본문으로 건너뛰기
SVDY Logo
트러스트 센터

/

목표: 2027년 Q1

SOC 2 Type II 일정

SOC 2 Type II까지의 로드맵을 공개해 고객님이 구매 일정을 함께 계획할 수 있도록 합니다. 정직한 마일스톤으로, "컴플라이언스 쇼"는 하지 않습니다 — Type II는 하루짜리 점검이 아니라 실제로 6개월의 관찰 기간이 필요합니다.

마일스톤

2026-Q1

완료

아키텍처 준비

AWS 멀티 AZ + 저장 시 AES-256 + 전송 시 TLS 1.2 이상 + Secrets Manager + 최소 권한 IAM. 핵심 통제는 모두 운영 중입니다.

2026-Q2

완료

GDPR 대응 아키텍처

프라이버시 감사 1~4차 완료: 데이터 최소화, 삭제권 흐름, 동의 게이트, GDPR 제9조(2)(a)에 따른 생체정보 처리.

2026-Q3

진행 중

감사 로그 및 인시던트 대응 기반

요금제별 1~3년 보관 중앙 감사 트레일, 인시던트 대응 런북, 온콜 로테이션, 침해 통지 절차.

2026-Q4

진행 중

감사 파트너 선정 — Vanta + A-LIGN

선정 결과: 컴플라이언스 자동화에 Vanta(AWS, Stripe, Okta, GitHub, SES에서 지속적으로 증적 수집), 감사 회사로 A-LIGN. SVDY는 Linear, Ramp, ClickUp, Loom과 동일한 도구 체인을 채택합니다.

2026-Q4

계획됨

준비도 평가

Vanta 기반 갭 분석과 A-LIGN의 사람에 의한 준비도 검토. 정책, 접근 통제, 변경 관리, 공급업체 관리, 암호화를 점검하고, 6개월 관찰 기간이 시작되기 전에 잔여 갭을 모두 해소합니다.

2027-Q1

계획됨

감사 기간 시작

6개월 관찰 기간이 시작됩니다. 지속적인 증적 수집을 통해 특정 시점이 아니라 일정 기간 동안 통제가 유효하게 운영되는지를 확인합니다.

2027-Q2

계획됨

감사 기간 종료

감사인이 증적 검토를 마무리합니다. 클로징 인터뷰와 경영진 코멘트를 거쳐 보고서 초안 작성에 들어갑니다.

2027-Q3

계획됨

SOC 2 Type II 보고서 발행

최종 보고서는 NDA를 체결한 고객에게 제공합니다. 이후 매년 재감사 사이클이 진행되며, Type II 관찰 기간이 끝날 때마다 보고서가 갱신됩니다.

공급사 선정

자체 컴플라이언스 파이프라인을 구축하는 대신 업계 표준 도구를 선택했습니다. 프리커스터머 단계에서는 연 약 25,000 USD를 지불하고, 그만큼의 엔지니어 시간을 제품 기능에 투입합니다.

Vanta — 컴플라이언스 자동화 플랫폼

AWS, Stripe, Okta, GitHub, SES에서 지속적으로 증적을 수집합니다. Linear, Ramp, ClickUp, Loom 등 1500개 이상의 고객사가 사용합니다. SOC 2 + GDPR + ISO 27001 + HIPAA 모듈을 한 플랫폼에서 제공합니다.

A-LIGN — 감사 회사

Vanta의 최대 감사 파트너로, Vanta를 통해 발행되는 SOC 2 Type II 보고서의 약 40%를 A-LIGN이 담당합니다. 중소형 SaaS 전문이며, 가격대는 중간이고 감사 기간 종료 후 약 3주 안에 보고서를 받을 수 있습니다.

왜 Type II인가요? Type I이 아닌 이유

SOC 2 Type I은 통제가 특정 시점에 존재했음을 증명하고, Type II는 일정 기간(보통 6개월) 동안 통제가 유효하게 운영되었음을 증명합니다. 엔터프라이즈 IT 팀은 Type I을 사실상 스냅샷으로 보고 평가에 큰 비중을 두지 않습니다. 실제로 요구하는 것은 Type II 보고서입니다.

"의미 없는 마일스톤" 함정을 피하기 위해 Type I을 건너뛰고 곧바로 Type II로 갑니다. 일정은 약 6개월 늘어나지만, 고객이 실제로 활용하는 보고서를 얻을 수 있습니다.

지금 당장 보안 점검 설문지를 채워야 하시나요?

SOC 2 Type II가 2027년 Q3에 발표되기 전까지는 다음을 제공합니다:

표준 CSA Cloud Controls Matrix 기반의 CAIQ-Lite 응답

공급사별 맞춤 설문지에 대한 개별 응답(Vanta, Drata, SecurityScorecard 임포트 — 일반적으로 영업일 기준 3일 이내)

엔지니어링 리더가 서명한 아키텍처 다이어그램 및 데이터 흐름 설명

security@svdy.com으로 메일 보내기