SaaS europea con clientes USA. Pregunta si se puede hacer "dos por uno". El alcance ISO y SOC 2 difiere pero los controles Annex A 2022 cubren mucho TSC. ¿Estimáis 1.3x o 1.6x del esfuerzo de uno solo?
6 respuestas
1.4x en mi experiencia, si el alcance es el mismo. El esfuerzo extra está en el evidence collection con dos auditores distintos y formatos distintos.
Drata/Vanta ayudan muchísimo si la stack es cloud-native. La doble certificación sale a 1.2x con la plataforma bien configurada.
¿Drata o Vanta para empresa de 200 personas? Veo precios muy distintos.
Drata si ya tienes ISO y queremos mantener. Vanta más amigable para arrancar de cero. Para 200 personas Vanta sale mejor en mi opinión.
Coincido. Y ojo con SOC 2 Type II: necesitas observación mínima 3-6 meses. Planifica la auditoría una vez tengas operación continua, no antes.
Tomado nota. Voy con Vanta + observación 6 meses antes del Type II.
Inicia sesión para responder y votar.