Semakan Keselamatan dan Pematuhan Tanpa Kehilangan Tawaran
Nombor Utama yang Perlu Diketahui Enterprise AE
- Kira-kira 60% tawaran enterprise menjalankan semakan keselamatan formal, dan peratusan itu melebihi 80% dalam perkhidmatan kewangan, penjagaan kesihatan, dan mana-mana tawaran di mana hasil pembeli melebihi $500M.
- AE yang mengurus semakan keselamatan sebagai sebahagian daripada tawaran menutup 4 kali lebih cepat berbanding AE yang menyerahkannya kepada InfoSec atau Undang-undang selepas komitmen lisan.
- Kitaran keselamatan enterprise median pada tahun 2026: 28 hari. Suku teratas AE menahannya di bawah 21 hari.
- Permintaan DPA tersuai muncul dalam kira-kira 35% tawaran enterprise, tetapi AE yang berkongsi DPA standard secara proaktif semasa discovery mengurangkan angka itu kepada bawah 25%.
- Tawaran yang hilang pada semakan keselamatan berjumlah purata 14% Pipeline enterprise yang layak. AE yang melayan keselamatan sebagai aliran kerja mengurangkannya kepada bawah 10%.
Pertama kali saya kehilangan tawaran pada semakan keselamatan, ia adalah pada petang Jumaat selepas saya beritahu pengurus saya tentang Closed-won tersebut. CRO telah bersetuju secara lisan. Slaid persembahan sudah ada logo pelanggan. ACV adalah $480K. Perolehan sudah menempah kickoff.
Kemudian pada hari Selasa, CISO menghantar satu e-mel kepada Champion saya: "Kami tidak boleh meluluskan ini sehingga mereka menjawab soal selidik keselamatan kami dan menerima DPA standard kami." Enam minggu kemudian, tawaran itu hidup di atas kertas tetapi mati dalam praktik. Tiada siapa yang mahu menyentuhnya. Champion saya disusun semula. Soal selidik itu mempunyai 312 soalan, dan tiga daripadanya berkaitan dengan sub-pemproses yang telah disenaraihitam oleh pasukan InfoSec pembeli dua tahun sebelumnya.
Saya kehilangan tawaran itu kerana saya melayan semakan keselamatan sebagai jabatan yang akan saya serahkan tawaran itu kepadanya. AE yang mendapat akaun itu setahun kemudian melayan semakan keselamatan sebagai aliran kerja yang akan dia kendalikan.
Itulah perbezaannya. Dan itulah premis keseluruhan panduan ini.
Mengapa Semakan Keselamatan Adalah Tawaran Itu Sendiri
Pembeli perisian enterprise tidak menolak vendor pada semakan keselamatan kerana produknya buruk. Mereka menolak kerana AE tidak mengurus aliran kerja. Secara khusus:
- Soal selidik muncul pada peringkat di mana AE tidak lagi mempunyai modal politik untuk dibelanjakan.
- Pasukan InfoSec pembeli tidak mempunyai penaja eksekutif yang mendorong tawaran ke hadapan.
- AE tidak tahu sijil mana (SOC 2, ISO 27001, kecukupan GDPR) yang dipedulikan pembeli, jadi mereka memimpin dengan sijil yang salah.
- Permintaan DPA tersuai secara senyap menggantikan kontrak standard, dan tiga minggu semakan kontrak mendarat di meja Undang-undang tanpa laluan eskalasi.
Semakan keselamatan adalah tempat tawaran mati apabila AE bersikap pasif. Ia juga tempat AE terbaik memisahkan diri daripada yang biasa. AE yang kuat menjalankan aliran kerja selari dari discovery seterusnya: mendedahkan skop keselamatan lebih awal, pra-isi soal selidik, menempatkan sijil yang betul, dan pra-rundingkan DPA sebelum Undang-undang menjadi kesesakan.
Itu bukan kerja tambahan. Itulah kerjanya. Dan ia berkait langsung dengan cara anda menjalin pelbagai hubungan dalam tawaran enterprise, kerana CISO adalah salah satu daripada hubungan itu, bukan nota kaki.
Langkah 1: Dedahkan Keselamatan Semasa Discovery (Skrip Tiga Soalan)
Jika anda menunggu soalan keselamatan muncul sendiri, ia akan sentiasa muncul terlalu lewat. Pasukan InfoSec pembeli ditarik masuk oleh Perolehan selepas persetujuan lisan, dan pada ketika itu anda mempunyai tawaran yang terhenti dan orang yang tidak dikenali meminta laporan SOC 2 yang sepatutnya anda sampaikan dari awal.
