Aller au contenu principal
SVDY Logo
Centre de confiance

/

Cible Q1 2027

Calendrier SOC 2 Type II

Nous publions une feuille de route ouverte vers SOC 2 Type II pour que les clients puissent caler leur cycle d'achat dessus. Des jalons honnêtes, sans "théâtre de conformité" — le Type II nécessite une vraie fenêtre d'observation de 6 mois, pas un audit d'une seule journée.

Jalons

2026-Q1

Terminé

Préparation de l'architecture

AWS multi-AZ + AES-256 au repos + TLS 1.2+ + Secrets Manager + IAM avec privilèges minimums. Tous les contrôles fondamentaux sont en production.

2026-Q2

Terminé

Architecture conforme RGPD

Audit de confidentialité vagues 1 à 4 terminé : minimisation des données, parcours de droit à l'effacement, gestion du consentement et traitement biométrique au titre de l'article 9(2)(a).

2026-Q3

En cours

Journaux d'audit et réponse aux incidents

Piste d'audit centralisée (rétention de 1 à 3 ans selon le forfait), runbook de réponse aux incidents, rotation d'astreinte et protocole de notification de violation.

2026-Q4

En cours

Choix d'auditeur — Vanta + A-LIGN

Sélectionné : Vanta pour l'automatisation de la conformité (collecte continue de preuves depuis AWS, Stripe, Okta, GitHub, SES) et A-LIGN comme cabinet d'audit. SVDY rejoint la même chaîne d'outils que Linear, Ramp, ClickUp et Loom.

2026-Q4

Planifié

Évaluation de préparation

Analyse d'écarts pilotée par Vanta et revue humaine de A-LIGN. Couvre les politiques, le contrôle d'accès, la gestion du changement, la gestion des fournisseurs et le chiffrement, et identifie les écarts résiduels avant le démarrage de la fenêtre d'observation de 6 mois.

2027-Q1

Planifié

Démarrage de la période d'audit

La fenêtre d'observation de 6 mois commence. Collecte continue de preuves — efficacité opérationnelle des contrôles dans le temps, pas seulement à un instant T.

2027-Q2

Planifié

Clôture de la période d'audit

L'auditeur termine la revue des preuves. Entretien de clôture et réponse de la direction. Rédaction du rapport en cours.

2027-Q3

Planifié

Émission du rapport SOC 2 Type II

Rapport final disponible pour les clients sous NDA. Cadence annuelle de réaudit ; le rapport est renouvelé chaque année avec une nouvelle période d'observation Type II.

Choix des fournisseurs

Nous avons retenu des outils standards du marché plutôt que de construire un pipeline de conformité sur mesure. En phase pré-client, cela échange ~25 000 USD/an contre du temps d'ingénierie consacré au produit.

Vanta — plateforme d'automatisation de la conformité

Collecte continue de preuves depuis AWS, Stripe, Okta, GitHub et SES. Plus de 1500 clients, dont Linear, Ramp, ClickUp et Loom. Modules SOC 2 + RGPD + ISO 27001 + HIPAA sur la même plateforme.

A-LIGN — cabinet d'audit

Plus grand partenaire auditeur de Vanta ; environ 40 % des rapports SOC 2 Type II générés avec Vanta passent par A-LIGN. Spécialiste du SaaS PME. Tarif intermédiaire et environ 3 semaines pour livrer le rapport après la fin de la période d'audit.

Pourquoi le Type II et pas le Type I

Le SOC 2 Type I atteste que les contrôles existaient à un instant donné ; le Type II atteste qu'ils ont fonctionné efficacement sur une période (généralement 6 mois). Les équipes IT enterprise sous-pondèrent le Type I — ce n'est qu'une photo. Le Type II est celui qu'elles demandent réellement.

Nous sautons le Type I et allons directement au Type II pour éviter le piège du "jalon inutile". Cela ajoute environ 6 mois au calendrier, mais produit un rapport que les clients utilisent réellement.

Besoin de remplir un questionnaire de sécurité dès aujourd'hui ?

En attendant la publication du SOC 2 Type II au Q3 2027, nous proposons :

Des réponses CAIQ-Lite à la matrice standard CSA Cloud Controls Matrix.

Des réponses personnalisées aux questionnaires propres à chaque fournisseur (imports Vanta, Drata, SecurityScorecard — généralement sous 3 jours ouvrés).

Des schémas d'architecture et descriptions de flux de données signés par la direction de l'ingénierie.

Écrire à security@svdy.com