Pravdepodobne ste už počuli tie hororové príbehy. Startup je na pokraji uzavretia obrovskej podnikovej dohody – zmluvy, ktorá mení trajektóriu spoločnosti. Potom prichádza „Bezpečnostný dotazník“. Zrazu sa predajná dynamika zastaví, pretože potenciálny klient vyžaduje správu SOC2 Type II.
Ak už nie ste v súlade, prepadne vás panika. Uvedomíte si, že získanie certifikácie SOC2 nie je len o zaškrtnutí niekoľkých políčok; je to náročný proces dokumentovania každej jednej veci, ktorú robíte, dokazovania, že to skutočne robíte, a preukazovania, že vaše systémy sú bezpečné. Jednou z najväčších prekážok v celom tomto utrpení je požiadavka na Penetration Testing.
Tradične to znamená najatie butikovej bezpečnostnej firmy, zaplatenie vysokého poplatku, čakanie tri týždne na manuálny test a následné obdržanie PDF správy plnej zraniteľností, ktoré vaši vývojári musia narýchlo opraviť, kým ich uvidí audítor. Je to pomalé, drahé a úprimne povedané, zastarané. Kým manuálny tester dokončí svoju správu, pravdepodobne ste už nasadili desať nových verzií