Sie haben wahrscheinlich die Horrorgeschichten gehört. Ein Startup steht kurz davor, einen riesigen Unternehmensdeal abzuschließen – die Art von Vertrag, die die Entwicklung des Unternehmens grundlegend verändert. Dann kommt der "Sicherheitsfragebogen". Plötzlich stoppt der Verkaufs Schwung abrupt, weil der Interessent einen SOC2 Type II Bericht verlangt.
Wenn Sie noch nicht konform sind, setzt die Panik ein. Sie erkennen, dass eine SOC2-Zertifizierung nicht nur das Abhaken einiger Punkte ist; es ist ein zermürbender Prozess, bei dem jede einzelne Ihrer Handlungen dokumentiert, deren tatsächliche Durchführung nachgewiesen und gezeigt werden muss, dass Ihre Systeme sicher sind. Eine der größten Hürden in diesem gesamten Prozess ist die Anforderung an Penetration Testing.
Traditionell bedeutet dies, eine spezialisierte Sicherheitsfirma zu beauftragen, eine hohe Gebühr zu zahlen, drei Wochen auf einen manuellen Test zu warten und dann einen PDF-Bericht voller Schwachstellen zu erhalten, die Ihre Entwickler nun eilig beheben müssen, bevor der Prüfer sie sieht. Es ist langsam, es ist teuer und ehrlich gesagt ist es veraltet. Bis der manuelle Tester seinen Bericht fertiggestellt hat, haben Sie wahrscheinlich bereits zehn neue Versionen von