Compliance kao prodajni alat: SOC 2 i ISO 27001 skidaju 50–100 pitanja

9 min čitanja

Compliance kao prodajni alat radi jer ga enterprise procurement koristi kao shortcut kroz vendor risk assessment. SOC 2 izvještaj ili ISO 27001 certifikat zamijene 50 do 100 pitanja iz security questionnaire-a, pa se sales ciklusi skrate s tjedana na dane. Bez tih dokumenata, prodaja se zaglavi u procurement procesu koji ne treba završiti.

Procurement tim u velikoj kompaniji ne čita vašu "About" stranicu. Otvori vendor risk questionnaire na 87 pitanja i krene od reda 1. Ako u prvih 10 redaka ne nađe imenovani SOC 2 report ili ISO 27001 certifikat, ostalih 77 redaka ne čita zato što ste vendor s educational gap-om. Čita ih zato što ste sad vendor visokog rizika kojem treba pisana izjava o svemu. Drugačiji vendor, ista firma, ista postura, sad se pretvara u tromjesečni due-diligence projekt.

Ovo je mehanizam koji tehnički sidri landing claim compliance prodaje, i sve ostalo u članku objašnjava kako ga koristiti. Što procurement zapravo radi s vašim certifikatom, kako ekonomski izgleda razlika, kako se odlučuje između ISO 27001 i SOC 2, koje stranice buyer traži, kako pisati trust shelf bez legalese-a, gdje compliance copy aktivno ubija konverzije, i što napraviti dok čekate certifikat.

Ključni zaključci

  • Compliance certifikat funkcionira kao procurement shortcut. Skida 50 do 100 pitanja s vendor risk questionnaire-a, ne dodaje marketing pečat na footer.
  • Enterprise buyer očekuje četiri javne stranice: security overview, compliance specifikaciju s framework-ima i datumima, javnu sub-processors listu, i downloadable DPA.
  • Trust shelf je strukturirano pet redaka: framework, auditor, scope, datum, način pristupa. Bez tih pet, imate legalese koji odbija.
  • Compliance content pokvari prodaju jednako efikasno kao i njegovo odsustvo. Tri najčešća anti-pattern-a: over-promising, hiding behind legalese, refusing specifics.
  • Pre-certification narrativ je legitiman trust signal ako je datiran. "ISO 27001 audit Q3 2026" prodaje. "We take security seriously" ne.

Što enterprise procurement zapravo radi sa SOC 2 izvještajem

Procurement i vendor risk timovi nisu sigurnosni eksperti. Njihov zadatak nije procijeniti vašu sigurnosnu posturu, nego dokazati svom internom audit timu da su je provjerili. Razlika je važna. Oni traže dokument koji mogu staviti u CYA folder (cover-your-ass, folder s audit tragom), ne tehnički rapport koji će pisati neki SRE.

Standardni vendor risk questionnaire ima između 60 i 200 pitanja. Generičke kontrole (lozinke, MFA, backup, incident response plan) plus sektor-specifični zahtjevi: PCI DSS za fintech, HIPAA za zdravstvo, SOC 2 trust services criteria za SaaS. Vendor tim te questionnaire-e ne piše sam. Kupuje gotove obrasce od dobavljača poput SIG-a (Shared Assessments) ili koristi platforme tipa Whistic, OneTrust, Vanta Vendor Risk.

Kad u tim platformama postoji opcija "Upload SOC 2 Type II report" ili "Provide ISO 27001 certificate", procurement automatski preskoči 50 do 80 sub-pitanja koja taj okvir pokriva. Točan broj ovisi o opsegu vašeg certifikata, ali u praksi je medijan oko 60.

To je sales mehanizam. Vi dobivate ubrzanje, oni dobivaju compliance dokaz iza kojeg stoji netko izvana. Obje strane znaju gdje stoje.

Tipičan model za B2B SaaS sa 40 enterprise dealova godišnje

Brojevi niže su projekcija temeljena na medijanima iz Vanta benchmark reports i Drata State of Trust izvještaja, plus moje projekcije iz CISO prakse u SaaS-u. Nisu garancija; što je deal size veći, učinak certifikata je veći jer veliki kupci imaju stroži procurement.

