B2B SaaS с корпоративными клиентами: SOC 2 + AI-агенты

Циклы корпоративных продаж для B2B SaaS становятся длиннее. Одна из причин, на которую указывают аудиторы и корпоративные команды закупок: AI-функции, выпущенные инженерными командами без осмысления последствий для SOC 2.

Отчёт SOC 2 Type II охватывает контроли за период 6–12 месяцев. Если вы выпустили AI-агента в этот период — агента с доступом к данным клиентов, принимающего автоматизированные решения, вызывающего внешние API — ваш аудитор спросит о нём. Если вы не проектировали агента с учётом контролей SOC 2, вы потратите значительное время на аудите объясняя пробелы.

Лучший подход: проектируйте совместимых с SOC 2 AI-агентов с самого начала.

TL;DR

• Охват аудита SOC 2 Type II распространяется на AI-агентов, обрабатывающих данные клиентов или автоматизирующих решения
• Пять критериев доверенных услуг (Безопасность, Доступность, Целостность обработки, Конфиденциальность, Приватность) имеют AI-специфические последствия
• Распространённые сбои SOC 2 + AI: AI-агенты с избыточным доступом, отсутствие управления изменениями для обновлений модели, отсутствие логирования AI-решений
• Корпоративные клиенты всё чаще включают AI-специфические вопросы в анкеты безопасности поставщика
• Целостность обработки — делает ли AI-агент то, что должен, точно и полностью — это самый сложный критерий SOC 2 для AI

Почему SOC 2 теперь охватывает AI-агентов

SOC 2 — это фреймворк, построенный на Критериях доверенных услуг (TSC) AICPA. Критерии основаны на принципах, а не на конкретной технологии — они применяются к любой информационной системе, обрабатывающей данные клиентов или выполняющей функции от их имени.

AI-агенты являются информационными системами. Когда ваш AI-агент обрабатывает данные клиента, принимает решение об их аккаунте, вызывает внешний API от их имени или генерирует вывод, влияющий на их опыт — он находится в области SOC 2.

Аудиторы определяют область применения на основе систем, релевантных для обязательств сервисной организации перед её клиентами. Если вы взяли на себя обязательства перед корпоративными клиентами, что их данные защищены, что ваша система доступна и что обработка точна — ваши AI-агенты, касающиеся этих данных и обработки, находятся в области применения.

Пять TSC в маппинге на AI-агентов

1. Безопасность (CC6, CC7, CC8)

Контроли безопасности SOC 2 требуют защиты вашей системы от несанкционированного доступа. Для AI-агентов:

CC6 — Логические и физические контроли доступа

• AI-агенты должны иметь минимальный доступ к данным клиентов — только то, что требует конкретная задача
• Доступ, предоставленный AI-агентам, должен быть зафиксирован и проверяем
• Учётные данные AI-агентов (API-ключи, сервисные аккаунты) должны управляться с той же строгостью, что и человеческие учётные данные: ротироваться, отслеживаться, отзываться

CC7 — Мониторинг системы

• Активность AI-агентов должна отслеживаться на предмет аномального поведения
• Оповещения о необычных паттернах вызовов инструментов, неожиданном объёме доступа к данным или активности вне рабочих часов
• Охват мониторинга должен включать AI-агентов, а не только сессии человеческих пользователей

CC8 — Управление изменениями

• Обновления модели являются изменениями производственной системы и должны проходить через управление изменениями
• Это означает: задокументированное изменение, протестированное в непроизводственной среде, проверенное, одобренное до развёртывания
• Многие команды рассматривают обновления модели как изменения конфигурации, а не изменения кода — аудиторы SOC 2 рассматривают их как изменения производственной системы

2. Доступность (A1)

Контроли доступности адресуют, доступна ли ваша система в соответствии с обязательствами. Для AI-агентов:

• Если ваш AI-агент является частью сервиса, от которого зависят клиенты, его доступность является частью вашего SLA доступности
• Режимы сбоя и корректная деградация должны быть спроектированы — что происходит, когда API модели недоступен, когда слой управления не работает, когда внешний инструмент недостижим?
• Мониторинг доступности должен охватывать зависимости AI-агентов, а не только вашу собственную инфраструктуру

3. Целостность обработки (PI1)

Это самый сложный критерий для AI. Целостность обработки означает, что ваша система обрабатывает данные «полно, точно, своевременно и авторизованно». Для AI-агентов «точно» является проблемой.

