newsmode
search
Меню
arrow_back Назад

Vanta's Path to Product-Market Fit

auto_awesomeКраткое саммари

История Кристины Каччоппо, основательницы и CEO Vanta — платформы автоматизации безопасности и комплаенса с оценкой в $1,6 млрд. Уйдя из Union Square Ventures, она научилась программировать, поработала PM в Dropbox и после серии неудачных идей (включая голосового ассистента для биологов) нашла свою нишу: автоматизация получения сертификата SOC 2 для стартапов. MVP начинался как консалтинг с использованием Google-таблицы и gap assessment для Segment и Front. После Y Combinator в 2018 году Vanta росла на word-of-mouth, не имея даже нормального сайта, и подняла Series A только при ARR $10 млн (в мае 2021 — $50 млн от Sequoia Capital). Сегодня у Vanta более 5000 клиентов (Quora, Gusto, Autodesk), $203 млн привлечённых инвестиций, офисы в США, Австралии и Ирландии, а также первое поглощение — Trustpage — и новая категория trust management.

Not many people would leave a role at a prestigious venture capital firm to teach themselves how to code and “make a bunch of things no one’s ever heard of.” But not many people are like Christina Cacioppo.

Не так много людей готовы уйти с должности в престижной венчурной фирме, чтобы самостоятельно научиться программировать и «делать кучу штук, о которых никто никогда не слышал». Но Кристина Каччоппо — не такой человек, как все.

“If you tell someone you’re going back to school, they get it; if you tell them you quit your job to code, they’ll think you’re insane,” she wrote in a blog post two years after resigning from the investment team at Union Square Ventures.

«Если ты говоришь, что возвращаешься учиться, тебя понимают; если ты говоришь, что бросил работу, чтобы кодить, тебя сочтут сумасшедшим», — писала она в блог-посте через два года после ухода из инвестиционной команды Union Square Ventures.

Now, she’s the co-founder and CEO of Vanta, a security and compliance automation platform valued at $1.6 billion and recently named to the Cloud 100 list. And as her story suggests, she’s never been one for following norms. She taught herself to code instead of getting a CS degree or leaving it to a software engineer co-founder; she waited until Vanta reached $10 million in ARR before raising a Series A instead of adhering to the convention of doing so once you hit $1 million ARR; and to get her first 600 customers, she relied on word-of-mouth instead of hiring a marketing team or even launching a real website.

Сейчас она сооснователь и CEO Vanta — платформы автоматизации безопасности и комплаенса, оценённой в $1,6 млрд и недавно попавшей в список Cloud 100. И, как видно из её истории, она никогда не следовала общепринятым правилам. Она научилась программировать сама, а не получала диплом по computer science и не искала сооснователя-инженера; она ждала, пока Vanta достигнет $10 млн ARR, прежде чем поднимать Series A, — вместо привычного для всех момента в $1 млн ARR; и чтобы получить первых 600 клиентов, она полагалась на сарафанное радио, а не нанимала маркетинг или хотя бы запускала нормальный сайт.

That sort of gutsy, scrappy approach to building a business has served Cacioppo well, but that doesn’t mean her path to product-market fit was easy. Before she built Vanta, she built a lot of other things she laughs about now (it turns out a voice app for biologists isn’t a billion-dollar business).

Такой смелый и неприхотливый подход к строительству бизнеса хорошо послужил Каччоппо, но это не значит, что путь к product-market fit был лёгким. Прежде чем построить Vanta, она построила множество других вещей, над которыми сейчас смеётся (выяснилось, что голосовое приложение для биологов — не бизнес на миллиард долларов).

But first, we’ll turn the clock back 13 years, to Cacioppo’s first job out of college, when the desire to become a founder first took root—though she herself could hardly admit to it at the time.

Но сначала вернёмся на 13 лет назад — к первой работе Каччоппо после колледжа, когда впервые зародилось желание стать основателем, хотя она сама тогда едва могла себе в этом признаться.

EXPLORING IDEAS

ИССЛЕДОВАНИЕ ИДЕЙ

It was June 2010, and Cacioppo had just started a job at New York-based early-stage VC Union Square Ventures, where she spent her days meeting with innovative founders and evaluating companies.

Был июнь 2010 года, и Каччоппо только что устроилась в нью-йоркский early-stage VC Union Square Ventures, где её дни были заняты встречами с новаторскими основателями и оценкой компаний.

“Going into my VC job, there was a part of me that did want to start a company one day, but I definitely didn't say that out loud or even in my head. It seemed like I wasn't the sort of person who started a company—whatever that meant,” says Cacioppo.

«Идя на работу в VC, во мне сидела часть, которая действительно хотела когда-нибудь основать компанию, но я точно не произносила это вслух и даже про себя. Казалось, что я просто не из тех людей, которые основывают компании — что бы это ни значило», — говорит Каччоппо.

Eventually, as she witnessed the wide variety of founders who passed through USV’s doors, her confidence in becoming a founder herself started to bubble up.

Со временем, наблюдая за самыми разными основателями, проходившими через двери USV, она почувствовала, как растёт её собственная уверенность в том, что и она может стать основателем.

“I got to the point where I said, ‘I do want to go start a company.’ But I wanted it to be a software company, and I didn’t know how to code. And I knew a lot of non-programmers started companies, but I didn’t want to go that route. So I resigned, took my bonus and taught myself to code and build products,” she says.

«Я дошла до точки, когда сказала: „Я действительно хочу основать компанию“. Но я хотела, чтобы это была софтверная компания, а кодить я не умела. И я знала, что многие непрограммисты основывали компании, но я не хотела идти этим путём. Поэтому я уволилась, забрала свой бонус и научилась программировать и делать продукты сама», — рассказывает она.

For two years, she tinkered with software projects. She built a book tracking website, a video messaging app for Android and a startup job board, just to name a few. But there was a missing piece. “I learned how to make things on my own, which was great, but I'd never worked at a real company building and shipping products before,” she says.

Два года она возилась с софтверными проектами. Она сделала сайт для отслеживания книг, приложение для видеосообщений на Android, доску вакансий для стартапов — и это лишь несколько примеров. Но не хватало одного кусочка. «Я научилась делать вещи самостоятельно, и это было здорово, но я никогда раньше не работала в настоящей компании, где разрабатывают и выпускают продукты», — говорит она.

So she ended up joining Dropbox as a product manager and worked on bringing Dropbox Paper to market. Seeing the inner workings of a successful company was a crucial education for this aspiring founder, but after two years at Dropbox, Cacioppo was eager to strike out on her own.

