База идей

Vanta: $8.33M в месяц на автоматизации SOC 2-комплаенса — кейс Кристины Качоппо

Vanta — автоматизация security compliance. Платформа сканирует инфраструктуру компании, собирает evidence для SOC 2, ISO 27001, HIPAA, и готовит пакет для аудитора. То, что раньше занимало 6 месяцев ручной работы консультантов, теперь делается за недели. $8.33M выручки в месяц ($100M ARR), 8000+ клиентов, оценка $2.45B, прибыльно, запущено в 2018 году.

Главное в кейсе — Кристина Качоппо построила бизнес в самой «скучной» категории: security compliance. Никакого ИИ, никакого хайпа — просто автоматизация процесса, который раньше делали аудиторы за тысячи долларов в час.

Кто такой Кристина Качоппо

С Среднего Запада США. Образование — экономика. Работала в Union Square Ventures (венчурный фонд), потом в Dropbox. Сама научилась программировать. На пути к Vanta — нетипичный профиль: не инженер, не серийный предприниматель, а аналитик, который заметил гэп на рынке.

Какую проблему решает Vanta

SOC 2 — сертификат безопасности, обязательный для B2B-стартапов, которые продают в enterprise. Большие клиенты (Salesforce, Microsoft, банки) не подпишут контракт без SOC 2.

Процесс получения SOC 2 — ад:

  • 100+ контролей, которые нужно подтвердить
  • Скриншоты, логи, политики, процедуры
  • Аудитор приходит на 1-2 недели, проверяет каждый пункт
  • Стоит $50-100K только аудит, плюс месяцы работы внутренней команды

Vanta автоматизирует:

  • Подключение к AWS, GitHub, Slack, Okta — сканит инфраструктуру
  • Собирает evidence автоматически
  • Показывает gap’ы в реальном времени
  • Готовит пакет для аудитора в одной системе

Результат — получение SOC 2 за месяц вместо 6, при стоимости $10-30K вместо $80-150K.

Как родилась идея

В Dropbox Кристина столкнулась с SOC 2 при запуске нового продукта. Увидела, насколько неэффективен процесс: десятки часов на ручной сбор данных, повторяющиеся задачи, копипаст между системами.

Поговорила с десятками founders в YC-сообществе: все стартапы 30-200 человек проходят через ту же боль. У больших компаний есть compliance-команды, у стартапов — нет. Это рынок.

Венчурные инвесторы скептически смотрели: «зачем стартапы будут тратить деньги на compliance?» Кристина была уверена — будут, потому что без SOC 2 нет enterprise-сделок.

Как собрал MVP

Подход — «spreadsheet first». Кристина не писала код 3-4 месяца. Вместо этого:

  1. Сделала гэп-анализ в Excel для компании Segment
  2. Адаптировала тот же анализ для Brex, Stripe, других YC-компаний
  3. Поняла: 80% контролей одинаковые во всех стартапах
  4. Только после валидации начала автоматизировать

Стек:

СлойИнструмент
BackendCustom Built
IntegrationsAPI к AWS, GCP, GitHub, Okta, Slack
Frontenddashboard с компляенс-маткой

Стартовые расходы: seed-раунд после YC в 2018. Дальше — Sequoia, Atlassian Ventures, CrowdStrike.

Стратегия роста

Word of mouth в YC-комьюнити

Главный канал на старте. Кристина сама писала каждому founder’у в YC — «привет, я делаю продукт для SOC 2, попробуете?». Это прямой outreach к точным клиентам: YC-стартапы все нуждаются в SOC 2, все знают друг друга.

Один довольный клиент рассказывал 5 другим в YC-Slack — рост был органический и быстрый.

Direct sales от основателя

В первые 2 года Кристина лично проводила demo и закрывала сделки. Это даёт максимально точный фидбек: что работает, что нет, какие фичи приоритетные.

Когда основатель сам продаёт первые 100 клиентам — продукт быстро находит PMF.

Outbound email-маркетинг

Кампании по YC-выпускникам, alumni-нетворку, founders из акселераторов. Высокая taргетность — Vanta не пишет «всем», только тем, кто точно нуждается в SOC 2.

Партнёрская программа с консультантами

Стратегический ход — сделать compliance-консультантов партнёрами, а не конкурентами. Консультанты используют Vanta как платформу, оказывают сервисы поверх. Это:

  • Расширяет канал продаж в индустрии вне tech-стартапов
  • Делает консультантов адвокатами продукта
  • Vanta получает доступ к клиентам, которых сам не достал бы

Stay under the radar

Первые годы Vanta не делал PR, не выступал на конференциях. Это дало время отполировать продукт без давления конкурентов.

Pricing

  • Starter: ~$10K/год для малых команд
  • Growth/Pro: scaled by team size
  • Enterprise: custom — с SLA, dedicated CSM
  • Скидки для YC-стартапов и early-stage

Tiered модель — рост клиента = рост чека Vanta. Перешёл с 20 до 200 человек → тариф вырос в 5 раз.

5 уроков из кейса

  1. Скучные категории — лучшие. Никакого ИИ, никакого хайпа. Compliance — это necessary evil. Vanta построил $2.5B-бизнес именно в «скучной обязаловке», которую все ненавидят.
  2. Spreadsheet first, code second. Кристина не писала код 3 месяца. Сначала вручную делала гэп-анализ для клиентов. Это валидация без затрат на разработку.
  3. Сообщество основателя = первый канал. YC-сеть Кристины дала первые 100 клиентов. Если у тебя есть тесная community — продавай туда.
  4. Превратить конкурентов в партнёров. Compliance-консультанты могли быть угрозой Vanta. Вместо этого — partner program: Vanta как платформа, консультант как сервис поверх. Win-win.
  5. «Под радаром» 2-3 года — нормально. Vanta не делал PR-шум до Series B. Это дало время отполировать продукт без отвлечений на пиар.

Главная мысль: самые большие SaaS-бизнесы строятся в самых скучных категориях. Vanta — образец: автоматизация бюрократии, которую никто не хочет делать вручную. $100M ARR за 5 лет — потому что каждый B2B-стартап обязательно столкнётся с SOC 2 и купит готовое решение.

Похожие идеи

  • FusionAuth — $842K · Customer identity and access management (CIAM)
  • Boast.AI — $2.32M · Автоматизация R&D-налоговых кредитов
  • Jenni AI — $630K · ИИ-ассистент для академического письма
  • Keeper League Podcast — $13.3K · Подкаст и данные по австралийскому фэнтези-футболу
  • Karma Bot — $35K · Slack-бот для peer-recognition в командах