Что спрашивают аудиторы:

• Какова ставка точности выводов вашего AI-агента?
• Как вы это знаете? Какова ваша методология измерения?
• Что происходит, когда AI производит некорректный вывод?
• Каков ваш процесс исправления ошибок?
• Обрабатывает ли AI-агент все входные данные, которые должен, и только те, которые должен?

Как выглядит соответствующая целостность AI-обработки:

• Определённые метрики точности, измеряемые непрерывно, с задокументированными допустимыми диапазонами
• Логирование ошибок и рабочие процессы коррекции
• Выборка и проверка человеком выводов AI по регулярному расписанию
• Задокументированная область: какие входные данные агент обрабатывает и какие — нет

4. Конфиденциальность (C1)

Контроли конфиденциальности охватывают информацию, обозначенную как конфиденциальная. Для AI-агентов:

• Данные клиентов, обрабатываемые AI-агентами, должны обрабатываться с теми же контролями конфиденциальности, что и данные клиентов, обрабатываемые другими системами
• Промпты AI-агентов и ответы вызовов инструментов, содержащие данные клиентов, должны быть защищены при передаче и хранении
• Данные клиентов не должны использоваться для обучения или дообучения моделей без явного согласия клиента и задокументированной авторизации
• Хранение истории разговоров AI-агента должно соответствовать вашим обязательствам по хранению данных

5. Приватность (P1–P8)

Критерии приватности применяются, когда вы обрабатываете персональную информацию. Для AI-агентов:

• Персональная информация, обрабатываемая AI-агентами, должна иметь задокументированное законное основание
• Минимизация данных: AI-агент должен обращаться только к персональной информации, необходимой для задачи
• Права субъекта данных (доступ, удаление, переносимость) должны быть реализуемы для данных, обработанных AI-агентами
• Третьи стороны, получающие персональные данные через вызовы инструментов AI-агента, должны быть охвачены вашей программой управления поставщиками

Что теперь спрашивают корпоративные анкеты безопасности

Корпоративные клиенты, проводящие проверки безопасности поставщиков, всё чаще включают AI-специфические вопросы. Распространённые вопросы из корпоративных анкет безопасности 2025–2026 годов:

1. «Включает ли ваш продукт функции AI или ML? Если да, опишите данные, использованные для их обучения».
2. «Имеет ли ваша AI-система доступ к данным клиентов? Опишите контроли доступа».
3. «Как вы отслеживаете вашу AI-систему на точность и смещения?»
4. «Какие контроли предотвращают раскрытие вашей AI-системой данных одних клиентов другим клиентам?»
5. «Как вы обрабатываете сбои AI-системы? Каково резервное поведение?»
6. «Принимает ли ваша AI-система автоматизированные решения о клиентах? Если да, имеют ли клиенты право проверить или обжаловать?»

Если управление вашим AI-агентом не задокументировано, эти вопросы требуют импровизированных ответов. Если ваша архитектура управления спроектирована и задокументирована, они отвечаются из вашей существующей документации.