Поэтому в итоге она пришла в Dropbox продакт-менеджером и работала над выводом на рынок Dropbox Paper. Возможность увидеть изнутри успешную компанию стала важнейшим обучением для будущей основательницы, но через два года в Dropbox Каччоппо уже не терпелось пойти своим путём.

“I’d learned a lot, and I was getting impatient. It was time to see if I had what it took to be a founder,” she says. All that she needed now was an idea of what to build. To kick off her exploration, she asked two questions:

«Я многому научилась и становилась нетерпеливой. Пора было проверить, есть ли во мне то, что нужно основателю», — говорит она. Оставалось только одно — идея, что строить. Чтобы начать поиск, она задала себе два вопроса:

  • What new technologies are opening up novel opportunities right now?
  • What do I know more about than others?
  • Какие новые технологии открывают сейчас уникальные возможности? О чём я знаю больше, чем другие?

    By now, it was late 2016. Amazon had launched Alexa to great fanfare two years prior, and the number of babies named after the AI voice assistant had recently peaked. In other words, the voice assistant market had reached a fever pitch.

    К этому моменту был конец 2016 года. Двумя годами ранее Amazon с большой помпой запустил Alexa, а количество девочек, которых называли в честь голосового ассистента, как раз достигло пика. Иными словами, рынок голосовых ассистентов раскалился.

    “Voice was new and opening stuff up, and I had just gotten an Alexa device and thought it was cool,” Cacioppo says. “I also knew some things about team collaboration after a couple of years at Dropbox. So I figured I’d merge the two and build a voice assistant for work.”

    «Голос был чем-то новым и открывал множество возможностей, а у меня только что появилось устройство Alexa, и я подумала, что это круто, — говорит Каччоппо. — К тому же я кое-что понимала про командную работу после пары лет в Dropbox. Так что я решила объединить две темы и сделать голосового ассистента для работы».

    This sent her down a rabbit hole of what she admits now were “terrible ideas.”

    Это завело её в кроличью нору того, что она сама теперь признаёт «ужасными идеями».

    Christina Cacioppo, Founder & CEO of Vanta

    First, there was the meeting recorder that automatically transcribed all meetings across a company. “It sounds neat, and some people really wanted it, but the average person doesn't want that product at all,” says Cacioppo. “Plus, at the time, the technology just wasn't that good.” Next was a microphone that transcribed notes into Slack. “It mostly dumped nonsense into a Slack channel; it wasn't even usable.”

    Сначала был диктофон для встреч, который автоматически расшифровывал все совещания в компании. «Звучит круто, и кому-то это действительно было нужно, но среднестатистическому человеку такой продукт совсем не нужен, — говорит Каччоппо. — Плюс на тот момент технология была не очень хорошей». Следующим был микрофон, который расшифровывал заметки прямо в Slack. «В основном он сваливал в Slack-канал ерунду; пользоваться этим было невозможно».

    When her products failed to gain traction with startups, Cacioppo switched gears and honed in on a novel use case: a voice assistant for biologists working in a lab. There were a number of reasons for why it made sense at the time. “They're doing things with their hands, they have gloves, they’re working with chemicals. Imagine trying to type out notes while you’re cooking a complicated meal,” she explains.

    Когда её продукты не получили отклика у стартапов, Каччоппо сменила курс и сосредоточилась на узком кейсе: голосовом ассистенте для биологов, работающих в лаборатории. На тот момент это казалось разумным по нескольким причинам. «Они работают руками, у них перчатки, они имеют дело с химикатами. Представьте, что вы пытаетесь набирать заметки, готовя сложное блюдо», — объясняет она.

    So she found a lab, shipped them a microphone, and even built them an iPad app. “They were thrilled because no one makes software for biologists in labs,” she says. “But the market for this was the size of my thumb and I didn't even know anything about biologists. It’s funny to talk about now, but it was a true low point at the time.”

    Она нашла лабораторию, отправила им микрофон и даже собрала им приложение под iPad. «Они были в восторге, потому что никто не делает софт для биологов в лабораториях, — говорит она. — Но рынок этого продукта был размером с мой большой палец, а я к тому же ничего не знала о биологах. Сейчас об этом смешно говорить, но тогда это был настоящий низший момент».

    With failed idea after failed idea piling up, Cacioppo reevaluated her approach and realized her mistake.

    С нарастающей кучей проваленных идей Каччоппо переоценила свой подход и поняла свою ошибку.

    It was a bit like the children’s book “Are You My Mother?” We had built this tool and then walked around to people asking, “Do you want our tool? Do you want our tool? What about you?” And the answer was no—no one wanted our tool.

    Это немного напоминало детскую книгу «Ты моя мама?». Мы построили этот инструмент и ходили вокруг, спрашивая людей: «Вам нужен наш инструмент? Вам нужен наш инструмент? А вам?» И ответ был — нет, никому наш инструмент был не нужен.

    Zeroing in on the Right Problem to Pursue

    Как найти правильную проблему для решения

    After that lightbulb moment, she drastically shifted her strategy:

    После этого момента озарения она резко изменила стратегию:

  • No more building. Just talk to customers. “We decided we weren’t allowed to build anything at all. We had to just talk to people—and talk to them until we had a lot of confidence and a mental model of customers, their jobs, the problems they might have and how we might solve them.” (For more here, check out Cacioppo’s write-up on some of her essential advice for talking to customers.)
  • Ask them about their daily routine. “To find a good problem to solve, we really focused on what the customer’s day-to-day was like.” Cacioppo’s advice here is to get into the tangibles. “For discovery, the best thing we did was ask people to pull up their calendar. Then, we’d say, ‘Look at all the meetings you had in the past couple of weeks. What were the best parts of those past weeks? What were the worst parts? That finally got us to a problem worth solving.”
  • You’ll know you understand the problem when you can predict 75% of what a customer tells you. “We needed a heuristic around, ‘When do we know we understand the customer problem enough?’ So we decided we had to keep having these conversations until three-quarters of it was stuff we already knew.”
  • Больше никакой разработки. Только разговоры с клиентами. «Мы решили, что нам нельзя ничего строить вообще. Мы должны были просто разговаривать с людьми — и разговаривать до тех пор, пока у нас не появится высокая уверенность и ментальная модель клиентов, их задач, проблем, которые у них могут быть, и того, как мы могли бы их решить». (Подробнее смотрите заметку Каччоппо о её ключевых советах по разговорам с клиентами.) Спрашивайте их об их повседневной рутине. «Чтобы найти хорошую проблему, мы по-настоящему сфокусировались на том, как выглядит обычный день клиента». Совет Каччоппо здесь — переходить к конкретике. «Для discovery лучшее, что мы делали, — это просили людей открыть свой календарь. Затем мы говорили: „Посмотрите на все встречи за последние пару недель. Что было лучшим в этих неделях? А что — худшим?“ Это в итоге привело нас к проблеме, которую стоило решать». Вы поймёте, что понимаете проблему, когда сможете предсказать 75% того, что вам скажет клиент. «Нам нужна была эвристика: „Когда мы знаем, что достаточно понимаем проблему клиента?“ Поэтому мы решили, что должны продолжать эти разговоры, пока три четверти того, что мы слышим, не будет тем, что мы уже знаем».

