خارطة طريق SOC 2 Type II
ننشر خارطة طريق علنية نحو SOC 2 Type II حتى يتمكّن العملاء من التخطيط لمشترياتهم وفقها. مراحل واضحة وصادقة، بعيدًا عن "مسرح الامتثال" — يستلزم Type II نافذة مراقبة فعلية مدتها 6 أشهر، لا تدقيقًا ليوم واحد.
المراحل
2026-Q1
جاهزية البنية التحتية
AWS متعدد المناطق + AES-256 أثناء التخزين + TLS 1.2+ + Secrets Manager + IAM بأدنى الصلاحيات. جميع الضوابط الأساسية مفعّلة.
2026-Q2
بنية متوافقة مع GDPR
اكتملت الموجات 1 إلى 4 من تدقيق الخصوصية: تقليل البيانات، مسارات الحق في المحو، بوابات الموافقة، ومعالجة بيانات السمات الحيوية وفق المادة 9(2)(a).
2026-Q3
سجلات تدقيق وأساس للاستجابة للحوادث
سجل تدقيق مركزي (احتفاظ من 1 إلى 3 سنوات حسب الخطة)، دليل استجابة للحوادث، نوبات تأهب، وبروتوكول للإبلاغ عن الانتهاكات.
2026-Q4
اختيار المدقق — Vanta + A-LIGN
تم الاختيار: Vanta لأتمتة الامتثال (جمع مستمر للأدلة من AWS وStripe وOkta وGitHub وSES) و A-LIGN كشركة تدقيق. تنضم SVDY إلى نفس مجموعة الأدوات التي يستخدمها Linear و Ramp و ClickUp و Loom.
2026-Q4
تقييم الجاهزية
تحليل الفجوات بقيادة Vanta + مراجعة جاهزية بشرية من A-LIGN. يغطي السياسات وضوابط الوصول وإدارة التغيير وإدارة المورّدين والتشفير، ويرصد أي فجوات متبقية لمعالجتها قبل بدء نافذة المراقبة لمدة 6 أشهر.
2027-Q1
بدء فترة التدقيق
تبدأ نافذة المراقبة لمدة 6 أشهر. جمع مستمر للأدلة — لتقييم فاعلية الضوابط على مدار الزمن، وليس عند نقطة واحدة.
2027-Q2
انتهاء فترة التدقيق
ينهي المدقق مراجعة الأدلة. مقابلة الإغلاق ورد الإدارة. تبدأ مرحلة كتابة التقرير.
2027-Q3
إصدار تقرير SOC 2 Type II
يُتاح التقرير النهائي للعملاء بموجب اتفاقية عدم إفصاح. تبدأ بعدها دورة إعادة التدقيق السنوية، مع تحديث التقرير كل عام بفترة مراقبة جديدة من نوع Type II.
اختيار المورّدين
اخترنا أدوات قياسية في الصناعة بدلًا من بناء منظومة امتثال مخصّصة. في مرحلة ما قبل العملاء، نستبدل بذلك ما يقارب 25,000 دولار سنويًا مقابل وقت مهندسين يصبّ في تطوير المنتج.
Vanta — منصّة لأتمتة الامتثال
جمع مستمر للأدلة من AWS وStripe وOkta وGitHub وSES. أكثر من 1500 عميل، من بينهم Linear وRamp وClickUp وLoom. توفّر وحدات SOC 2 وGDPR وISO 27001 وHIPAA على منصّة واحدة.
A-LIGN — شركة التدقيق
أكبر شريك تدقيق لـ Vanta؛ نحو 40% من تقارير SOC 2 Type II الصادرة عبر Vanta تمر من خلال A-LIGN. تخصّص في SaaS للشركات الصغيرة والمتوسطة. تسعير متوسط، وتصدر التقرير في غضون 3 أسابيع تقريبًا بعد انتهاء فترة التدقيق.
لماذا Type II وليس Type I
يثبت SOC 2 Type I أن الضوابط كانت موجودة في لحظة معيّنة، بينما يثبت Type II أنها عملت بفاعلية على مدى فترة (عادةً 6 أشهر). تتعامل فرق تقنية المعلومات في الشركات الكبرى مع Type I بحذر لأنه مجرد لقطة لحظية، أما Type II فهو ما يطلبونه فعليًا.
نتجاوز Type I ونتوجّه مباشرةً إلى Type II لتجنّب فخّ "المرحلة عديمة الفائدة". يضيف ذلك نحو 6 أشهر إلى الجدول الزمني، لكنه يُنتج تقريرًا يستفيد منه العملاء فعلًا.
هل تحتاج إلى تعبئة استبيان أمني اليوم؟
إلى أن يصدر SOC 2 Type II في Q3 2027، نوفّر:
• ردود CAIQ-Lite على مصفوفة CSA Cloud Controls Matrix القياسية.
• ردود مخصّصة على الاستبيانات الخاصة بكل مورّد (استيراد من Vanta أو Drata أو SecurityScorecard — عادةً خلال 3 أيام عمل).
• مخططات معمارية وأوصاف لتدفّق البيانات موقَّعة من قيادة الهندسة.