Model: tipičan B2B SaaS s 40 enterprise dealova godišnje (projekcija, ne benchmark)
Stanje Konverzija kroz procurement Prosjek dana do potpisa
Bez certifikata ~30% (projekcija) 60–70 dana (projekcija)
ISO 27001 ili SOC 2 Type II aktivan ~55% (projekcija) 25–35 dana (projekcija)
Razlika +25 pp (projekcija) -35 dana po deal-u (projekcija)

Za SaaS s deal size 80.000 EUR ARR, certifikat se otplati u prva 1.5 enterprise deal-a. Otuda i ISO 27001 priprema za hrvatske tvrtke nije regulatorni projekt nego revenue lever.

Imate slično usko grlo u sales-u? Pogledamo gdje gubite cikluse →

EU i US tržišta traže drugačiji framework. EU procurement preferira ISO 27001 — to je framework koji se najčešće pojavljuje u vendor risk checklistima, a ENISA-ine smjernice za NIS2 mapiraju zahtjeve Direktive na konkretne dokaze i standarde, pa je ISO 27001 prepoznatljiva dokazna baza za supply-chain sigurnost. NIS2-regulirani kupci ga sve češće traže od dobavljača kroz Članak 21(2)(d) supply-chain odredbu kao de-facto floor (vidi NIS2 vodič za hrvatske tvrtke). US enterprise procurement preferira SOC 2 Type II.

Trust shelf u pet redaka: što procurement čita u 30 sekundi

Većina B2B tvrtki kad konačno dobije certifikat napravi istu grešku. Doda PDF dokument na site, stavi logo SOC 2 ili ISO na footer, i u tekstu napiše "We are committed to the highest standards of security". Procurement preleti taj copy, ne nađe ono što traži, i nastavi popunjavati questionnaire ručno. Certifikat je tu, samo ne prodaje.

Razlika između trust shelfa i legalese-a je struktura, ne ton. Trust shelf ima pet elemenata, uvijek istih, uvijek vidljivih u prvih 30 sekundi čitanja.

Pet redaka koja moraju biti tu:

  1. Naziv frameworka i verzije ("SOC 2 Type II", "ISO/IEC 27001:2022", "HIPAA")
  2. Imenovani auditor ("Schellman & Co., LLC, AICPA-licensed CPA firm" ili "Cert body: TÜV NORD CERT")
  3. Scope: što je u opsegu, koja organizacijska jedinica, koji proizvod
  4. Datum zadnjeg izvještaja ili certifikacije plus sljedeća revizija
  5. Pristupna točka za sam dokument: download iza NDA-a ili javno, ali postojeća

Ako fali bilo koja dva od ovih pet, vaš trust shelf nije trust shelf nego marketing tekst koji slučajno spominje compliance. Procurement to prepozna za 4 sekunde.

Loš primjer (fraze iz tri realna primjera, anonimizirano):

"Naša platforma slijedi industrijske najbolje prakse u zaštiti vaših podataka. Posvećeni smo sigurnosti na svim razinama i kontinuirano ulažemo u napredne tehnologije. Surađujemo s vodećim sigurnosnim partnerima i provodimo redovite revizije kako bismo osigurali bank-grade security."

Pet rečenica koje procurement ne može provjeriti. Vodeći partneri nemaju imena. Redovite revizije nemaju datume. Bank-grade security je copy koji procurement odmah svrsta u kategoriju "vendor ne razlikuje prodaju od compliance-a".

Dobar primjer, isti vendor refactored:

SOC 2 Type II izvještaj. Auditor: Schellman & Co., LLC (AICPA-licensed CPA firm). Scope: production environment + customer data pipeline. Izvještaj period: 1. siječnja 2025. do 31. prosinca 2025. Sljedeća revizija: Q1 2027. Zatraži izvještaj uz NDA: trust@firma.hr.

Pet redaka koje procurement može zalijepiti u svoj risk register. Razlika u konverziji između ta dva pristupa nije teoretska. To je razlika između vendora koji ide u drugi krug i vendora koji je preskočen u korist konkurenta s konkretnijim odgovorom.

Četiri stranice koje enterprise buyer očekuje

Compliance dokumentacija ne stane u jednu URL putanju. Enterprise buyer očekuje četiri zasebne stranice ili sekcije, svaku s vlastitom funkcijom. Ako neka fali, signal je nedovršenosti, ne nedovršene sigurnosti.