    The easy part is writing code. The hard part is building something people want. So focus first on finding the thing people want.

    Лёгкая часть — это написать код. Сложная часть — построить то, что нужно людям. Поэтому сначала сосредоточьтесь на том, чтобы найти то, что нужно людям.

    The initial glimmer of what would become Vanta appeared in one of the first conversations Cacioppo had, with the Product Security Lead at Dropbox.

    Первый проблеск того, что станет Vanta, появился в одном из первых разговоров Каччоппо — с Product Security Lead в Dropbox.

    “What he told me when we looked at his calendar was, ‘The best parts of my week are when I get to work with product teams on security issues. I get to work with the PM and the engineers and get the right stuff prioritized and fixed. The worst part is when I have to pull together reporting on the things I've done to show my manager or executives, or get on the phone with customers and explain what security we do in basic terms,’” Cacioppo recalls. “This person fundamentally liked their job, but there was this ‘work about work’ component of demonstrating that they’d secured things, and that part was tedious and annoying to do.”

    «Когда мы посмотрели его календарь, он сказал мне: „Лучшие моменты моей недели — когда я работаю с продуктовыми командами над вопросами безопасности. Я работаю с PM и инженерами, и мы расставляем правильные приоритеты и чиним нужные вещи. Худшая часть — когда мне приходится собирать отчёты о том, что я сделал, чтобы показать менеджеру или руководству, или говорить по телефону с клиентами и объяснять простыми словами, какую безопасность мы обеспечиваем“, — вспоминает Каччоппо. — Этому человеку в принципе нравилась его работа, но там был этот компонент „работа о работе“, когда нужно доказывать, что ты что-то защитил, и эта часть была утомительной и раздражающей».

    Compliance kept coming up in other customer discovery conversations — but it’s a broad space. To further narrow down an idea, Cacioppo kept the conversation going by approaching startup founders, security teams, engineering leaders and sales teams and asking, “What are you doing for security at your startup?”

    Тема комплаенса всплывала и в других customer discovery-разговорах — но это широкая область. Чтобы дальше сузить идею, Каччоппо продолжала разговоры, обращаясь к основателям стартапов, командам безопасности, инженерным руководителям и сейлз-командам, задавая вопрос: «А что вы делаете для безопасности в вашем стартапе?»

    “And what happened was they’d generally look up quite guiltily and say, ‘Not that much, and I wish it were better.’ And I’d say, ‘Totally cool, but why don't you do more? It sounds like you want to do more, so what’s going on?’”

    «И обычно они виновато поднимали глаза и говорили: „Немного, и хотелось бы больше“. А я говорила: „Без проблем, но почему вы не делаете больше? Звучит так, будто вы хотите делать больше, — что мешает?“».

    Sorting through these answers, Cacioppo pieced together a theme: It was a matter of prioritization. Startups were stuck between two choices: Option A was that they could spend time and energy ensuring security (which they recognized would be a good thing), but the only way they could measure the worthiness of such a pursuit was the absence of a security breach, which wasn’t a compelling enough metric. On top of that, for small startups, their biggest problem was that no one knew them, meaning it was highly unlikely anyone was trying to hack them in the first place.

    Перебирая эти ответы, Каччоппо собрала общую картину: дело было в приоритизации. Стартапы застревали между двумя вариантами. Вариант А — потратить время и силы на обеспечение безопасности (что, как они понимали, было бы хорошо), но единственным способом измерить ценность такой работы было отсутствие взлома, а это недостаточно убедительная метрика. Вдобавок к этому, главная проблема маленьких стартапов в том, что их никто не знает, а значит, скорее всего, никто и не пытается их взломать.

    Option B was that these startups could spend their precious time and energy building product features their customers wanted, which would get their business to its first revenue, and prioritize security later — when they had more time and resources.

    Вариант Б — потратить эти драгоценные время и силы на разработку продуктовых фич, которых хотят клиенты, что приведёт бизнес к первой выручке, а вопросы безопасности приоритизировать позже — когда появятся время и ресурсы.

    Given the options, which one do you think these startups were choosing? The latter. Every time.

    Учитывая эти варианты, какой, по вашему, выбирали эти стартапы? Второй. Каждый раз.

    “We heard that a bunch, and initially, that was discouraging because we were like, ‘Oh, this is why there aren't security companies for startups.’ Because even if it's a good idea or it's an easy-to-use product, you're still running up against this prioritization hurdle,” she says.

    «Мы слышали это очень часто, и поначалу это нас обескураживало, потому что мы думали: „Так вот почему нет компаний, делающих безопасность для стартапов“. Потому что даже если идея хорошая или продукт удобный — ты всё равно упираешься в этот барьер приоритизации», — говорит она.

    But then, Cacioppo met a small startup that broke the mold.

    Но потом Каччоппо встретила маленький стартап, который сломал шаблон.

    The Aha Moment

    Момент озарения

    “There was this transformative moment when I walked into Figma, which at the time was probably 30 people, and I was talking to one of their infrastructure engineers and expecting to have the same conversation I’d had so many times before,” says Cacioppo. “But this time, when I asked, ‘What do you all do for security?’ this person listed about 12 tools and a bunch of best practices and just kept going. That floored me. I was like, ‘Why? Who are you and why?’”

    «Был такой переломный момент, когда я пришла в Figma, где тогда было, наверное, человек 30, и разговаривала с одним из их инфраструктурных инженеров, ожидая того же разговора, что был у меня уже множество раз, — говорит Каччоппо. — Но в этот раз, когда я спросила: „А что вы тут делаете для безопасности?“ — этот человек перечислил около 12 инструментов, кучу best practices и продолжал говорить. Это меня поразило. Я была такая: „Почему? Кто вы и зачем?“».