Sebaliknya, kemukakan tiga soalan dalam panggilan discovery kedua anda. Secara kasual. Sebelum undang-undang pun ada dalam bilik.
Soalan 1: "Ceritakan kepada saya bagaimana anda biasanya menilai vendor dari perspektif keselamatan dan pematuhan. Siapa yang terlibat, dan pada peringkat apa?"
Ini memberitahu anda siapa CISO itu, sama ada ada pasukan GRC berpusat, dan sama ada semakan keselamatan berlaku secara selari dengan rundingan komersial atau berurutan selepasnya. Berurutan adalah tanda amaran. Ia menambah 30 hari atau lebih kepada kitaran.
Soalan 2: "Adakah ada sijil atau rangka kerja khusus yang diperlukan oleh pasukan keselamatan anda? SOC 2 Jenis II, ISO 27001, HIPAA, FedRAMP, apa-apa yang khusus untuk industri anda?"
Jawapan di sini memberitahu anda sijil mana yang perlu diutamakan. Perkhidmatan kewangan hampir selalu mementingkan SOC 2 Jenis II. Pembeli Eropah dan enterprise global mengutamakan ISO 27001 ditambah GDPR. Penjagaan kesihatan mahukan HIPAA. Kerajaan mahukan FedRAMP. Memimpin dengan sijil yang salah memberi isyarat bahawa anda tidak memahami dunia mereka.
Soalan 3: "Adakah ada templat perjanjian pemprosesan data khusus yang digunakan oleh pasukan undang-undang anda, atau anda biasanya menggunakan standard vendor?"
Ini adalah soalan yang menyelamatkan anda empat minggu semakan kontrak enam bulan kemudian. Jika mereka berkata "kami mempunyai templat DPA kami sendiri," minta sekarang. Minta pasukan keselamatan anda menyemaknya sebelum terma komersial dimuktamadkan. Jika mereka berkata "kami menggunakan standard anda," hantar DPA standard anda pada peringkat cadangan supaya ia sudah ada di meja peguam mereka apabila anda mencapai komitmen lisan.
Tiga soalan ini mengambil masa enam minit. Ia mendedahkan 80% skop keselamatan sebelum Perolehan pun ada dalam tawaran.
Langkah 2: Aliran Kerja Soal Selidik
Soal selidik keselamatan enterprise standard merangkumi 150 hingga 400 soalan merentasi kawalan akses, penyulitan, sub-pemproses, kesinambungan perniagaan, respons insiden, dan kediaman data. Pasukan InfoSec pembeli mempunyai templat. Begitu juga rangka kerja SIG (Standardized Information Gathering), CAIQ (Consensus Assessments Initiative Questionnaire), dan sedozen varian khusus industri.
Anda akan menerima salah satu daripada ini. Rancang untuk itu.
Peraturan 1: Jangan biarkan pembeli menulis soal selidik dari awal. Jika mereka meminta anda "mengisi dokumen semakan keselamatan dalaman kami," tolak dengan sopan. Tanya sama ada mereka menerima SIG, CAIQ, atau laporan SOC 2 yang telah dilengkapkan sebagai titik permulaan. Kebanyakan menerima. Mereka yang tetap mendesak borang tersuai 312 soalan mereka adalah mereka yang akan mengambil masa 10 minggu untuk menyemak jawapan anda.
Peraturan 2: Pra-isi 90% jawapan sebelum soal selidik tiba. Pasukan keselamatan atau GRC anda sepatutnya mengekalkan perpustakaan soal jawab induk: setiap soalan yang pernah anda ditanya, dengan jawapan yang diluluskan terlampir. Apabila soal selidik baharu tiba, anda sepatutnya mengisi 10% soalan baharu yang terakhir, bukan menulis keseluruhan dari dokumen kosong.
Peraturan 3: Ambil alih penghantaran. Soal selidik pergi dari pembeli kepada anda, dari anda kepada pasukan InfoSec anda, dan kembali melalui anda kepada pembeli. Anda adalah pengurus projek. Jika pasukan InfoSec anda mengambil masa tujuh hari, pembeli fikir anda mengambil masa tujuh hari. Jika pasukan pembeli mengambil masa sepuluh hari untuk menyemak jawapan anda, anda menghantar peringatan pada hari kelima untuk semakan status.
