ISO / GMP / อย.

SOC 2 Compliance 2026: คู่มือ Trust Services Criteria สำหรับ SaaS ไทย

คู่มือ SOC 2 Compliance 2026 อธิบาย Trust Services Criteria 5 ด้าน Type 1 vs Type 2 ขั้นตอนเตรียมตัว audit และ Common Controls สำหรับ SaaS ไทยที่ขายลูกค้าต่างประเทศ

AF
ADS FIT Team
·9 นาที
Share:
🛡️

# SOC 2 Compliance 2026: คู่มือ Trust Services Criteria สำหรับ SaaS ไทย

ในยุคที่ SaaS ไทยเริ่มขยายลูกค้าไปต่างประเทศโดยเฉพาะตลาดอเมริกาเหนือและยุโรป สิ่งหนึ่งที่ทำให้ deal ติดขัดคือคำถามจาก procurement: "Do you have SOC 2 report?" ถ้าตอบไม่ได้ ดีลใหญ่หลักล้านอาจหลุดมือไป

SOC 2 คือมาตรฐาน audit ที่พัฒนาโดย AICPA (American Institute of CPAs) เพื่อรับรองว่า service provider ที่เก็บข้อมูลลูกค้ามี control เพียงพอด้าน Security, Availability, Processing Integrity, Confidentiality, และ Privacy บทความนี้สรุปทุกอย่างที่ SaaS ไทยต้องรู้ก่อนเริ่มกระบวนการ audit ในปี 2026 ตั้งแต่การวางแผน, จัดเตรียม evidence, ไปจนถึงการเลือกผู้ตรวจสอบ

SOC 2 คืออะไรและทำไม SaaS ไทยต้องสนใจ

SOC 2 ย่อมาจาก System and Organization Controls 2 เป็นรายงานการตรวจสอบ control ของบริษัทที่ให้บริการระบบ IT แก่ลูกค้า แตกต่างจาก ISO 27001 ตรงที่ SOC 2 อิงตาม Trust Services Criteria (TSC) ซึ่งเฉพาะเจาะจงกับ service provider และ Cloud-based SaaS

| ประเด็น | SOC 2 | ISO 27001 | PDPA (ไทย) |

|---------|-------|-----------|------------|

| ออกโดย | AICPA (US) | ISO (international) | กฎหมายไทย |

| รูปแบบ output | Audit Report | Certificate | – |

| เน้น | Service provider | Information Security Mgmt | Personal data protection |

| Renewal | ทุกปี (Type 2) | ทุก 3 ปี | ตลอด |

| ผู้ตรวจสอบ | CPA Firm เท่านั้น | Certification Body | DPC ไทย |

| ค่าใช้จ่าย | 30,000–80,000 USD | 500,000–1.5M บาท | – |

Trust Services Criteria ทั้ง 5 ด้าน

SOC 2 มี 5 หลัก criteria ที่ผู้ขอ audit เลือกได้ตามความเหมาะสม โดย Security เป็น Common Criteria บังคับ ส่วนที่เหลือเลือกตาม service ของคุณ

  • **Security (CC)** ต้องเลือกเสมอ ครอบคลุม Access Control, Logical/Physical Security, Change Management
  • **Availability (A)** เหมาะกับ SaaS ที่มี SLA uptime สูง เช่น 99.9% รวม DR plan และ capacity monitoring
  • **Processing Integrity (PI)** เหมาะกับ ระบบ Payment, Billing, Calculation engine ที่ต้องประมวลผลถูกต้อง
  • **Confidentiality (C)** เหมาะกับ B2B SaaS ที่จัดการ NDA, Contract data, Trade secret
  • **Privacy (P)** เหมาะกับระบบที่จัดการ PII โดยตรง เช่น HR Tech, Healthtech, EdTech

    • SOC 2 Type 1 vs Type 2

    หลายคนสับสนระหว่าง 2 ประเภทนี้ การเลือกผิดอาจเสียเวลาและงบประมาณโดยใช่เหตุ

    | รายการ | Type 1 | Type 2 |

    |--------|--------|--------|

    | ระยะเวลาตรวจ | จุดเดียว (point in time) | 3-12 เดือน |

    | ค่าใช้จ่าย | ต่ำกว่า | สูงกว่า 50-100% |

    | ความน่าเชื่อถือ | ระดับเริ่มต้น | สูงสุด ลูกค้า Enterprise ต้องการ |

    | Evidence | Design only | Design + Operating effectiveness |

    | เหมาะกับ | Startup เพิ่งเริ่ม | SaaS ที่ขายลูกค้าใหญ่ |

    แนะนำสำหรับ SaaS ไทย: เริ่ม Type 1 ก่อนเพื่อแสดงความตั้งใจ จากนั้นเก็บ evidence 6-12 เดือนแล้วต่อ Type 2 ปีถัดไป

    ขั้นตอนเตรียมตัว SOC 2 (How-to)