    Figma had just signed one of the largest public technology companies, a massive deal for anyone, let alone a 30-person startup. And as part of the sales process, that public company sent over a long questionnaire to assess Figma’s security practices. Figma’s answers were mostly no's, but the team didn't want to say that. Instead, they turned the questionnaire into their product roadmap and built everything on it so they could honestly say “yes” to every item on the checklist.

    Figma только что подписала одну из крупнейших публичных технологических компаний — огромная сделка для кого угодно, не говоря уже о стартапе из 30 человек. И в рамках процесса продажи эта публичная компания прислала длинный опросник для оценки практик безопасности Figma. Ответы Figma были в основном «нет», но команда не хотела этого говорить. Вместо этого они превратили опросник в свой продуктовый roadmap и реализовали всё, что в нём было, чтобы честно сказать «да» по каждому пункту чек-листа.

    A lightbulb went off for Cacioppo. Figma had successfully aligned securing its company with growing its business. Out of necessity to close a big deal, security became the top priority. That meant if she could help these startups prove their security practices (and in turn, help them sell to bigger companies), she could create a product that generated real value.

    У Каччоппо включилась лампочка. Figma успешно увязала обеспечение безопасности компании с ростом её бизнеса. По необходимости закрыть крупную сделку безопасность стала их приоритетом № 1. Это означало: если бы она помогала стартапам доказывать свои практики безопасности (и тем самым продаваться более крупным компаниям), она могла бы создать продукт, который создаёт реальную ценность.

    That led her down another rabbit hole of figuring out how she and her team could productize this idea. Could they standardize the kind of questionnaire that the public company had sent Figma? Could they create a way to automatically answer it?

    Это привело её к ещё одной кроличьей норе — как они с командой могли бы продуктизировать эту идею. Можно ли стандартизировать тот самый опросник, который публичная компания прислала Figma? Можно ли создать способ автоматически на него отвечать?

    “We couldn’t do either of those things because the questionnaires were just so bespoke and custom,” she says. “That’s when we realized the real question we needed to be asking was, ‘How can we make it so startups don’t need to get a questionnaire?’”

    «Мы не могли сделать ни того, ни другого, потому что опросники были очень индивидуальными и кастомными, — говорит она. — Тогда мы поняли, что настоящий вопрос, который нужно задать, звучит так: „Как сделать так, чтобы стартапам в принципе не нужно было получать опросник?“».

    The answer was — with a compliance certification like SOC 2. SOC 2 is a framework that establishes a set of security and compliance guidelines that serve as a gold standard for how a company manages and protects customer data.

    Ответом была сертификация комплаенса вроде SOC 2. SOC 2 — это фреймворк, устанавливающий набор рекомендаций по безопасности и комплаенсу, который служит золотым стандартом того, как компания управляет данными клиентов и защищает их.

    For SaaS companies, obtaining SOC 2 certification is paramount if they want to capture enterprise customers because these large companies must ensure customer data is in good hands. SOC 2 provides that proof.

    Для SaaS-компаний получение SOC 2 принципиально важно, если они хотят привлекать enterprise-клиентов, потому что крупные компании должны быть уверены, что данные их клиентов в надёжных руках. SOC 2 даёт такое доказательство.

    Practically speaking, a SOC 2 is an 80-page PDF that lists the security practices of an organization. It essentially says, ‘Hey, as a company, we have these practices, and an auditor has come into the company and made sure we do what we say and written some details on how we do it,’” Cacioppo explains. It’s an incredibly time-consuming process, which is why practically zero startups had SOC 2s.

    «Если говорить практически, SOC 2 — это 80-страничный PDF, в котором перечислены практики безопасности организации. По сути, он говорит: „Эй, как компания, мы имеем такие-то практики, и аудитор пришёл в компанию, убедился, что мы делаем то, что говорим, и описал, как именно мы это делаем“», — объясняет Каччоппо. Это невероятно трудоёмкий процесс — именно поэтому SOC 2 был практически ни у одного стартапа.

    It seemed like they’d found their winning product idea: Just automate the process of getting a SOC 2, and startups would be banging down their door. But, not so fast.

    Казалось, они нашли свою выигрышную продуктовую идею: достаточно автоматизировать процесс получения SOC 2, и стартапы будут ломиться к ним в дверь. Но не так быстро.

    When we went and talked to consultants and auditors about automating SOC 2s, they were like, “Well, you can't do that because every report is unique.”

    Когда мы пошли к консультантам и аудиторам и предложили автоматизировать SOC 2, они сказали: «Ну, этого нельзя сделать, потому что каждый отчёт уникален».

    Cacioppo and her team pushed back. Sure, historically, these reports were unique, but did they have to be? Even if one business is different from another, should the way that they protect their customer data be wildly different?

    Каччоппо и её команда возразили. Да, исторически эти отчёты были уникальными, но обязательно ли это так? Даже если один бизнес отличается от другого, должны ли способы, которыми они защищают данные клиентов, кардинально различаться?

    “If we're talking about security practices, yeah, there's some nuance, but there's also best practices,” says Cacioppo. And that common ground is where she decided to build the first MVP.

    «Если мы говорим о практиках безопасности — да, есть свои нюансы, но есть и best practices», — говорит Каччоппо. И именно на этой общей основе она решила построить первый MVP.

    BUILDING THE MVP

    СОЗДАНИЕ MVP

    Cacioppo had her heart set on starting a SaaS company, but before Vanta became software-as-a-service, it was a service without software. Before they wrote a line of code, Cacioppo and her team became SOC 2 consultants.

    Каччоппо твёрдо собиралась создать SaaS-компанию, но прежде чем Vanta стала software-as-a-service, она была service без software. До того как они написали хоть строчку кода, Каччоппо и её команда стали SOC 2-консультантами.

    In their first experiment, they went to Segment, a customer data platform, and interviewed its team to determine what the company’s SOC 2 should look like and how far away it was from getting it.

    В своём первом эксперименте они пошли в Segment — платформу для работы с клиентскими данными — и проинтервьюировали её команду, чтобы определить, как должен выглядеть SOC 2 этой компании и насколько они далеки от его получения.

    “We made them a gap assessment in a spreadsheet that was very custom to them and they could plan a roadmap against it if they wanted,” she says.

    «Мы сделали для них gap assessment в табличке, очень кастомный для них, и они могли при желании построить по нему roadmap», — говорит она.

    Cacioppo was running a test to answer two key questions:

    Каччоппо проводила тест, чтобы ответить на два ключевых вопроса:

  • Could her team deliver something that was credible?
  • Would Segment think that it was credible?
  • Сможет ли её команда сделать что-то, что выглядит убедительно? Сочтёт ли Segment это убедительным?