Soalan sebenar yang akan anda lihat berulang kali:
- "Sediakan laporan SOC 2 Jenis II anda dari 12 bulan terakhir."
- "Senaraikan semua sub-pemproses yang akan mempunyai akses kepada data pelanggan."
- "Huraikan proses respons insiden anda dan SLA pemberitahuan."
- "Sahkan penyulitan semasa rehat dan semasa transit, termasuk pengurusan kunci."
- "Sediakan bukti ujian penembusan dalam 12 bulan terakhir."
- "Huraikan pilihan kediaman data anda dan mekanisme pemindahan rentas sempadan."
Jika anda tidak boleh menjawab enam soalan itu dalam tidur, anda belum bersedia untuk menjalankan aliran kerja keselamatan. Hafal semuanya. Ketahui dokumen mana yang mengandungi jawapannya. Ketahui siapa di syarikat anda yang memiliki respons tersebut.
Langkah 3: SOC 2, ISO 27001, GDPR: Utamakan Apa yang Dipedulikan Pembeli
Tiga sijil merangkumi 90% semakan keselamatan enterprise. Mengetahui sijil mana yang perlu diutamakan memberitahu pembeli bahawa anda sudah pernah melakukan ini sebelum.
SOC 2 Jenis II: Standard lalai untuk pembeli Amerika Utara. Diaudit setiap tahun merentasi kriteria perkhidmatan kepercayaan (keselamatan, ketersediaan, integriti pemprosesan, kerahsiaan, privasi). Jika CISO bertanya "adakah anda mempunyai SOC 2?" mereka bermaksud Jenis II. Jenis I adalah gambaran; Jenis II merangkumi tetingkap operasi 6 hingga 12 bulan dan itulah yang sebenarnya dikehendaki oleh pembeli enterprise. Utamakan ini untuk perkhidmatan kewangan AS, SaaS, dan enterprise berorientasikan teknologi.
ISO 27001: Standard lalai untuk pembeli Eropah, APAC, dan enterprise global. Ia adalah standard sistem pengurusan keselamatan maklumat, bukan pengesahan kawalan, jadi ia merangkumi program berbanding kawalan pada titik masa tertentu. Pembeli Eropah yang dikawal selia akan sering meminta SOC 2 dan ISO 27001. Utamakan ISO 27001 untuk syarikat multinasional yang berpusat di EU dan mana-mana tawaran yang melibatkan Ketua Pegawai Privasi dalam bilik.
GDPR: Bukan sijil tetapi rangka kerja kawal selia. Pembeli mahukan bukti bahawa anda adalah pemproses data yang cekap: Klausa Kontrak Standard (SCC), senarai sub-pemproses yang didokumenkan, DPA yang bersih, dan DPIA jika anda mengendalikan data sensitif. Jika pembeli anda berasal dari Eropah dan tawaran anda melibatkan data peribadi, pendirian GDPR adalah perbualan utama, bukan kotak semak.
Kesilapan yang saya lihat AE junior lakukan: memimpin dengan "kami mempunyai SOC 2" kepada pembeli Jerman yang mahukan ISO 27001. CISO mentafsir itu sebagai "vendor ini tidak memahami persekitaran kawal selia kami," dan tawaran menjadi lebih sukar dari saat itu.
Langkah 4: Soalan DPA Tersuai: Bertahan, Semak, atau Eskalasi
Kira-kira 35% pembeli enterprise akan meminta DPA tersuai mereka. Anda mempunyai tiga respons yang ada, dan memilih yang salah memakan berminggu-minggu.
Berikan apabila: DPA tersuai hampir sama dengan standard anda, dengan semakan kontrak kosmetik (undang-undang yang mengawal, tempoh notis, perubahan istilah yang ditakrifkan). Berikan dengan cepat, gerakkan tawaran, dokumentasikan preseden.
Semak kontrak apabila: DPA tersuai mempunyai 5 hingga 15 penyimpangan substantif dari standard anda tetapi tiada fasal yang melanggar dasar keselamatan anda. Semakan kontrak biasa: had liabiliti, garis masa pemberitahuan (mereka mahukan 24 jam, anda mempunyai 72), hak audit (mereka mahukan tidak terhad, anda mempunyai tahunan), kelulusan sub-pemproses (mereka mahukan persetujuan, anda mempunyai notis). Semak kontrak ini secara metodikal dengan pasukan Undang-undang anda, dalam satu pusingan jika mungkin.