Četiri stranice koje enterprise buyer očekuje na site-u, što na svakoj treba i što izbjegavati
Stranica Što treba Što izbjegavati
/security (sigurnosna postura) Visoka razina: enkripcija, MFA, vulnerability disclosure program, bug bounty ili odgovorna prijava Detaljna lista alata, screenshotovi konfiguracije, marketing fraze
/compliance ili /trust Lista frameworka, datumi izvještaja, imenovani auditori, request flow za dokumente "We are committed to compliance", planovi koji nisu aktivirani
Javna sub-processors lista Tablica: ime partnera, što obrađuje, lokacija (regija), datum dodavanja, kontakt Skriveno iza prijave, "available upon request", outdated lista bez datuma
DPA endpoint Downloadable PDF Data Processing Agreement-a sa standardnim klauzulama, verzija i datum "Contact us for DPA", PDF iza salesa, jedna verzija za sve klijente

/security stranica pokriva što radite svaki dan da ne dođe do incidenta. To je vaša operating posture, ne vaš certifikat. Dobar primjer pristupa je naša sigurnosna politika i vulnerability disclosure program, koja pokazuje konkretne dimenzije: CSP header score, response SLA, scope, safe harbour, javni hall of fame. Razlika je da postoji, da ima rokove, i da netko izvana može testirati svaku tvrdnju koju iznosite.

/compliance ili /trust je gdje stoji formalna dokumentacija. SOC 2, ISO 27001, HIPAA, GDPR, NIS2, a DORA ako prodajete u financije. Svaki framework ima vlastiti red u tablici s datumom, scope-om i kako doći do dokaza.

Javna sub-processors lista je GDPR-driven praksa. Članak 28(2) i 28(3)(d) GDPR-a zahtijevaju prethodno odobrenje i obavještavanje klijenta o sub-processor-ima. Javna lista nije pravna obveza, ali je najjednostavniji način da to ispunite za sve klijente odjednom. Procurement tim koji vidi tablicu sub-processora s datumima zna da ne mora pisati prijetnju "obavještavajte nas o svim promjenama" u ugovor, jer ta praksa već postoji. To štedi dvije runde pregovora.

DPA endpoint je posljednja stranica koju velika većina pravnika i procurement timova traži. Ako imate downloadable standardni DPA javno dostupan, klijentov pravnik može krenuti review odmah, paralelno s tehničkim procurement-om. Ako ga nemate, prodaja čeka da vam pravnik napiše DPA specifično za njih, što obično traje dva tjedna.

Gdje compliance content ubija konverzije

Compliance dokumentacija pokvari prodaju jednako efikasno kao i njeno odsustvo. To je obrnut pattern od onoga što tvrtke očekuju kad konačno dobiju certifikat. Tri stvari koje vidim ponavljano.

Over-promising. "Bank-grade security", "military-grade encryption", "enterprise-grade infrastructure". Ove fraze ne znače ništa. Banke nemaju jedinstven security standard. Vojska koristi različite kriptografske protokole ovisno o klasifikaciji. Procurement zna da su ove fraze marketing copy, i automatski svrsta vendor u kategoriju "ne razumije razliku između prodaje i compliance-a". Specifičnost je signal sazrelosti. "AES-256 enkripcija u mirovanju, TLS 1.3 u tranzitu, key management preko AWS KMS s automatskom rotacijom svakih 90 dana" prodaje. "Bank-grade encryption" odbija.

Hiding behind legalese. "Data is processed in accordance with applicable laws and regulations." Tu rečenicu možete primijeniti na svaku tvrtku na svijetu i ostaje istinita. Procurement koji traži specifične odgovore na pitanja o sub-processorima, retention periodima, lokacijama data centra, i incident response timeline-ovima ne dobije ništa. Legalese signalizira da nemate konkretne odgovore ili da ih ne želite dijeliti. Oba čitanja vas koštaju.

Refusing specifics. "We partner with industry-leading security providers." Koji partneri? "Trusted cloud infrastructure." Koji cloud? "Best-in-class monitoring." Koji alat? Ako odbijate imenovati alate i partnere, procurement-u govorite jedno od dvoje: ili nemate dobar tooling i sakrivate se iza fraza, ili imate ego oko competitive advantage-a i mislite da je vaš stack tajna. Druga interpretacija je posebno štetna jer procurement zna da niste prvi koji koristi AWS, Datadog ili Snowflake.

