целия процес до издаването на доклада.
Как да изберете одитор

Изборът на одитор е по-важен, отколкото изглежда, и е честа причина за забавяния. Няколко практични съвета: одиторът трябва да е лицензирана CPA фирма (SOC 2 се издава само от такива), потърсете опит точно със SaaS и облачни компании, а не само с класически финансови одити, и попитайте предварително за сроковете им - добрите одитори са натоварени и често се планират месеци напред. Не оставяйте този избор за последния момент, защото лесно изяжда седмици от календара ви.
Петте грешки, които удължават процеса

- SOC 2 като еднократен проект за отметка. SOC 2 е процес, който се поддържа целогодишно. Който го третира като еднократно усилие, плаща двойно следващата година.
- Инструмент без човек. Купуването на платформа за автоматизация без някой, който знае какво да прави с нея, само ви дава скъпо табло с червени точки. Инструментът помага, но не замества разбирането.
- Type II с ненастроени контроли. Ако стартирате наблюдателния период, преди контролите реално да работят, одиторът ще установи пропуски и периодът на практика се рестартира - губите месеци.
- Политики, които никой не следва. Политика, разминаваща се с реалната практика, е по-лоша от липсата на политика. При одита разликата си личи веднага.
- Късен избор на одитор. Оставен за накрая, изборът на одитор често добавя седмици заради графика на одиторската фирма.
Често задавани въпроси
SOC 2 сертификат ли е, или нещо друго? Технически SOC 2 е атестация, а не сертификат - няма лого, което да си сложите, а доклад, който давате на клиента. На пазара обаче всички го търсят като "SOC 2 сертификация", затова така го наричаме и тук.
Трябва ли ни Type I, или направо Type II? Ако имате конкретна сделка, която чака, започнете с Type I и веднага стартирайте Type II. Ако нямате натиск от клиент, можете да минете направо към Type II.
Колко струва поддръжката след първата година? Значително по-малко - остават основно повторният одит и текущото събиране на доказателства, които вече са автоматизирани.
Можем ли да минем без инструмент за автоматизация? Можете, но при екип над 15-20 души ръчното събиране на доказателства бързо става по-скъпо от инструмента, измерено в изгубено време на хората ви.
Петте Trust Services Criteria: кои да включите
SOC 2 не е един монолитен стандарт - той се гради върху пет критерия (Trust Services Criteria) и вие избирате кои да обхванете според това какво обещавате на клиентите си:
- Сигурност (Security) - задължителният критерий, основата на всеки SOC 2. Покрива защитата срещу неоторизиран достъп.
- Наличност (Availability) - дали системата е достъпна според поетите ангажименти (SLA, uptime). Логичен избор, ако продавате платформа с гаранции за наличност.
- Цялост на обработката (Processing Integrity) - дали системата обработва данните точно и навреме. Важен за финтех и платежни потоци.
- Поверителност (Confidentiality) - защита на информацията, маркирана като поверителна.
- Защита на личните данни (Privacy) - как се събират, използват и съхраняват личните данни.
Съветът ми: започнете само със Сигурност и добавяйте останалите критерии единствено когато конкретен клиент или регулация го изискват. Всеки добавен критерий оскъпява и удължава одита, така че няма смисъл да плащате за обхват, който никой не ви е поискал.
Българската специфика и припокриването с GDPR
За българска компания SOC 2 почти винаги върви заедно с GDPR, защото обработвате лични данни на европейски и често на американски клиенти. Добрата новина е, че двете се припокриват значително - контролите за достъп, криптирането, управлението на инциденти и воденето на записи служат и за двете. Ако подходите умно, голяма част от работата по SOC 2 затваря едновременно и изисквания по GDPR, така че не ги третирайте като два отделни проекта. Лошата новина е, че SOC 2 одиторът няма да приеме "имаме GDPR" като доказателство - всеки контрол трябва да е документиран и проследим по начина, който одиторът очаква.
Друг практичен момент: повечето американски клиенти ще поискат и попълнен въпросник по сигурността още преди да видят доклада. Ако вече сте минали през подготовката за SOC 2, тези въпросници се попълват за часове вместо за дни, защото отговорите и доказателствата вече ги имате събрани на едно място.
Ако искате цялостната картина какво е SOC 2 и защо клиентите ви настояват за него, започнете от основния текст: SOC 2 сертификация. А ако решавате между SOC 2 и ISO 27001 за западен клиент, вижте сравнението между двата стандарта.
Готови да започнете? Вижте услугата ни за SOC 2 сертификация - анализ на пропуските, разработка на политики и подготовка за одита, с готовност за одит за около 90 дни. Свържете се с нас за безплатен разговор за обхвата.

Александър Свердлов
Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.