Eskalasi apabila: DPA tersuai mengandungi fasal yang tidak boleh anda terima: liabiliti tidak terhad, hak audit masa nyata, keperluan kediaman data yang tidak anda sokong, veto sub-pemproses, atau penamatan atas kemudahan dengan jaminan wang dikembalikan. Perkara ini memerlukan perbualan antara pasukan keselamatan, Undang-undang, dan CRO, bukan sesi semakan kontrak AE.
Matriks rundingan DPA yang saya simpan di meja:
| Jenis fasal | Konsesi standard | Bila untuk semak kontrak | Bila untuk eskalasi |
|---|---|---|---|
| Had liabiliti | 1 kali yuran tahunan | 2 kali yuran tahunan dengan pengecualian | Tidak terhad atau 5 kali ganda atau lebih |
| Pemberitahuan pelanggaran | 72 jam | 48 jam dengan tempoh pemulihan yang munasabah | Bawah 24 jam, atau kepada pengawal selia bagi pihak pembeli |
| Hak audit | Tahunan, dengan notis | Dua kali setahun, dengan notis | Tidak terhad, masa nyata, di lokasi |
| Perubahan sub-pemproses | Notis dengan hak untuk membantah | Persetujuan untuk perubahan ketara | Veto pada semua sub-pemproses |
| Kediaman data | EU, AS, dengan pengesahan eksplisit | Negara tertentu (jika disokong) | Negara asal sahaja tanpa pengecualian |
Cetakkan ini. Lekatkan pada monitor anda. Ia akan menyelamatkan tawaran anda.
Inilah juga tempat aliran kerja mengemudi perolehan dan undang-undang berhubung. DPA adalah salah satu daripada tiga dokumen (MSA, DPA, Borang Pesanan) yang bergerak secara selari, dan tugas anda adalah memastikan tiada satu pun daripada mereka menghalang yang lain.
Langkah 5: Laluan Eskalasi Pasukan Keselamatan
Apabila semakan keselamatan terhenti, anda eskalasi. Tetapi eskalasi hanya berkesan jika pasukan keselamatan anda sudah menemui tawaran itu, mempunyai konteks, dan melayan ia sebagai keutamaan.
Skrip yang saya gunakan, dihantar pada saat soalan keselamatan memerlukan respons manusia (bukan salin tampal dari perpustakaan soal jawab):
"Hai [Ketua Keselamatan], saya sedang dalam semakan keselamatan aktif dengan [Syarikat Pembeli], ACV $[Nilai], sasaran tutup [tarikh]. CISO adalah [nama], menyemak melalui [rangka kerja]. Saya melampirkan soal selidik dan tiga soalan yang memerlukan respons tersuai. Bolehkah kita mendapatkan jawapan dalam masa 48 jam? Pembeli mengharapkan kita membalas menjelang [hari]. Jika kita mencapai itu, kita berada pada landasan untuk penutupan [tarikh sasaran]."
Perhatikan apa yang ada dalam skrip itu: nilai tawaran, tarikh tutup, nama CISO pembeli, soalan khusus, dan SLA. Begitulah cara pasukan keselamatan mengutamakan. Mereka menjalankan giliran. Tanpa konteks, tawaran anda adalah satu baris dalam hamparan.
Untuk tawaran di mana keselamatan sedang berjalan tidak kena (DPA tersuai dengan 40 semakan kontrak, pembeli menuntut fasal yang tidak boleh anda terima, kebimbangan sub-pemproses yang memerlukan kelulusan CTO), eskalasi kepada CRO anda dan Ketua Keselamatan anda dalam urutan Slack yang sama. Jangan biarkan aliran kerja keselamatan berlaku dalam silo sementara aliran kerja komersial terhenti secara selari. Dapatkan mereka dalam bilik yang sama.
Perangkap Biasa
Menunggu keselamatan muncul sendiri. Ia selalu muncul, dan selalu terlalu lewat. Gunakan skrip tiga soalan discovery.
Memasuki panggilan keselamatan tanpa rujukan soal selidik. Jika CISO bertanya bagaimana anda mengendalikan pengurusan kunci dan anda perlu "kembali kepada mereka," anda telah kehilangan mesyuarat itu. Bawa pek soal selidik pada setiap panggilan enterprise dari peringkat cadangan seterusnya.
