跳到主要内容
SVDY Logo
信任中心

/

目标:2027 年 Q1

SOC 2 Type II 时间线

我们公开发布了通往 SOC 2 Type II 的路线图,让客户可以据此安排采购计划。里程碑诚实透明,不做「合规作秀」 — Type II 需要真实的 6 个月观察期,而不是只走一天的形式审计。

里程碑

2026-Q1

已完成

架构准备就绪

AWS 多可用区 + 静态 AES-256 + 传输 TLS 1.2 及以上 + Secrets Manager + IAM 最小权限。所有基础控制已上线。

2026-Q2

已完成

GDPR 就绪的架构

隐私审计第 1 至 4 阶段已完成:数据最小化、删除权流程、同意管理,以及 GDPR 第 9(2)(a) 条下的生物特征数据处理。

2026-Q3

进行中

审计日志与事件响应基线

集中式审计追踪(按套餐保留 1 至 3 年)、事件响应手册、值班轮换、安全事件通知流程。

2026-Q4

进行中

审计方选定 — Vanta + A-LIGN

已选定:Vanta 负责合规自动化(持续从 AWS、Stripe、Okta、GitHub、SES 收集证据),A-LIGN 担任审计公司。SVDY 与 Linear、Ramp、ClickUp、Loom 共用同一套工具栈。决策已记录在 svdy/SOC2_AUDITOR_DECISION.md。

2026-Q4

已规划

就绪度评估

由 Vanta 驱动的差距分析 + A-LIGN 的人工就绪度复核。覆盖政策、访问控制、变更管理、供应商管理、加密 — 在 6 个月观察期开始前修复所有剩余差距。

2027-Q1

已规划

审计观察期开始

6 个月的观察窗口启动。持续收集证据 — 评估控制在一段时间内的运行有效性,而非某一时刻的快照。

2027-Q2

已规划

审计观察期结束

审计方完成证据复核。退出会谈与管理层回应。报告进入起草阶段。

2027-Q3

已规划

SOC 2 Type II 报告发布

最终报告将在签署 NDA 后提供给客户。此后进入年度复审节奏,每个 Type II 观察期结束后报告都会刷新。

供应商选型

我们选用业界标准工具,而非自建合规流水线。在预客户阶段,这相当于用每年约 25,000 美元换取工程师投入到产品上的时间。

Vanta — 合规自动化平台

持续从 AWS、Stripe、Okta、GitHub、SES 收集证据。客户超过 1500 家,包括 Linear、Ramp、ClickUp、Loom。SOC 2 + GDPR + ISO 27001 + HIPAA 模块在同一平台上协同工作。

A-LIGN — 审计公司

Vanta 最大的审计合作伙伴;约 40% 经由 Vanta 完成的 SOC 2 Type II 报告由 A-LIGN 出具。专注于中小型 SaaS 行业,价格中等,观察期结束后约 3 周即可交付报告。

为什么选 Type II 而不是 Type I

SOC 2 Type I 仅证明控制在某一时间点存在;Type II 证明这些控制在一段时间内(通常为 6 个月)持续有效运行。企业级 IT 团队对 Type I 评价不高 — 它本质上只是一张快照,他们真正会要的是 Type II。

我们直接跳过 Type I,瞄准 Type II,避免「无效里程碑」的陷阱。这会让整体时间线延长大约 6 个月,但产出的是客户真正用得上的报告。

今天就需要回复安全问卷?

在 SOC 2 Type II 于 2027 年 Q3 发布之前,我们提供:

针对 CSA Cloud Controls Matrix 的标准 CAIQ-Lite 回复。

针对各厂商专属问卷的定制回复(Vanta、Drata、SecurityScorecard 导入,通常需 3 个工作日)。

由工程负责人签署的架构图与数据流说明。

发邮件至 security@svdy.com