"ладно, возможно не все понимают, что такое compliance и чем YC darling child заслужил хейт твиттера и обвинения в скаме. когда стартап продает в enterprise, у покупателя почти всегда возникает вопрос про твою состоятельность - поэтому тебя просят доказать, что у тебя есть вменяемые процессы безопасности, доступа, хранения и обработки данных. обычно можно свести к очень приземленным вещам: доступы по ролям, 2fa; логи; процесс на случай инцидента; договоры и контроль вендоров; правила хранения и экспорта данных для B2B SaaS главный документ это SOC 2. это отчет о контролях. сигнал для американского enterprise, что сотрудники не под санкциями, данные не утекают в Северную Корею, а твоя вайб-кодинг поделка не сломается, когда в нее зайдет 20 пользователей. все это нужно доказать. собрать политики, доступы, выгрузки, скриншоты, логи, тикеты, подтверждения ревью доступов, артефакты по security-процессам и прочее. короче как вы уже поняли, это монотонный процесс привлекает disruption bros. стартапы вроде vanta, drata и secureframe не делают сам аудит и не “выдают” soc 2. их задача построить софт вокруг compliance-процесса: подключить твой стек, автоматически собирать данные из разных тулов и мапить это на нужные контроли и следить за тем, чтобы проверки не падали, и держать компанию в состоянии постоянной audit readiness. а soc 2 формально остается независимой проверкой аудитора. я это делал в spatialchat - мы тогда взяли Vanta, и это заняло где-то 2-3 месяца. 4-8 недель на имплементацию контролей, 3-6 недель observation period, 2-3 недели на сам аудит. забегая вперед, я не вижу, что enterprise клиенты сильно требуют этот SOC2 на чеках ниже $20к (что идет в разрез с тем, что говорят вендоры и их инвесторы) но, читайте это правильно - если вы можете потратить 2 месяца и $15k - $20k на это - конечно сделайте. но тот клиент, который спрашивает про SOC 2 на первых звонках возможно просто ищет вежливую причину вас слить. у нас в SpatialChat этот отчет был просрочен на полгода. никто даже не заметил) обычно компании все равно попросят обосновать 1-2 критических поинта для бизнеса и пройти внутренний аудит. ну и есть разные индустриальные особенности - с медицинскими данными все это надо делать с самого начала. и тут в 2024 появился AI-native стартап созданный двумя MIT-dropout-ами - один ко-фаундер индийского происхождения, а вторая - турецкого. стратап обещает этот нудный компаленс сократить до 30 дней. конечно все это достигается за счет AI. и это привлекает другие AI-стартапы. схема, которую информатор рассказывает 1. Delve подменил реальную проверку пакетом заранее заготовленных артефактов. клиенту не помогали собрать доказательства, а подсовывали уже заполненные board meeting notes, security incident simulations, risk assessments. одним кликом. 2. Delve стер грань между GRC-софтом и аудитором. предзаполненные тесты, выводы, драфты отчетов. 493 из 494 отчетов - идентичный boilerplate с одинаковыми грамматическими ошибками. менялось только имя компании. 3. компания работала с двумя аудиторами - Accorp и Gradient. автор описывает их как indian certification mills с US-оберткой. 99%+ клиентов прошли через эти две фирмы за последние 6 месяцев. короче вы поняли, что значит буква ""I"" в аббревиатуре ""AI"" 4. при всем ""AI-native"" маркетинге, продукт на деле оказался template pack с SaaS-оберткой. большинство ""интеграций"" — контейнеры для ручных скриншотов без реальных API-подключений. 5. все 259 Type II отчетов показывают нули по инцидентам безопасности, кадровым изменениям, жалобам от клиентов. 259 разным компаниям. за месяцы наблюдений. с другой стороны, чтобы делать такой скам, не нужно два года строить продукт, нанимать 40 человек, поднимать деньги от Insight Partners, которые вроде должны уметь делать dd. есть надежда на рациональное объяснение. плюс все это еще и произошло прямо на RSA - крупнейшей конфой по инфобезу в штатах. лучшее время для атаки не придумать."