Когда нужна бумажка о compliance / pentest / SOC2 / ISO / прочее

В 2020 в сентябре (шел 5-6й месяц SpatialChat) мне крупный клиент - RIPE NCC (это голландский Tier-1 регистратор (https://www.ripe.net/) невозмутимо отреагировал на счет в $6,000 USD (а это на минутку были первые крупные деньги для нас!), но сказал:

"Is your product GDPR compliant? We also usually require some penetration testing but we can skip this for the purpose of this project". (Да-да покупка решения это для многих крупных клиентов внутри называется "проект").

Я тогда вообще не знал что делать, и что это за хуйня такая. GDPR compliance сделать оказалось не сильно сложно, просто надо было понимать матчасть. С годами мы прошли большую часть кругов ада, получив GDPR+DPA, SOC2 Type II compliance. Я потратил за SOC2 $32,000 USD, заплатив американцам за пентесты и сертификат с отчетом (зато там был американский флаг с орлом - было комично это получить, тогда еще сидев с видом на останкинскую башню).

И вот постоянно мне пишут и вижу в фаундерских чатах регулярно вопрос следующего типа:

Привет, друзья.
Крупный клиент запросил для SaaS какую-то бумажку (рипорт/сертификат) о результатах нагрузочного тестирования (от независимой организации).
Кто-то делал такое?

Для тех, кому нужно любой пентест, сертификацию для SaaS, GDPR compliance с DPA-соглашением (это Data Processing Addendum, короче бумажка в которой ты пишешь что клянешься мамой, что у тебя сервер в европе, и ты либо все сам закодил, либо юзаешь еще Third Party инфру, которая прицепом тоже GDPR compliant).

Я уже 2 года знаком с Владом, который помогает SaaS стартапам (в числе которых и мои друзья) получить эти штуки. Пишите Владу:

@Datami (скажите пароль "от Алмаса")

P.S. Возвращаясь к тому клиенту впоследствии они впечатлились нашим упорством, да и сервис понравился, поэтому LTV с этого клиента потом достиг $20,000 USD c лишним за годы. Окупилось короче.

P.P.S. А еще писал на эту тему вот тут https://uklad.vc/blog/security-compliance-v-saas/