Пакет доказательств SOC 2 для AI-агентов

Аудит SOC 2 Type II производит отчёт, охватывающий контроли за период. Для AI-агентов пакет доказательств должен включать:

Доказательства контроля доступа:

• Документация прав доступа AI-агента (к чему он может обращаться)
• Записи проверки доступа (периодическая проверка прав AI-агента)
• Записи ротации учётных данных

Доказательства управления изменениями:

• Тикеты изменений для обновлений модели и изменений правил управления
• Доказательства тестирования изменений AI-агента
• Записи одобрения производственных изменений

Доказательства мониторинга:

• Журналы активности AI-агентов
• История оповещений обнаружения аномалий
• Записи мониторинга доступности AI-агентов

Доказательства целостности обработки:

• Методология измерения точности
• Результаты точности за период аудита (по месяцу или кварталу)
• Журнал ошибок и записи разрешений
• Записи выборочной проверки человеком

Записи инцидентов:

• Инциденты AI-агентов, их воздействие и разрешение
• Документация коренной причины
• Доказательства корректирующих действий

Об архитектуре логирования, автоматически генерирующей эти доказательства, см. EU AI Act Статья 12: требования к логированию — детальный разбор — то же защищённое от фальсификации логирование, удовлетворяющее требованиям EU AI Act, также производит доказательства SOC 2.

Часто задаваемые вопросы

В: Наша AI-функция использует сторонний API модели (Claude, GPT-4). Кто несёт ответственность за соответствие SOC 2?

Вы. Отчёт SOC 2 провайдера модели охватывает их инфраструктуру. Ваш отчёт SOC 2 охватывает ваш сервис. Ваша AI-функция — то, как вы используете модель, какие данные вы ей передаёте, как вы обрабатываете выходные данные — это ваша ответственность. Получайте отчёты SOC 2 от используемых провайдеров моделей и включайте их в вашу программу управления поставщиками, но понимайте, что их отчёт охватывает их область, а не вашу.

В: Требуют ли обновления модели процесса управления изменениями SOC 2?

Да, если модель является частью вашей производственной системы и обновление может повлиять на поведение вашей системы. Это включает: обновления модели от провайдера (новая версия Claude, обновление GPT-4o), изменения конфигурации системных промптов, изменения правил управления, регулирующих агента, и изменения инструментального доступа или интеграций. Встройте обновления модели в ваш рабочий процесс управления изменениями.

В: Наш AI-агент является бета-функцией. Нужны ли ей всё равно контроли SOC 2?

Если бета-пользователи являются корпоративными клиентами, чьи данные охвачены вашими сервисными обязательствами — да. «Бета» — это продуктовое обозначение, а не исключение из соответствия. Данные реальны, и обязательства SOC 2 применяются. Проектируйте бету с контролями или исключите бета-пользователей из границы системы SOC 2 (что может ограничить доступность беты для корпоративных клиентов).

В: Что означает «целостность обработки» для LLM-агента?

Для генеративного AI-агента целостность обработки означает, что агент правильно обрабатывает входные данные и производит выводы, которые точны, полны и соответствуют их предполагаемому использованию. Измерение этого требует: определения того, что означает «правильно» для вашего конкретного случая использования, установления методологии измерения и непрерывного отслеживания метрики. Для большинства случаев использования выборочная проверка человеком (обученный рецензент оценивает случайную выборку выводов) является основным измерением целостности обработки.

В: Как нам обрабатывать последствия SOC 2 AI-агента, вызывающего внешние API?

Внешние API, которые вызывает ваш AI-агент, являются поставщиками в вашей программе управления поставщиками. Оценивайте их по позиции безопасности, получайте их отчёты SOC 2 там, где они доступны, и документируйте принятие риска там, где отчёты недоступны. Данные, передаваемые внешним API от имени клиентов, должны быть охвачены соответствующими контрактами (DPA для персональных данных, соглашения о конфиденциальности для конфиденциальной информации).

---

Николай Ковтун, основатель Infracortex AI Studio. Cortex генерирует пакет доказательств SOC 2 для развёртываний AI-агентов — журналы доступа, записи изменений, доказательства целостности обработки и документацию инцидентов — как побочный продукт runtime-управления. Забронируйте звонок для обсуждения охвата вашего AI-агента SOC 2.

См. также: Управление AI-агентами для финтех: практический чеклист | Скрытая стоимость неотслеживаемых вызовов инструментов AI-агентов | Почему runtime — это commodity, а управление — это ров

Cortex build: 0.1.35-260423