Membiarkan skop DPA tersuai menggantikan terma standard anda. Setiap semakan kontrak tersuai menjadi preseden. Selepas tiga tawaran, DPA "standard" anda tidak lagi standard. Jejaki setiap konsesi, semak bersama Undang-undang setiap suku, tolak semakan kontrak yang tidak mempunyai justifikasi perniagaan.
Menjalankan semakan keselamatan tanpa penaja eksekutif di pihak pembeli. Jika CISO menyemak kontrak anda dan Champion anda adalah Pengarah Sales Ops, anda tidak mempunyai perlindungan politik apabila CISO menemui isu. Bina pelbagai hubungan lebih awal. Pastikan CFO atau COO pembeli menyedari tawaran supaya CISO mempunyai seseorang untuk dieskalasikan secara dalaman jika mereka adalah kesesakan.
Tidak pra-isi soal selidik. Anda sepatutnya mengetahui 80% jawapan sebelum anda menerima dokumen. 20% yang baharu itu adalah tempat masa anda digunakan.
Templat dan Alat yang Perlu Anda Sediakan
- Helaian panduan soal selidik keselamatan: Dokumen 1 halaman dengan pautan laporan SOC 2 Jenis II anda, pautan sijil ISO 27001, URL senarai sub-pemproses, ringkasan ujian penembusan, ringkasan penyulitan, dan SLA respons insiden. Hantar ini pada peringkat cadangan.
- Matriks rundingan DPA: Jadual di atas, dicetak dan dikongsi dengan pasukan Undang-undang anda supaya konsesi diluluskan terlebih dahulu mengikut kategori.
- Skrip eskalasi pasukan keselamatan: Templat Slack atau e-mel di atas, disesuaikan dengan penamaan dan jangkaan SLA pasukan keselamatan anda.
- Perpustakaan soal jawab induk: Dikekalkan oleh pasukan InfoSec atau GRC anda, setiap soalan yang pernah anda jawab dengan respons yang diluluskan.
AE yang menjalankan keselamatan sebagai aliran kerja mengekalkan semua empat. AE yang melayan keselamatan sebagai serah tugas tidak mempunyai satu pun, itulah sebabnya mereka menjalankan kitaran 50 hari berbanding 21 hari.
Untuk tumpukan alat dan permukaan yang lebih luas yang menjadikan ini boleh diurus merentasi Pipeline $5M atau lebih, lihat alat dan tech stack Enterprise AE. Dan untuk corak yang menenggelamkan tawaran pada peringkat ini, perangkap biasa yang dilakukan Enterprise AE bertindih banyak dengan aliran kerja ini.
Mengukur Kejayaan
Tiga nombor memberitahu anda sama ada anda menjalankan semakan keselamatan dengan baik:
- Hari kitaran keselamatan median: di bawah 21 untuk tawaran standard, di bawah 35 untuk pembeli yang sangat dikawal selia. Di atas itu, anda menyerahkan terlalu lewat.
- Kadar DPA tersuai: di bawah 25% tawaran enterprise. Di atas itu, anda tidak mendahului dengan DPA standard anda pada peringkat cadangan.
- Tawaran yang hilang pada semakan keselamatan: di bawah 10% Pipeline yang mencapai peringkat itu. Di atas itu, anda menjalankan keselamatan sebagai jabatan, bukan aliran kerja.
Jejaki ini mengikut suku, mengikut AE, mengikut jalur saiz tawaran. Corak muncul dengan cepat. AE yang menjalankan kitaran 40 hari adalah mereka yang tidak membina aliran kerja pra-isi soal selidik. AE pada kadar DPA tersuai 60% adalah mereka yang dek cadangannya tidak menyertakan DPA standard.
Semakan keselamatan bukan masalah Undang-undang. Ia bukan masalah InfoSec. Ia adalah tawaran. Dan tawaran itu adalah milik anda.
Principal Product Marketing Strategist
On this page
- Mengapa Semakan Keselamatan Adalah Tawaran Itu Sendiri
- Langkah 1: Dedahkan Keselamatan Semasa Discovery (Skrip Tiga Soalan)
- Langkah 2: Aliran Kerja Soal Selidik
- Langkah 3: SOC 2, ISO 27001, GDPR: Utamakan Apa yang Dipedulikan Pembeli
- Langkah 4: Soalan DPA Tersuai: Bertahan, Semak, atau Eskalasi
- Langkah 5: Laluan Eskalasi Pasukan Keselamatan
- Perangkap Biasa
- Templat dan Alat yang Perlu Anda Sediakan
- Mengukur Kejayaan