    The answer to both questions ended up being “yes.” And thus, the first (low-tech) version of Vanta was born—as a spreadsheet. “It actually went quite well, so we moved on to a second company, a customer operations platform called Front,” she says.

    Ответом на оба вопроса оказалось «да». И так родилась первая (низкотехнологичная) версия Vanta — в виде таблицы. «Это сработало действительно хорошо, поэтому мы перешли ко второй компании — Front, платформе для customer operations», — говорит она.

    For this experiment, Cacioppo wanted to test a new hypothesis: Could she give Front Segment’s gap assessment but not tell them it was Segment’s? Would they notice?

    Для этого эксперимента Каччоппо хотела проверить новую гипотезу: можно ли отдать Front gap assessment, сделанный для Segment, не сказав им об этом? Заметят ли они?

    “We used the same controls, the same rules and best practices, and still interviewed the Front team to see where Front was in their SOC 2 journey, so it was customized in that sense,” she says. “But this test was pushing on the 'Can we productize it? Can we standardize this set of things?' And most importantly, ‘Can they tell this spreadsheet was initially made for another company?’”

    «Мы использовали те же контроли, те же правила и best practices и всё равно интервьюировали команду Front, чтобы понять, на какой стадии своего пути к SOC 2 они находятся — то есть в этом смысле был элемент кастомизации, — говорит она. — Но этот тест был о том, „Можем ли мы это продуктизировать? Можем ли мы стандартизировать этот набор вещей?“ И самое важное: „Заметят ли они, что эта табличка изначально была сделана для другой компании?“».

    They couldn’t. And then, Cacioppo got an email that sealed the deal in terms of validating her idea.

    Они не заметили. А затем Каччоппо получила письмо, которое окончательно закрепило валидацию её идеи.

    A former Dropbox coworker sent a pretty great email, which was basically a version of, “Hey, I hear you've become SOC 2 consultants. That's super strange. We should get a drink because, like, what are you doing with your lives? And also, can you come get a SOC 2 for my company as well?”

    Бывший коллега из Dropbox прислал отличное письмо, по сути такого вида: «Слушай, я тут слышал, что вы стали SOC 2-консультантами. Это очень странно. Нам надо встретиться выпить, потому что — что вы вообще со своими жизнями делаете? И ещё — можете вы и для моей компании сделать SOC 2?»

    “That was the final piece I needed to pursue the idea for SOC 2 compliance automation,” Cacioppo says. “We had this gap assessment spreadsheet that had been useful for three startups, and word of mouth was spreading. Now we could start coding and actually building a software product.

    «Это был последний кусочек, которого мне не хватало, чтобы двигаться в сторону автоматизации SOC 2-комплаенса, — говорит Каччоппо. — У нас была эта табличка с gap assessment, которая оказалась полезной трём стартапам, и сарафанное радио уже работало. Теперь мы могли начать писать код и собирать настоящий софтверный продукт.»

    Keeping things scrappy, the first software version of Vanta had very little software to it. It was a simple form where customers entered their AWS credentials and, behind the scenes, the team manually pulled the information and Cacioppo personally wrote the reports. “We told customers that the software was a little slow, so we’d send the report the following day,” she admits.

    Сохраняя минимализм, первая софтверная версия Vanta содержала очень мало софта. Это была простая форма, в которую клиенты вводили свои AWS-данные, а за кулисами команда вручную доставала информацию, и Каччоппо лично писала отчёты. «Мы говорили клиентам, что софт немного медленный, поэтому отчёт пришлём на следующий день», — признаётся она.

    Y COMBINATOR AND EARLY SALES

    Y COMBINATOR И ПЕРВЫЕ ПРОДАЖИ

    In January 2018, a few months after Cacioppo and her team had started writing code for Vanta, they got accepted into Y Combinator.

    В январе 2018 года, спустя несколько месяцев после того, как Каччоппо и её команда начали писать код для Vanta, их приняли в Y Combinator.

    “YC would be helpful for what I now know is prospecting: getting early customers and users. So while there were some trade-offs to doing the program, I knew it would be worth it for that early customer momentum.”

    «YC должен был пригодиться для того, что я теперь называю prospecting: для получения первых клиентов и пользователей. Так что, хотя у участия в программе были свои компромиссы, я знала, что ради раннего клиентского импульса оно того стоит».

    I had no selling experience whatsoever — the last thing I sold prior to starting Vanta was Girl Scout cookies.

    У меня вообще не было опыта продаж — последнее, что я продавала до Vanta, были печенья «Девочек-скаутов».

    Being a member of the popular accelerator opened up a network of fellow YC founders, and it was through that network that Vanta ended up securing people management platform Lattice as one of its first customers.

    Членство в этом популярном акселераторе открыло доступ к сети других основателей YC, и именно через эту сеть Vanta получила одного из своих первых клиентов — платформу people management Lattice.

    “YC has Bookface, sort of an internal Hacker News that has a bunch of information on prior companies. Our partners went through those company lists with me and helped me prioritize who might need a SOC 2 that I could reach out to. And what I generally found was YC founders are extraordinarily kind to one another and would take meetings with early companies, even when it wasn't totally clear they had a business interest in doing so,” says Cacioppo.

    «В YC есть Bookface — что-то вроде внутреннего Hacker News с массой информации о прошлых компаниях. Партнёры YC прошлись со мной по этим спискам и помогли расставить приоритеты, кому может понадобиться SOC 2 и к кому стоит обратиться. И в целом я обнаружила, что основатели YC чрезвычайно добры друг к другу и соглашались на встречи с ранними компаниями, даже когда у них не было очевидной бизнес-выгоды от этого», — говорит Каччоппо.

