为什么 SOC 2 对 AI Agent 平台很重要
当企业评估 AI agent 平台时,安全和合规始终被列为第一要求。75% 的企业领导者表示,安全、合规和可审计性是他们部署 agent 最关键的标准。
SOC 2 Type II 是证明 SaaS 平台具有保护客户数据所需控制措施的黄金标准。这不是自我评估——而是由独立注册会计师事务所进行的第三方审计,在较长的观察期内检查控制措施。
具体到 AI agent 平台,SOC 2 验证了:
- AI agent 处理的客户数据受到保护
- 访问控制防止未经授权的 agent 操作
- 审计追踪捕获所有系统活动
- 事件响应程序已就位
- 变更管理控制措施监管平台更新
我们正在审计什么
JieGou 的 SOC 2 Type II 审计涵盖五个信任服务标准:
1. 安全(通用标准)
SOC 2 的基础。我们的安全控制措施包括:
- AES-256-GCM 加密用于 BYOK(自带密钥)API 密钥的静态加密
- Firebase Authentication 与会话 cookie 管理
- 6 角色 RBAC(Owner > Admin > Manager > Editor > Viewer)具有 20 项细粒度权限
- Redis 支持的速率限制用于 LLM 端点(每用户 30 请求/分钟)
- 按供应商的断路器用于 LLM 弹性
2. 可用性
平台正常运行时间和可靠性控制:
- Kubernetes 部署在 EKS 上,支持自动扩缩
- 健康检查端点具有结构化监控
- 死信队列用于失败的异步操作,具有按类别的重试逻辑
- 停滞运行看门狗用于工作流执行恢复
3. 处理完整性
确保 AI agent 输出完整、有效和准确:
- Bakeoff 测试框架,具有 LLM 即评委评估
- 模板健康 CI,具有自动化质量评分
- 收敛循环用于迭代质量改进
- 多评委评估,具有统计置信度(Kendall’s tau、Spearman’s rho)
4. 保密性
保护敏感业务数据:
- 数据驻留控制,具有按类别分类(HIPAA/GDPR/PCI-DSS/SOX/FedRAMP)
- BYOK 加密,客户 API 密钥永远不会脱离他们的控制
- 部门范围的数据访问,确保 agent 只能看到与其部门相关的数据
- 运行可见性控制,具有 4 个范围:私有、部门、账户、群组
5. 隐私
客户数据处理实践:
- 审计日志,具有 30 种操作类型,即发即忘
- 合规时间线,用于可视化治理事件历史
- 证据导出,具有跨 8 个类别的 17 项 TSC 控制措施
- 符合 GDPR 的数据处理,具有可配置的保留策略
审计时间线
我们的 SOC 2 Type II 审计于 2026 年 3 月 5 日开始,观察期为 12 个月:
- 2026 年 3 月: 服务期开始,Vanta 持续监控激活
- 持续进行: 控制措施被监控,证据自动收集
- 2027 年 3 月: 观察期结束,审计报告发布
我们选择了 Type II(而非 Type I),因为它要求证明控制措施不仅是设计好的,而且在一段时间内有效运行。Type I 审计是一个时间点快照。Type II 审计证明持续合规——这才是企业客户真正需要的。
这对客户意味着什么
对于评估 JieGou 的企业:
-
**“SOC 2 Type II——审计进行中”**意味着我们已承诺对安全控制措施进行第三方验证。审计正在进行中,并被持续监控。
-
**我们的治理体系是 SOC 2 的基础。**为 AI agent 治理构建的 10 层治理架构、审计日志、RBAC 和合规控制措施,与 SOC 2 审计验证的控制措施相同。
-
**证据导出已经可用。**您无需等待审计完成。JieGou 的证据导出涵盖跨 8 个类别的 17 项 TSC 控制措施——为您的合规团队量身定制。
JieGou 的比较优势
大多数 agent 原生平台(CrewAI、LangGraph、AutoGen)没有 SOC 2 认证或正在进行的审计。企业自动化平台(Zapier、Make)有 SOC 2,但不提供特定于 agent 的治理控制措施。JieGou 兼具两者:企业级安全认证与专门构建的 AI agent 治理。
了解更多关于 JieGou 的安全和合规: