Zum Hauptinhalt springen
SVDY Logo
Trust Center

/

Ziel Q1 2027

Zeitplan SOC 2 Type II

Wir veröffentlichen eine offene Roadmap zu SOC 2 Type II, damit Kundinnen und Kunden ihre Beschaffung darauf ausrichten können. Ehrliche Meilensteine, kein "Compliance-Theater" — Type II erfordert ein echtes 6-monatiges Beobachtungsfenster, kein Tagesaudit.

Meilensteine

2026-Q1

Erledigt

Architekturreife

AWS multi-AZ + AES-256 im Ruhezustand + TLS 1.2+ + Secrets Manager + IAM mit minimalen Rechten. Alle grundlegenden Kontrollen sind im Einsatz.

2026-Q2

Erledigt

DSGVO-fähige Architektur

Datenschutz-Audit Welle 1 bis 4 abgeschlossen: Datenminimierung, Recht auf Löschung, Einwilligungsmanagement und biometrische Verarbeitung gemäß Artikel 9(2)(a).

2026-Q3

In Arbeit

Audit-Logs und Incident Response

Zentralisierter Audit-Trail (1 bis 3 Jahre Aufbewahrung je nach Tarif), Incident-Response-Runbook, On-Call-Rotation und Protokoll für Datenpannen-Meldungen.

2026-Q4

In Arbeit

Auswahl des Auditors — Vanta + A-LIGN

Ausgewählt: Vanta für die Compliance-Automatisierung (kontinuierliche Beweissammlung aus AWS, Stripe, Okta, GitHub, SES) und A-LIGN als Auditgesellschaft. SVDY setzt auf den gleichen Toolstack wie Linear, Ramp, ClickUp und Loom.

2026-Q4

Geplant

Readiness-Bewertung

Vanta-gestützte Gap-Analyse und persönliche Readiness-Prüfung durch A-LIGN. Bewertet Richtlinien, Zugriffskontrollen, Change Management, Lieferantenmanagement und Verschlüsselung — verbleibende Lücken werden vor Beginn des 6-monatigen Beobachtungsfensters geschlossen.

2027-Q1

Geplant

Start der Auditperiode

Das 6-monatige Beobachtungsfenster beginnt. Kontinuierliche Beweissammlung — Wirksamkeit der Kontrollen über die Zeit, nicht nur zu einem Stichtag.

2027-Q2

Geplant

Ende der Auditperiode

Der Auditor schließt die Beweisprüfung ab. Abschlussgespräch und Stellungnahme der Geschäftsleitung. Die Berichtserstellung beginnt.

2027-Q3

Geplant

Veröffentlichung des SOC 2 Type II Berichts

Endgültiger Bericht für Kundinnen und Kunden unter NDA verfügbar. Beginn des jährlichen Re-Audit-Rhythmus; der Bericht wird jedes Jahr mit einer neuen Type-II-Beobachtungsperiode aktualisiert.

Anbieterwahl

Wir setzen auf branchenübliche Werkzeuge, statt eine eigene Compliance-Pipeline zu bauen. In der Pre-Customer-Phase tauschen wir damit etwa 25 000 USD/Jahr gegen Engineering-Zeit, die in das Produkt fließt.

Vanta — Plattform für Compliance-Automatisierung

Kontinuierliche Beweissammlung aus AWS, Stripe, Okta, GitHub und SES. Über 1500 Kunden, darunter Linear, Ramp, ClickUp und Loom. Module für SOC 2 + DSGVO + ISO 27001 + HIPAA in einer Plattform.

A-LIGN — Auditgesellschaft

Größter Auditpartner von Vanta; rund 40 % der mit Vanta erstellten SOC 2 Type II Berichte laufen über A-LIGN. Spezialisierung auf KMU-SaaS. Mittlere Preisklasse und etwa 3 Wochen Berichtslaufzeit nach Ende der Auditperiode.

Warum Type II statt Type I

SOC 2 Type I bestätigt, dass Kontrollen zu einem Stichtag existierten; Type II bestätigt, dass sie über einen Zeitraum (typischerweise 6 Monate) wirksam funktioniert haben. Enterprise-IT-Teams sehen Type I kritisch — er ist im Wesentlichen eine Momentaufnahme. Type II ist der Bericht, den sie tatsächlich anfordern.

Wir überspringen Type I und gehen direkt zu Type II, um die Falle des "nutzlosen Meilensteins" zu vermeiden. Das verlängert den Zeitplan um etwa 6 Monate, liefert aber einen Bericht, den Kundinnen und Kunden wirklich nutzen.

Müssen Sie heute einen Sicherheitsfragebogen ausfüllen?

Bis SOC 2 Type II in Q3 2027 erscheint, bieten wir:

CAIQ-Lite-Antworten auf die Standard-CSA Cloud Controls Matrix.

Individuelle Antworten auf anbieterspezifische Fragebögen (Imports aus Vanta, Drata oder SecurityScorecard — typischerweise innerhalb von 3 Werktagen).

Architekturdiagramme und Datenflussbeschreibungen, unterzeichnet von der Engineering-Leitung.

E-Mail an security@svdy.com