    From those early sales pitches, Cacioppo learned three important lessons she imparts on other founders:

    Из тех первых питчей Каччоппо вынесла три важных урока, которыми делится с другими основателями:

  • Selling to fellow founders is a great place to start. “Early on, I learned that I very much sold like a PM, which is good and bad. I was like, ‘Let me show you what I built. And also, I will ask you a million questions.’ Because I'm curious, and I'm building a model of the user. But the sales pitch was very much an after-thought, sort of like, “Oh, by the way, would you buy this?’ Sometimes, I would do really deep discovery and then forget to send the DocuSign,” she says.“It helped to sell to other founders because they're much more tolerant of that approach. It especially helped us sell to technical founders because they're much more motivated by talking about a product than being sold on it. So that inadvertently worked in my favor.”
  • Don’t do two sales calls when one will do. “My initial sales process was to do a first call of discovery where I’d ask the prospect questions, and then at the end, explain what Vanta did. Generally, the reaction I'd get was excitement for the product but disbelief that it actually worked. So then I’d say, ‘Let’s do another call, and I'll show it to you.’ On that second call, I’d show them the product, and they’d be wowed that the product did exactly what I said it would do. I thought I was all set with this genius two-call sequence,” says Cacioppo. “But after a second call with this one founder, he said, ‘That should have just been one call where you showed me the product immediately, and the deal would’ve been done in 30 minutes.’ And he was precisely correct. So that’s what I did going forward.”
  • Ask for feedback from salespeople outside of your organization. “About six months in, the calls started to get boring because I'd done them so many times. It was kind of working, but I wanted to optimize. So I started going to salespeople outside of Vanta and asking them to review my process, scripts and conversion percentages. What I was doing worked some of the time, but I didn’t know how much better it could be until I asked for outside expert opinions.”
  • Продавать своим коллегам-основателям — отличное место для старта. «На раннем этапе я поняла, что я очень сильно продаю как PM — и в этом есть плюсы и минусы. Я была такой: „Дай покажу тебе, что я сделала. А ещё я задам тебе миллион вопросов“. Потому что мне любопытно, и я строю модель пользователя. А сам sales-pitch был как бы пристройкой — мол, „кстати, а ты бы это купил?“ Иногда я проводила реально глубокий discovery, а потом забывала отправить DocuSign», — говорит она. «Продавать другим основателям было удобно, потому что они гораздо терпимее к такому подходу. Особенно это помогало с техническими основателями, потому что они гораздо больше мотивированы разговаривать о продукте, чем тем, чтобы им что-то продавали. Так что это случайно сработало мне на руку». Не делайте два звонка, если хватит одного. «Изначально мой sales-процесс был таким: первый звонок — discovery, где я задавала кандидату вопросы, а в конце объясняла, что делает Vanta. Обычно реакцией был интерес к продукту, но недоверие, что он реально работает. Тогда я говорила: „Давайте сделаем ещё один звонок, и я вам всё покажу“. На втором звонке я показывала продукт, и они приходили в восторг от того, что продукт делает ровно то, что я обещала. Я думала, что у меня всё схвачено этим гениальным двухзвонковым алгоритмом, — говорит Каччоппо. — Но после второго звонка один из основателей сказал: „Это должно было быть одним звонком, где ты сразу показываешь мне продукт, и сделка закрылась бы за 30 минут“. И он был абсолютно прав. Так что дальше я именно так и делала». Просите фидбэк у сейлзов вне вашей компании. «Примерно через шесть месяцев звонки стали скучными, потому что я делала их столько раз. Что-то в целом работало, но я хотела оптимизировать. Так что я начала ходить к сейлзам вне Vanta и просить их рецензировать мой процесс, скрипты и конверсии. То, что я делала, иногда работало, но я не знала, насколько лучше всё могло бы быть, пока не спросила экспертов извне».

    RAISING A SEED ROUND

    SEED-РАУНД

    In the spring of 2018, Vanta graduated from Y Combinator and decided to raise its Seed Round. “It was ‘easy’ in that we had the momentum of coming out of YC,” Cacioppo says. “And honestly, we had nice backgrounds — fancy undergrad degrees from Stanford, had worked at Dropbox — all those unfair advantages.”

    Весной 2018 года Vanta выпустилась из Y Combinator и решила поднимать Seed Round. «Это было „легко“ в том смысле, что у нас был импульс выхода из YC, — говорит Каччоппо. — И, честно говоря, у нас были хорошие бэкграунды — модные стэнфордские дипломы, работа в Dropbox, все эти нечестные преимущества».

    Even so, it was no walk in the park. Vanta was a wildcard. It was creating a new category, and Cacioppo had to paint a picture for investors of her vision for SOC 2, one that not everyone believed would come to fruition.

    Тем не менее, это была не прогулка по парку. Vanta была wildcard. Она создавала новую категорию, и Каччоппо приходилось рисовать инвесторам свою картину будущего SOC 2 — картину, в реализацию которой верили далеко не все.

    The thing that very much threw people for a loop was our pitch: “We're gonna go SOC 2 all the startups!” And at the time, no startup got a SOC 2.

    Что особенно сбивало людей с толку — наш питч: «Мы возьмём и сделаем SOC 2 всем стартапам!» А в то время ни у одного стартапа SOC 2 не было.

    In one meeting, a partner turned to Cacioppo and said, “Sounds great, but this just doesn’t happen.” “Oh, but I promise you, it will!” was Cacioppo’s retort. Despite her unwavering enthusiasm, she still got rejected by investors who didn’t understand why Vanta was trying to help startups get SOC 2s when no startups they knew were trying to get one.

    На одной из встреч партнёр повернулся к Каччоппо и сказал: «Звучит здорово, но такого просто не бывает». «Ну а я обещаю — будет!» — парировала Каччоппо. Несмотря на её непоколебимый энтузиазм, ей всё равно отказывали инвесторы, не понимавшие, зачем Vanta пытается помочь стартапам получить SOC 2, когда среди известных им стартапов никто этого не делал.

    “And I think that was a very reasonable read of the situation,” says Cacioppo. “But what we had was, one, there was going to be more and more pressure on software companies to prove their security. And two, this insight of, 'Startups would get a SOC 2 if it were easier and took them less time.' So the combination of more pressure from customers and reducing the time it takes to get one of these things—that's going to make more startups get SOC 2s. That was our thesis.”

    «Думаю, это было вполне разумное прочтение ситуации, — говорит Каччоппо. — Но у нас было, во-первых, понимание, что на софтверные компании будет расти и расти давление в плане доказательства своей безопасности. И во-вторых, инсайт: „Стартапы стали бы получать SOC 2, если бы это было проще и занимало меньше времени“. Сочетание растущего давления со стороны клиентов и сокращения времени на получение такой штуки — вот что заставит больше стартапов делать SOC 2. Таков был наш тезис».

    And none of the “no’s” shook Cacioppo’s belief in that thesis.

    И ни одно «нет» не поколебало уверенность Каччоппо в этом тезисе.

    I'd spent a year validating the idea. And because I'd spent so much time validating, whenever I got a rejection from an investor, I was like, “Cool, I look forward to proving you wrong.”

    Я потратила год на валидацию идеи. И поскольку я потратила столько времени на валидацию, каждый раз, получая отказ от инвестора, я говорила себе: «Отлично, жду возможности доказать тебе, что ты неправ».

