Hvorfor vi ikke er SOC 2 Type II endnu
Audit-omkostning: typisk 112-373K kr + årligt vedligehold ~75K kr. Pre-PMF spend er svært at retfærdiggøre; SOC 2 readiness uden omsætning er sunk cost.
I stedet opererer vi efter en SOC 2-prep baseline med alle fem Trust Service Criteria-kontroller indbygget (security, availability, processing integrity, confidentiality, privacy), denne CAIQ-Lite + Trust Center til kunde-due-diligence, kvartalsvis ekstern code review, og årlig penetration test (post-Day-90 gate).
Tidslinje
Afhænger af gate-passager (Day-21 / Day-45 / Day-60 brutale gates).
| Milepæl | Trigger | Leverance |
|---|---|---|
| Day 0 | Trust Center live | Denne side + CAIQ-Lite + Article 50 disclosure |
| Day 30 | Første kundekontrakt | Annex B Article 28 GDPR DPA finaliseret + specialiseret IT-/AI-advokatfirma signed-off |
| Day 90 | Første Module 1 kunde | Compliance-baseline tooling evalueret + ISO 27001 control mapping dokumenteret |
| Day 180 | 37K kr/md MRR / 5–10 kunder | Penetration test planlagt |
| Day 270 | 75K kr/md MRR / 10–15 kunder | SOC 2 Type II readiness assessment + auditor valgt |
| Day 365 | Første SOC 2 audit i gang | Type II 6-måneders observation-vindue starter |
| Day 545 | SOC 2 Type II rapport | Offentligt artifact på /trust/soc-2 |
Kompenserende kontroller i pre-SOC-2 perioden
- Kryptografisk audit-spor (Ed25519) — hver PowerQuant-godkendelse signeret + kædet. Stærkere end typisk SOC-2 access-log fordi det er tamper-evident, ikke kun observeret.
- Open-source compliance-baseline tooling — evaluering planlagt Day 90+. Vi publicerer source-code links og licensvilkår før vi laver kunde-facing claims om self-hosted drift.
- Kvartalsvis ekstern code review (Lemon.io engineer-engagement) — fanger drift i security-kontroller.
- Årlig third-party penetration test planlagt post-Day-180.
- MFA enforced på alle kritiske konti (GitHub, Stripe, Hetzner, Cloudflare, Supabase).
- Pre-commit hook forhindrer secret-leaks (file-level
# FAKEallowlist for fixtures). - Sub-processor SCCs — Annex IV-dokumentation i DPA.
Hvad vi tilbyder enterprise-kunder
Hvis jeres procurement-proces kræver SOC 2 Type II rapport og I ikke kan vente til Day 545, kan vi tilbyde:
- Letter of intent til vores SOC 2 Type II auditor (valgt ved Day 270), med måldato.
- CAIQ-Full (fuld ~270 spørgsmål) på anmodning, NDA-bundet.
- In-flight audit-evidence pakke: annoterede kopier af interne politikker, evidence-bundles, control-test resultater.
- Customer-paid acceleration — fast-track audit finansieret af kunde som del af recurring kontrakt.