Postoji i četvrti, koji nije strogi anti-pattern nego njegov stariji rođak: stale certifikati. ISO 27001 logo iz 2022. još na footer-u u 2026. signalizira da je sigurnost bila projekt, ne praksa. Fix je 20 minuta copy work-a: dodajte godinu i status pored loga ("ISO 27001:2022, recertified Sep 2025"). Procurement koji vidi logo bez datuma pretpostavi staru dataciju.

Imate compliance dokumentaciju koja vam ne prodaje? Razgovaramo o vašem trust shelfu za review, bez obveza.

Što ako još nemate certifikat

Compliance journey kao narativ je legitiman trust signal ako je realan i datiran. Razlika između "We take security seriously" i "ISO 27001 audit zakazan za Q3 2026, gap assessment završen u veljači 2026, ISMS dokumentacija u finalnoj reviziji" je razlika između prazne izjave i roadmap-a. Procurement koji vidi roadmap možda neće potpisati odmah, ali stavlja vas u "approved with conditions" ladicu umjesto u "rejected".

Što napraviti dok čekate certifikat:

  • Soft sub-processors lista. Možete je objaviti danas, ne treba čekati certifikat.
  • Draft DPA javno dostupan, prema GDPR Art. 28(3). Postoji više besplatnih predložaka, npr. IAPP-ov. Ako prebacujete podatke izvan EEA, dodajte i Standard Contractual Clauses module kao prilog, jer to nije DPA nego mehanizam za transfere.
  • Vulnerability disclosure programme preko RFC 9116 security.txt. Pola dana posla, pokazuje da imate kanal za prijavu ranjivosti.
  • Roadmap stranica s konkretnim datumima, a ne s "soon" ili "Q3 next year".

Compliance kao prodajni alat počinje raditi onog trenutka kad pišete specifičnosti, dakle prije nego što stigne certifikat.

FAQ

Trebamo li SOC 2 ako prodajemo samo EU klijentima?

Ne nužno. SOC 2 je AICPA framework, primarno US-driven. Veliki EU enterprise klijenti u financijama, healthcare-u i tech-u sve češće traže Type II kao preferiranu alternativu ili dopunu ISO 27001, ali za manje EU klijente ISO 27001 je dovoljan i jeftiniji.

Koliko traje i košta ISO 27001 ili SOC 2?

ISO 27001 priprema je 4 do 9 mjeseci za timove s osnovnim kontrolama, do 12 mjeseci od nule. Trošak: 15.000–40.000 EUR priprema plus 5.000–12.000 EUR certifikacijski audit. ISO certifikat vrijedi 3 godine, sa surveillance auditima u godini 1 i 2, te recertification auditom u godini 3. SOC 2 Type I je 3 do 6 mjeseci, Type II dodaje 6–12 mjeseci observation perioda. Reputacija auditora je dio prodajne snage certifikata, pa ne idite na najjeftinijeg ako prodajete Fortune 500.

Kako prikazati certifikat na webu bez legalese-a?

Trust shelf pattern: framework + verzija, imenovani auditor, scope, datum, način pristupa dokumentu. U tablici ili strukturiranoj listi, ne u proznom paragrafu. Footer logo sam nije trust shelf.

Koje EU-specifične compliance stranice trebamo dodati?

Tri minimalno: javna sub-processors lista, downloadable DPA prema Art. 28(3) GDPR (s SCC modulima kao prilogom ako prebacujete podatke izvan EEA), i Privacy policy s konkretnim retention periodima i lokacijama obrade.

Što odnijeti odavde

Compliance certifikat radi kao prodajni alat onda kad ga procurement koristi kao shortcut kroz vendor risk assessment. Četiri stranice (security, compliance, sub-processors, DPA) plus pet redaka trust shelfa (framework, auditor, scope, datum, pristup) pokrivaju 80 posto onoga što enterprise buyer traži prije nego digne prvi telefon.

Većina HR B2B tvrtki koje rade s enterprise klijentima gubi sales cikluse na koracima koji su rješivi u dva tjedna copy work-a, ne u devet mjeseci compliance pripreme. Certifikat bez trust shelfa je trošak. Certifikat s trust shelfom radi posao.

Pregledajmo vaš trust shelf →
Ante Projić je osnivač Ctrl Alt Grow i savjetnik za IT sigurnost, compliance i cloud infrastrukturu.