    By April 2018, Vanta had closed on its Seed Round, but it would be a full three years before it raised a Series A, amassing $10 million in ARR before doing so.

    К апрелю 2018 года Vanta закрыла Seed Round, но прошло целых три года, прежде чем она подняла Series A, дойдя к этому моменту до $10 млн ARR.

    GAINING TRACTION

    НАБОР ОБОРОТОВ

    The first big milestone for Vanta was when it started steadily acquiring one new customer per week. Within the first six months, it ramped up to roughly two new customers per week. “It was so exciting just seeing that velocity there and being able to look back and be like, ‘Oh, remember when it was one a week and it seemed like such a big deal, and now, it’s three a week?’”

    Первым большим рубежом для Vanta стал момент, когда они начали стабильно приобретать одного нового клиента в неделю. За первые шесть месяцев темп вырос примерно до двух новых клиентов в неделю. «Было так радостно видеть эту динамику и оглядываться назад: „О, помнишь, когда был один в неделю, и это казалось огромным событием, — а теперь уже три в неделю?“».

    Vanta was gaining word-of-mouth traction as a product that got startups a SOC 2. Naturally, then, people were asking, “Well, how many SOC 2s have you gotten for your customers?” “The initial answer was zero,” says Cacioppo, “which didn’t feel great.”

    Vanta набирала word-of-mouth-трекшен как продукт, который получает для стартапов SOC 2. Естественно, у неё начали спрашивать: «А сколько SOC 2 вы уже получили для своих клиентов?». «Изначально ответ был — ноль, — говорит Каччоппо, — и это ощущалось не очень здорово».

    Around 20 startups were already paying Vanta to streamline the process of SOC 2 preparation—but Vanta had yet to help any of those customers actually go through the required audit. It was time to get the ball rolling. For their very first audit, Cacioppo flew to Colorado, sat in that auditor’s WeWork and pulled information from the database to ensure they had everything they needed to complete the process.

    Около 20 стартапов уже платили Vanta за упрощение подготовки к SOC 2, но ни одного из этих клиентов Vanta ещё не провела через сам обязательный аудит. Пора было запустить процесс. Для самого первого аудита Каччоппо полетела в Колорадо, села в WeWork этого аудитора и вытаскивала информацию из базы данных, чтобы убедиться, что у них есть всё необходимое для завершения процесса.

    “That was a combination of product development and research, of figuring out what auditors need to grant a SOC 2 and also figuring out what an audit actually looks like,” she says. “On top of that, we felt this immense pressure to deliver because we'd already told this customer it was going to work. We needed it to work.”

    «Это было сочетание разработки продукта и исследования: понять, что нужно аудиторам, чтобы выдать SOC 2, а также понять, как вообще выглядит аудит, — говорит она. — Плюс к этому мы чувствовали огромное давление сделать всё хорошо, потому что уже сказали клиенту, что это сработает. Нам надо было, чтобы это сработало».

    It worked. “And then afterward, we told that customer they were the first one,” Cacioppo says with a laugh. At this point, Vanta still didn’t have a real website or a marketing team and still hadn’t raised a Series A. What gives?

    Это сработало. «А потом мы сказали тому клиенту, что он был первым», — со смехом говорит Каччоппо. На этом этапе у Vanta всё ещё не было ни нормального сайта, ни маркетинговой команды, и она всё ещё не подняла Series A. В чём дело?

    “In retrospect, we were probably a little too clever for our own good,” she admits, “but at the time, the thinking was one, we wanted to make sure we could actually do this thing. Going into your first audit with 20 customers is frightening enough. Did we really want that number to be 100?

    «Оглядываясь назад, мы, наверное, были слишком умными для своего же блага, — признаёт она, — но в тот момент логика была такая: во-первых, мы хотели убедиться, что мы реально умеем это делать. Идти на свой первый аудит с 20 клиентами и так страшно. Действительно ли мы хотели, чтобы их было 100?».

    And she wanted to preserve Vanta’s first-mover advantage for as long as possible.

    А во-вторых, она хотела как можно дольше сохранять преимущество first-mover.

    Once it started working, we realized this was actually quite a deep and ripe area, but everyone else still thought SOC 2 was this tiny, niche thing that only big companies got. We wanted to stay under the radar so we could get ahead because we didn't want a bunch of copycats.

    Как только всё начало работать, мы поняли, что это на самом деле очень глубокая и спелая ниша, но все остальные по-прежнему считали SOC 2 какой-то крошечной нишевой штукой, которую делают только большие компании. Мы хотели оставаться под радаром, чтобы вырваться вперёд, потому что не хотели появления кучи копикэтов.

    By early 2019, the Vanta team had confidence that they had found product-market fit because they no longer had to go out and find customers—the customers were finding them, even though they’d made it exceedingly difficult to do so. At this time, if you went to vanta.com, all you’d see was a barebones homepage with a company email address. Even so, the team was starting to get two or three emails a week, all through word of mouth.

    К началу 2019 года команда Vanta была уверена, что нашла product-market fit, потому что им уже не нужно было ходить и искать клиентов — клиенты сами находили их, хотя это было сделано чрезвычайно сложно. На тот момент, если зайти на vanta.com, можно было увидеть только голую главную страницу с корпоративным email-адресом. И всё же команда начала получать по два-три письма в неделю — и всё через сарафанное радио.

    At this point, the team consisted of engineers and Cacioppo, but now that they had this internal confidence that they’d found product-market fit, they hired a support team, then customer success and lastly, sales.

    К этому моменту команда состояла из инженеров и самой Каччоппо, но теперь, имея внутреннюю уверенность в том, что они нашли product-market fit, они наняли команду саппорта, затем customer success и, наконец, продажников.

    RAISING A SERIES A (FINALLY!)

    SERIES A (НАКОНЕЦ-ТО!)

    In the startup world, it’s a commonly held belief that a SaaS company should raise a Series A as soon as it hits $1 million in ARR. So why did Cacioppo wait to fundraise until Vanta had 10 times that amount?

    В мире стартапов общепринято мнение, что SaaS-компания должна поднимать Series A, как только она достигает $1 млн ARR. Так почему же Каччоппо ждала с фандрейзингом, пока у Vanta не накопится в десять раз больше?

