合規不是文件,
是企業信任的購買時刻

Vanta 創辦人 Christina Cacioppo 在 Stripe Cheeky Pint 裡談的,不只是 SOC 2 怎麼做。她真正拆開的是:安全需求什麼時候變成預算、AI 會吃掉哪一段合規勞動,以及為什麼只看 TAM 會錯過新市場。

SCROLL
PART 1 | 購買時刻

客戶不會說「我要安全」,
他們會說「我要 SOC 2」

Christina 對 Vanta 的起點描述很直接:如果你想替新創做安全公司,第一個產品最好不是「安全」,而是「合規」。因為客戶通常不會主動要求你更安全,卻會在企業採購、資安審查或大客戶成交前,要求你拿出 SOC 2、ISO 或 security questionnaire。

這就是她說的 vitamin vs painkiller。安全像維他命,大家知道有益;合規像止痛藥,客戶這一季就要、合約卡在那裡,創辦人只能立刻處理。

01
需求不是抽象安全
00:01:01 Christina 說,客戶不會要求 security,但會要求 compliance。
02
合規觸發安全投資
00:01:15 John Collison 把 compliance 稱為新創的 buying moment。
03
做事,還要拿到信用
00:00:27 Vanta 幫公司建立安全計畫,再透過 audit、questionnaire、trust center 讓公司 get credit。
04
從沙發到 Fortune 50
00:05:53 她說客戶範圍從兩個創辦人在沙發上,到至少一個 Fortune 50 成員。

因此 Vanta 的故事不是「把無聊的合規包裝成 SaaS」。更準確地說,它找到企業信任進入採購流程的那一刻,然後把那一刻之前的混亂工作,變成可執行、可監控、可重複的系統。

PART 2 | 控制項變測試

SOC 2 不是買來的,
而是一組你得真的通過的測試

John 在訪談裡提醒,合規不是你可以買的東西,而是你必須做的事。Vanta 早期產品的關鍵,是把高階、抽象的控制要求,拆成像工程師熟悉的 unit tests:GitHub 權限是不是正確?PR 有沒有 code review?事件記錄有沒有被查看?證據能不能被 auditor 接受?

Vanta 把「高階要求」翻成「可跑的檢查」
SOC 2 原則你要保護客戶資料,而且有適當控制。
具體 controls誰有權限?誰審核程式碼?哪些事件被記錄?
資料來源GitHub、GitLab、AWS、Slack、政策文件、合約承諾。
持續監控不只準備 audit 檔案,而是讓 dashboard 與 alert 長期存在。
審計回饋Christina 表示 Vanta 累積約 30,000 次 audits completed。
更精準判斷某類公司、某類 auditor、某類標準,通常需要哪些證據。

00:08:30 Christina 說,Vanta 第一個產品叫 Test,概念就是 modeled after unit tests。這個比喻很重要:合規不是報告最後長得漂亮,而是每一次檢查都能回到可驗證的工作。

PART 3 | 合規不等於安全

綠燈狀態頁,
不代表沒有風險

這集訪談最值得保留的張力,是 Christina 沒把合規講成萬能。SOC 2 的政策目標大致是保護客戶資料;但她也承認,大公司通常都有 SOC 2,仍然可能發生資料外洩。合規有時候會滑向 box-checking,並不自動等於安全。

看起來像
實際上要問
Vanta 的切入點
通過 audit
證據是不是只為了某一天準備?
把 controls 變成持續監控,而非一次性整理。
填完問卷
答案是否反映真實系統狀態?
用 integrations 與資料來源支撐回答,而不是手動複製貼上。
Trust center
這是展示頁,還是安全姿態的 status page?
讓客戶自己取得常見證據,也讓內部知道哪裡變黃。

因此這頁不能把 Vanta 說成「讓公司不會被駭」。比較精確的說法是:它把原本散在文件、系統、截圖、工單與人的記憶裡的信任證據,變成更可追蹤的工作系統。

PART 4 | AI 會吃掉哪段工作

AI 不會把合規「vibe code」掉,
但會吃掉大量追證據與填表勞動

Christina 對 AI 的判斷不是「丟給 Claude 產生 SOC 2 資料夾就好」。她承認 LLM 很適合整理混亂資料,但 Vanta 的差異在於:整理之後,證據要被監控、被警示、被 auditor 回饋,也要能長期保持同步。

MESSY DATA
把資料倒進 hopper
00:26:29 LLM 擅長把 policies、screenshots、API 資料、既有流程整理成 audit-ready 結構。
EVIDENCE
先替 auditor 看一遍
00:28:58 Christina 舉例,AI evidence eval 可以提醒截圖缺 timestamp,可能被 auditor 打回。
QUESTIONNAIRE
安全問卷自動填寫
00:33:10 她說 GitHub 透過 Vanta 回答 questionnaires,92% 可被填好,人類主要 review and approve。
AGENTS
小團隊管理代理人
00:39:14 她預測 GRC teams 會更小,管理 agents,把時間放在 findings 與 risk portfolio。

這裡的重點不是人類會消失,而是工作重心會移動。今天很多 GRC 勞動是追人補件、整理證據、把新標準映射到舊 controls、讓文件與現實同步。AI 先吃掉的是這些摩擦,而人保留的是風險判斷與策略。

PART 5 | TAM 的陷阱

市場大小不是機會本身,
它常常只是今天摩擦的影子

訪談後段,Christina 提到她從 USV 學到的創業觀:ideas first,而且不要太 TAM-brained。她甚至說:market sizing is bullshit。這句話不是叫人完全不看市場,而是提醒你,今天的市場大小只是在描述今天的成本、摩擦與需求形狀。

如果你在 2018 年替 Vanta 算 TAM,會發生什麼事?
1你會先看「多少新創正在做 SOC 2」。Christina 說,當時 startups getting SOC 2 的市場幾乎是 zero。
2你會因此低估需求。但 Vanta 的假設是:如果把 SOC 2 的時間與金錢成本降下來,更多公司會去做。
3真正的市場不是原本存在的表格,而是摩擦被移除後,原本不會購買的人開始購買。

這也把前面幾段串起來:合規之所以能成為公司,是因為它不是單一文件服務,而是企業信任成本下降後冒出的新需求。

今天的市場大小,只能預測今天的市場;真正的創業機會,是把原本沒人願意做的事,變成人人都能做。

這不是否定市場分析,而是提醒你:TAM 有時候量到的是摩擦,不是潛在需求。

如果你要用 Vanta 這集節目
檢查一家公司,你會先看哪一層?

選完之後,分享你對「合規、AI 與市場大小」的判斷

你的判斷

想聽完整訪談?

這頁整理自 Stripe 的 Cheeky Pint 系列〈Compliance at scale and why TAM is a distraction with Christina Cacioppo of Vanta〉。原始節目保留了 John Collison 與 Christina 對 Vanta、SOC 2、AI agents、企業信任與創業判斷的完整對話。

收聽 / 閱讀原始節目 →