Zeitplan SOC 2 Type II
Wir veröffentlichen eine offene Roadmap zu SOC 2 Type II, damit Kundinnen und Kunden ihre Beschaffung darauf ausrichten können. Ehrliche Meilensteine, kein "Compliance-Theater" — Type II erfordert ein echtes 6-monatiges Beobachtungsfenster, kein Tagesaudit.
Meilensteine
2026-Q1
Architekturreife
AWS multi-AZ + AES-256 im Ruhezustand + TLS 1.2+ + Secrets Manager + IAM mit minimalen Rechten. Alle grundlegenden Kontrollen sind im Einsatz.
2026-Q2
DSGVO-fähige Architektur
Datenschutz-Audit Welle 1 bis 4 abgeschlossen: Datenminimierung, Recht auf Löschung, Einwilligungsmanagement und biometrische Verarbeitung gemäß Artikel 9(2)(a).
2026-Q3
Audit-Logs und Incident Response
Zentralisierter Audit-Trail (1 bis 3 Jahre Aufbewahrung je nach Tarif), Incident-Response-Runbook, On-Call-Rotation und Protokoll für Datenpannen-Meldungen.
2026-Q4
Auswahl des Auditors — Vanta + A-LIGN
Ausgewählt: Vanta für die Compliance-Automatisierung (kontinuierliche Beweissammlung aus AWS, Stripe, Okta, GitHub, SES) und A-LIGN als Auditgesellschaft. SVDY setzt auf den gleichen Toolstack wie Linear, Ramp, ClickUp und Loom.
2026-Q4
Readiness-Bewertung
Vanta-gestützte Gap-Analyse und persönliche Readiness-Prüfung durch A-LIGN. Bewertet Richtlinien, Zugriffskontrollen, Change Management, Lieferantenmanagement und Verschlüsselung — verbleibende Lücken werden vor Beginn des 6-monatigen Beobachtungsfensters geschlossen.
2027-Q1
Start der Auditperiode
Das 6-monatige Beobachtungsfenster beginnt. Kontinuierliche Beweissammlung — Wirksamkeit der Kontrollen über die Zeit, nicht nur zu einem Stichtag.
2027-Q2
Ende der Auditperiode
Der Auditor schließt die Beweisprüfung ab. Abschlussgespräch und Stellungnahme der Geschäftsleitung. Die Berichtserstellung beginnt.
2027-Q3
Veröffentlichung des SOC 2 Type II Berichts
Endgültiger Bericht für Kundinnen und Kunden unter NDA verfügbar. Beginn des jährlichen Re-Audit-Rhythmus; der Bericht wird jedes Jahr mit einer neuen Type-II-Beobachtungsperiode aktualisiert.
Anbieterwahl
Wir setzen auf branchenübliche Werkzeuge, statt eine eigene Compliance-Pipeline zu bauen. In der Pre-Customer-Phase tauschen wir damit etwa 25 000 USD/Jahr gegen Engineering-Zeit, die in das Produkt fließt.
Vanta — Plattform für Compliance-Automatisierung
Kontinuierliche Beweissammlung aus AWS, Stripe, Okta, GitHub und SES. Über 1500 Kunden, darunter Linear, Ramp, ClickUp und Loom. Module für SOC 2 + DSGVO + ISO 27001 + HIPAA in einer Plattform.
A-LIGN — Auditgesellschaft
Größter Auditpartner von Vanta; rund 40 % der mit Vanta erstellten SOC 2 Type II Berichte laufen über A-LIGN. Spezialisierung auf KMU-SaaS. Mittlere Preisklasse und etwa 3 Wochen Berichtslaufzeit nach Ende der Auditperiode.
Warum Type II statt Type I
SOC 2 Type I bestätigt, dass Kontrollen zu einem Stichtag existierten; Type II bestätigt, dass sie über einen Zeitraum (typischerweise 6 Monate) wirksam funktioniert haben. Enterprise-IT-Teams sehen Type I kritisch — er ist im Wesentlichen eine Momentaufnahme. Type II ist der Bericht, den sie tatsächlich anfordern.
Wir überspringen Type I und gehen direkt zu Type II, um die Falle des "nutzlosen Meilensteins" zu vermeiden. Das verlängert den Zeitplan um etwa 6 Monate, liefert aber einen Bericht, den Kundinnen und Kunden wirklich nutzen.
Müssen Sie heute einen Sicherheitsfragebogen ausfüllen?
Bis SOC 2 Type II in Q3 2027 erscheint, bieten wir:
• CAIQ-Lite-Antworten auf die Standard-CSA Cloud Controls Matrix.
• Individuelle Antworten auf anbieterspezifische Fragebögen (Imports aus Vanta, Drata oder SecurityScorecard — typischerweise innerhalb von 3 Werktagen).
• Architekturdiagramme und Datenflussbeschreibungen, unterzeichnet von der Engineering-Leitung.
