Dwa standardy, jedno pytanie
Jeśli prowadzisz startup SaaS lub FinTech i zacząłeś rozmawiać z enterprise’owymi klientami prędzej czy później dostaniesz jedno z tych pytań: „Czy macie SOC 2?” albo „Czy macie ISO 27001?”. Czasem oba.
Obydwa standardy mają ten sam cel: dają klientowi niezależne potwierdzenie, że poważnie podchodzisz do bezpieczeństwa danych. Różnią się jednak genezą, zasięgiem geograficznym, strukturą i tym, co konkretnie potwierdzają.
Ten artykuł wyjaśnia różnice i pomaga podjąć decyzję bez żargonu.
Czym jest SOC 2
SOC 2 (System and Organization Controls 2) to standard opracowany przez AICPA amerykańskie stowarzyszenie biegłych rewidentów. Ocenia, czy kontrole bezpieczeństwa w organizacji faktycznie działają zgodnie z tzw. Trust Services Criteria: bezpieczeństwo, dostępność, integralność przetwarzania, poufność i prywatność. Bezpieczeństwo jest obligatoryjne; pozostałe kryteria wybierasz sam.
SOC 2 nie kończy się certyfikatem kończy się raportem. Raport jest poufny i udostępniany klientom wyłącznie pod NDA. Audyt przeprowadza licencjonowana firma CPA (biegły rewident wg standardów AICPA).
Są dwa typy: SOC 2 Type I ocenia, czy kontrole są właściwie zaprojektowane (w danym momencie). SOC 2 Type II ocenia, czy kontrole faktycznie działały przez określony okres zwykle 6–12 miesięcy. Type II jest standardowym oczekiwaniem enterprise’owych klientów.
Czym jest ISO 27001
ISO 27001 (ISO/IEC 27001) to międzynarodowy standard opracowany przez ISO i IEC, definiujący wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji (SZBI/ISMS). W odróżnieniu od SOC 2, ISO 27001 to standard zarządzania wymaga, żeby cała organizacja miała wdrożony, działający i ciągle doskonalony system zarządzania bezpieczeństwem.
ISO 27001 kończy się certyfikatem wystawionym przez akredytowaną jednostkę certyfikującą, ważnym 3 lata (z rocznymi audytami nadzoru). Certyfikat można publicznie pokazywać na stronie, w ofertach przetargowych, w komunikacji sprzedażowej.
Aktualna wersja to ISO/IEC 27001:2022, która zreorganizowała strukturę kontroli z 114 do 93 w czterech tematach: organizacyjne, dotyczące ludzi, fizyczne i technologiczne.
Kluczowe różnice tabela
| SOC 2 | ISO 27001 | |
|---|---|---|
| Twórca | AICPA (USA) | ISO / IEC (międzynarodowy) |
| Wynik | Raport (poufny) | Certyfikat (publiczny) |
| Zakres | Konkretna usługa/system | Cała organizacja (lub zdefiniowany zakres) |
| Podejście | Kontrole operacyjne – czy działają? | System zarządzania – czy jest zbudowany i doskonalony? |
| Rozpoznawalność | Głównie USA i Kanada | Europa, Azja, rynki globalne |
| Czas do uzyskania | SOC 2 Type I: 2–4 mies. / Type II: 6–15 mies. | 7–12 miesięcy (od zera do certyfikatu) |
| Audytor | Licencjonowana firma CPA | Akredytowana jednostka certyfikująca (np. BSI, Bureau Veritas, TÜV) |
Geograficzny podział rynku
To najważniejszy czynnik przy wyborze.
SOC 2 dominuje w USA. Jeśli sprzedajesz do enterprise’owych klientów w Stanach Zjednoczonych, brak SOC 2 Type II może blokować sprzedaż na etapie vendor due diligence. Dla amerykańskiego działu zakupów to często wymóg formalny, nie preferencja.
ISO 27001 dominuje w Europie i na rynkach globalnych. Klienci w UE szczególnie w sektorach finansowym, ubezpieczeniowym, publicznym i enterprise oczekują ISO 27001. W wielu przetargach publicznych i kontraktach korporacyjnych to wymóg, nie opcja. Dyrektywa NIS2 (obowiązuje od października 2024 r.) dodatkowo zwiększyła popyt na ISO 27001 wśród firm obsługujących europejskich klientów regulowanych.
Dla startupu z polskim rynkiem i ambicjami w UE: ISO 27001 jest bardziej naturalnym wyborem. Dla startupu celującego w ekspansję do USA: warto rozważyć SOC 2 lub oba standardy równolegle kontrole w ~80% się pokrywają.
Co wybrać drzewo decyzyjne
Zacznij od ISO 27001, jeśli:
- Twoi klienci są w Polsce, UE lub innych rynkach międzynarodowych
- Działasz w sektorze finansowym, ubezpieczeniowym lub sprzedajesz do dużych korporacji w Europie
- Chcesz certyfikatu, który możesz pokazać publicznie
- Wchodzisz w przetargi lub sprzedaż do sektora publicznego
- Twoi klienci są regulowani przez NIS2 lub DORA (łańcuch dostaw)
Zacznij od SOC 2, jeśli:
- Twoi klienci lub docelowy rynek to głównie USA
- Sprzedajesz do enterprise’owych klientów w Ameryce Północnej i brak SOC 2 blokuje deale
- Potrzebujesz szybkiego sygnału zaufania SOC 2 Type I możesz uzyskać w 2–4 miesiące
Rozważ oba, jeśli:
- Masz klientów po obu stronach Atlantyku
- Planujesz ekspansję globalną
- Inwestorzy lub klienci enterprise wymagają kompleksowego dowodu dojrzałości bezpieczeństwa
Ponieważ kontrole obu standardów pokrywają się w znacznej części, równoległa praca nad nimi jest możliwa i efektywna kosztowo wdrażasz kontrole raz, certyfikujesz pod dwa standardy.
Praktyczna perspektywa dla polskiego startupu
W Polsce i szerzej w UE pytanie o SOC 2 pojawia się rzadko głównie wtedy, gdy po drugiej stronie stołu siedzi amerykańska firma lub fundusz z portfolio w USA. W większości lokalnych i europejskich procesów sprzedażowych klientowi wystarczy ISO 27001.
Decyzję warto oprzeć na prostym pytaniu: co konkretnie blokuje lub komplikuje Twoje deale sprzedażowe dzisiaj? Jeśli klienci pytają o jedno zacznij od tego jednego.
Jeśli nie masz jeszcze ani jednego standardu i nie wiesz, od czego zacząć gap analysis pozwoli ocenić Twój stan wyjściowy i ułożyć realistyczną ścieżkę do certyfikacji.
Jak możemy pomóc
Nasz zespół realizuje wdrożenia ISO 27001 dla startupów SaaS i FinTech w Polsce. Doradzamy też w kwestii wyboru standardu i sekwencji działań, jeśli planujesz oba.
Umów bezpłatną konsultację 30 min →
Artykuł ma charakter informacyjny. Wymagania dotyczące konkretnych standardów zależą od sektora, rynku docelowego i oczekiwań klientów. Rekomendujemy weryfikację z doradcą przed podjęciem decyzji o ścieżce certyfikacji.