    ระยะเวลาเฉลี่ยตั้งแต่เริ่มจนได้ Type 1 report ประมาณ 4-6 เดือน

  • **Step 1 Readiness Assessment** หา consultant หรือใช้ tool เช่น Vanta, Drata, Sprinto สแกน gap
  • **Step 2 Scope Definition** กำหนดว่าระบบไหนอยู่ใน scope (เช่น production app, ไม่รวม R&D internal tools)
  • **Step 3 Policies and Procedures** เขียน policies 15-25 ตัว เช่น Information Security Policy, Incident Response, Access Control, Vendor Management
  • **Step 4 Implement Controls** ตั้งค่าจริงตามที่เขียนใน policy เช่น MFA ทุก account, log retention 1 ปี, vulnerability scan เดือนละครั้ง
  • **Step 5 Evidence Collection** เก็บหลักฐานต่อเนื่อง อย่างน้อย 3 เดือนสำหรับ Type 2 ใช้ Vanta/Drata อัตโนมัติได้
  • **Step 6 Internal Audit** ตรวจสอบเอง แก้ gap ก่อนตรวจจริง
  • **Step 7 Choose CPA Auditor** เลือก audit firm ที่ขึ้นทะเบียนกับ AICPA เช่น Prescient Assurance, Linford & Co
  • **Step 8 Fieldwork** auditor เข้ามาตรวจ interview, sample evidence, walkthrough 2-4 สัปดาห์
  • **Step 9 Receive Report** ได้รายงาน 30-50 หน้า แชร์ให้ลูกค้าได้ผ่าน NDA
  • **Step 10 Continuous Monitoring** เตรียม Type 2 ปีหน้าโดยรักษา control ต่อเนื่อง

    • Common Controls ที่ SaaS ไทยต้องมี

  • **Access Control** MFA บังคับทุก user, RBAC, quarterly access review
  • **Change Management** ทุก code change ผ่าน Pull Request review โดยอย่างน้อย 1 reviewer
  • **Vulnerability Management** weekly dependency scan (Snyk, Dependabot), quarterly penetration test
  • **Backup and DR** daily automated backup, RPO < 24 ชั่วโมง, DR test ปีละครั้ง
  • **Monitoring and Logging** SIEM หรือ centralized log (Datadog, Grafana Loki) เก็บ 12 เดือน
  • **Vendor Management** ทุก subprocessor ต้องมี SOC 2 หรือ DPA เซ็นยืนยัน
  • **HR Security** background check, security awareness training annually, signed NDA
  • **Incident Response** documented playbook, tested ปีละครั้ง, notify ลูกค้าใน 72 ชั่วโมง

    • เครื่องมือ Compliance Automation ที่นิยม

    | Tool | จุดเด่น | ราคาเริ่มต้น |

    |------|--------|--------------|

    | Vanta | UX ดีที่สุด, integrate 100+ tools | $11,000/yr |

    | Drata | continuous monitoring, AI policy gen | $10,000/yr |

    | Sprinto | เน้น startup, pricing ถูกกว่า | $7,500/yr |

    | Secureframe | AI-driven, multi-framework | $12,000/yr |

    | Scrut | India-based, ราคาประหยัด | $5,000/yr |

    สำหรับ SaaS ไทยขนาดเล็ก Sprinto หรือ Scrut เป็นทางเลือกที่ค่าใช้จ่ายเข้าถึงได้

    ข้อผิดพลาดที่ SaaS ไทยมักพบ

  • **เลือก Type 2 ทันที** โดยไม่มี control ที่ทำงานต่อเนื่อง 3-12 เดือน auditor จะไม่สามารถออก opinion ได้
  • **ไม่แยก dev จาก prod** developer access prod database โดยตรง = automatic gap
  • **Logging ไม่ครอบคลุม** ไม่เก็บ login attempts, admin actions, data access
  • **Vendor management หลวม** ใช้ third party แต่ไม่มี DPA, ไม่มี vendor risk assessment
  • **Policy เขียนแล้วไม่ใช้** policy บอกว่าทำ X แต่จริงไม่ได้ทำ = exception ทันที

    • SOC 2 กับ PDPA ไปด้วยกันได้

    ถ้าทำ SOC 2 with Privacy criteria จะครอบคลุม PDPA ของไทยส่วนใหญ่ เพราะใช้หลักการเดียวกันคือ data minimization, purpose limitation, data subject rights แต่ต้องเพิ่มเรื่องการแต่งตั้ง DPO และการแจ้งเหตุละเมิดให้ PDPC ภายใน 72 ชั่วโมงตามมาตรา 37

    Summary และ CTA

    SOC 2 ไม่ใช่แค่ทำเพื่อ compliance แต่เป็น sales enabler ที่เปิดตลาด enterprise ต่างประเทศ SaaS ไทยที่ทำ SOC 2 สำเร็จมักได้ deal ลูกค้าระดับ Fortune 500 และ TCV เพิ่ม 30-50%

    Key Takeaways

  • SOC 2 = audit report จาก CPA firm ตามมาตรฐาน AICPA Trust Services Criteria
  • Type 1 = snapshot, Type 2 = ตลอด 3-12 เดือน
  • ระยะเวลาเตรียม 4-6 เดือน, ค่าใช้จ่ายรวม 30,000-80,000 USD
  • ใช้ Vanta/Drata/Sprinto ลดเวลาเก็บ evidence ลง 60-80%
  • ทำคู่กับ PDPA ได้ ลด overhead

    • ทีม ADS FIT ช่วยวางระบบ control, เขียน policy, integrate Vanta/Drata และ project manage SOC 2 audit สำหรับ SaaS ไทยได้แบบ end-to-end ปรึกษาเราที่ contact@adsfit.co.th หรืออ่านบทความ ISO 27001, PDPA และ Compliance อื่นๆ ในหมวด ISO/GMP ของเรา

    Tags

    #SOC 2#Compliance#Trust Services Criteria#SaaS Security#Audit#SME Thailand

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที