SOC 2 Type II 时间线
我们公开发布了通往 SOC 2 Type II 的路线图,让客户可以据此安排采购计划。里程碑诚实透明,不做「合规作秀」 — Type II 需要真实的 6 个月观察期,而不是只走一天的形式审计。
里程碑
2026-Q1
架构准备就绪
AWS 多可用区 + 静态 AES-256 + 传输 TLS 1.2 及以上 + Secrets Manager + IAM 最小权限。所有基础控制已上线。
2026-Q2
GDPR 就绪的架构
隐私审计第 1 至 4 阶段已完成:数据最小化、删除权流程、同意管理,以及 GDPR 第 9(2)(a) 条下的生物特征数据处理。
2026-Q3
审计日志与事件响应基线
集中式审计追踪(按套餐保留 1 至 3 年)、事件响应手册、值班轮换、安全事件通知流程。
2026-Q4
审计方选定 — Vanta + A-LIGN
已选定:Vanta 负责合规自动化(持续从 AWS、Stripe、Okta、GitHub、SES 收集证据),A-LIGN 担任审计公司。SVDY 与 Linear、Ramp、ClickUp、Loom 共用同一套工具栈。决策已记录在 svdy/SOC2_AUDITOR_DECISION.md。
2026-Q4
就绪度评估
由 Vanta 驱动的差距分析 + A-LIGN 的人工就绪度复核。覆盖政策、访问控制、变更管理、供应商管理、加密 — 在 6 个月观察期开始前修复所有剩余差距。
2027-Q1
审计观察期开始
6 个月的观察窗口启动。持续收集证据 — 评估控制在一段时间内的运行有效性,而非某一时刻的快照。
2027-Q2
审计观察期结束
审计方完成证据复核。退出会谈与管理层回应。报告进入起草阶段。
2027-Q3
SOC 2 Type II 报告发布
最终报告将在签署 NDA 后提供给客户。此后进入年度复审节奏,每个 Type II 观察期结束后报告都会刷新。
供应商选型
我们选用业界标准工具,而非自建合规流水线。在预客户阶段,这相当于用每年约 25,000 美元换取工程师投入到产品上的时间。
Vanta — 合规自动化平台
持续从 AWS、Stripe、Okta、GitHub、SES 收集证据。客户超过 1500 家,包括 Linear、Ramp、ClickUp、Loom。SOC 2 + GDPR + ISO 27001 + HIPAA 模块在同一平台上协同工作。
A-LIGN — 审计公司
Vanta 最大的审计合作伙伴;约 40% 经由 Vanta 完成的 SOC 2 Type II 报告由 A-LIGN 出具。专注于中小型 SaaS 行业,价格中等,观察期结束后约 3 周即可交付报告。
为什么选 Type II 而不是 Type I
SOC 2 Type I 仅证明控制在某一时间点存在;Type II 证明这些控制在一段时间内(通常为 6 个月)持续有效运行。企业级 IT 团队对 Type I 评价不高 — 它本质上只是一张快照,他们真正会要的是 Type II。
我们直接跳过 Type I,瞄准 Type II,避免「无效里程碑」的陷阱。这会让整体时间线延长大约 6 个月,但产出的是客户真正用得上的报告。
今天就需要回复安全问卷?
在 SOC 2 Type II 于 2027 年 Q3 发布之前,我们提供:
• 针对 CSA Cloud Controls Matrix 的标准 CAIQ-Lite 回复。
• 针对各厂商专属问卷的定制回复(Vanta、Drata、SecurityScorecard 导入,通常需 3 个工作日)。
• 由工程负责人签署的架构图与数据流说明。
