SOC 2 Type II certification track для ROX.ONE

## Что это SOC 2 Type II — обязательное требование для большинства B2B-сделок выше $50k ARR. Это аудиторская сертификация Trust Services Criteria (Security, Availability, Processing Integrity, Confidentiality, Privacy) — не за один день, а с 6-12 месячным observation window. Что нужно сделать: - Выбрать аудитора (Vanta / Drata / Secureframe / прямой Big4) - Зафиксировать controls (access management, change management, incident response, vendor management, encryption-at-rest и -in-transit) - Continuous monitoring через Vanta-style platform - Penetration test (annual) - Tabletop exercise (incident response drill) - Audit-log retention ≥ 1 год с tamper-evidence (мы это уже строим) - Risk assessment ежегодно - Background checks для контрибьюторов с доступом к production Phase 1: Type I (point-in-time) — 3 месяца до Type II. ## Зачем Без SOC 2 sales-cycle с enterprise — не закрывается. С SOC 2 — это галочка, а не stopper. Это инвестиция в полтора-два года, но без неё стена для масштабирования. ## Источники вдохновения - [tailscale/hallpass](https://github.com/tailscale/hallpass) - [wasp-lang/open-saas](https://github.com/wasp-lang/open-saas) - [hackclub/hcb](https://github.com/hackclub/hcb) ## 🔗 Linear - [PZD-383](https://linear.app/kuhjie/issue/PZD-383) — backing ticket