  • Money wasn’t blocking the company’s growth. “We were basically operating at cash flow breakeven. The things blocking our growth were things like not being very good at hiring or setting up the great people we did hire to do their job well. We definitely had our issues, but they didn't feel like issues that money was going to solve.”
  • Selling to customers was the priority, not selling to investors. “I realized I could spend time selling customers on Vanta and getting more revenue, or I could spend time selling investors. And selling customers and getting more ARR was actually working quite well.”
  • As ARR grew, so too did the likelihood of success when fundraising later. “The more ARR we had, the easier the investor conversations.”
  • Деньги не блокировали рост компании. «Мы по сути работали на безубыточности по cash flow. Тем, что блокировало наш рост, были вещи вроде того, что мы не очень умели нанимать или настраивать классных людей, которых мы нанимали, на то, чтобы они хорошо делали свою работу. У нас, безусловно, были свои проблемы, но это были не те проблемы, которые решаются деньгами». Продажи клиентам были приоритетом, а не продажа инвесторам. «Я поняла, что могу тратить время на продажу Vanta клиентам и наращивать выручку, или могу тратить время на продажу инвесторам. А продажа клиентам и рост ARR в тот момент шли очень хорошо». Чем больше становился ARR, тем выше была вероятность успеха при будущем фандрейзинге. «Чем больше у нас был ARR, тем легче проходили разговоры с инвесторами».

    I figured if investors like Series A's that had a million dollars of revenue, they probably really like Series A’s with $2 million of revenue and even more.

    Я подумала: если инвесторы любят Series A с миллионом долларов выручки, они, наверное, очень любят Series A с $2 млн выручки — и ещё больше.

    What caused her to finally raise a Series A?

    Что в итоге заставило её всё-таки поднять Series A?

  • Vanta needed to sprint ahead of the competitors that were cropping up. “The secret got out that SOC 2 for startups was, in fact, a very good business. I wanted to accelerate growth before the competition caught up.”
  • Not raising money was negatively impacting Vanta’s reputation. “Folks thought we were much smaller than we were, which didn't feel like a great position in the market. Plus, when we were pitching candidates, they'd be like, ‘Oh, I'm not sure I want to join a seed-stage startup.’ And we'd be like, ‘No, no, we're actually more like a Series B startup!’ It was very confusing and annoying for everyone.”
  • As the employee count grew, she didn’t want to take unnecessary risks. “You can operate at cash flow breakeven, but as you're growing your team (and our team was about 50 people at this point), you have to think about how many months of payroll you have in the bank. If we were to miss sales targets for two months and went out of business, I'd feel really dumb. We did not need to fly that close to the sun.”
  • Vanta нужно было оторваться от появляющихся конкурентов. «Секрет вышел наружу: SOC 2 для стартапов — это, оказывается, очень хороший бизнес. Я хотела ускорить рост, прежде чем нас догонит конкуренция». Отсутствие подъёма денег негативно влияло на репутацию Vanta. «Люди думали, что мы гораздо меньше, чем на самом деле, и это была не самая удачная позиция на рынке. Плюс, когда мы питчили кандидатов, они говорили: „О, я не уверен, что хочу присоединяться к стартапу на стадии seed“. А мы такие: „Нет-нет, мы скорее как Series B!“. Это всех очень путало и раздражало». По мере роста штата я не хотела брать на себя ненужные риски. «Можно работать на безубыточности по cash flow, но по мере роста команды (на тот момент у нас было около 50 человек) надо думать о том, сколько месяцев payroll у тебя лежит в банке. Если бы мы не выполнили план по продажам в течение двух месяцев и обанкротились, я бы чувствовала себя по-настоящему глупо. Нам не нужно было летать так близко к солнцу».

    In May 2021, Vanta raised a $50 million Series A led by Sequoia Capital. With that funding, the team accelerated hiring, invested in marketing and, yes—finally put up a proper website. They also announced support for two highly-requested certifications, ISO 27001 and HIPAA, which paved the way for Vanta’s expansion into new customer segments.

    В мае 2021 года Vanta подняла Series A на $50 млн во главе с Sequoia Capital. С этим финансированием команда ускорила найм, вложилась в маркетинг и, да, наконец-то сделала нормальный сайт. Они также объявили о поддержке двух очень востребованных сертификаций — ISO 27001 и HIPAA, что открыло Vanta путь к новым клиентским сегментам.

    LOOKING FORWARD

    ВЗГЛЯД В БУДУЩЕЕ

    Since 2018, Vanta has grown from manually assisting that first SOC 2 submission in Colorado to automating compliance for many more frameworks, including GDPR, HIPAA and USDP, for customers around the world. It now has offices in the U.S., Australia and Ireland. And while the company got its start going where no company had gone before (getting SOC 2s for startups), it has broadened its ambitions by creating another new category: trust management.

    С 2018 года Vanta выросла от ручного сопровождения той первой подачи SOC 2 в Колорадо до автоматизации комплаенса по множеству фреймворков, включая GDPR, HIPAA и USDP, для клиентов по всему миру. У неё уже есть офисы в США, Австралии и Ирландии. И хотя компания начинала с того, куда раньше никто не заходил (получение SOC 2 для стартапов), она расширила свои амбиции, создав ещё одну новую категорию — trust management.

    “I'm re-centering on a lot of the founding pieces of Vanta,” says Cacioppo. “We're known for SOC 2, but SOC 2 is just one tool to demonstrate the security you have and build your business. We built the initial product around it because it seemed like the closest thing to an industry standard, but it's not special otherwise.”

    «Я переосмысляю фундамент Vanta, — говорит Каччоппо. — Нас знают за SOC 2, но SOC 2 — это лишь один из инструментов, чтобы продемонстрировать имеющуюся безопасность и развивать бизнес. Мы построили вокруг него первоначальный продукт, потому что он казался самым близким к индустриальному стандарту, но в остальном в нём нет ничего особенного».

    “Now that we feel very confident in our ability to get SOC 2s (we've gone from that first one to literally 1000s), it's really about finding other ways for companies to uplevel their security and demonstrate that to grow their business. So we’re building things around trust reports and security status pages. That alignment of business growth and securing your company is really at the core of Vanta.”

    «Теперь, когда мы очень уверены в нашей способности получать SOC 2 (мы прошли путь от первого до буквально тысяч), задача — находить другие способы помогать компаниям повышать уровень безопасности и демонстрировать это, чтобы расти. Поэтому мы строим вещи вокруг trust-отчётов и страниц статуса безопасности. Это совмещение бизнес-роста и обеспечения безопасности компании и есть ядро Vanta».

    That renewed focus on trust is reflected in Vanta’s first acquisition. Trustpage is a security startup that enables businesses to publish a hub where customers can see compliance certifications and real-time security updates, granting them confidence and peace of mind.

    Этот возобновлённый фокус на доверии отражается в первом приобретении Vanta. Trustpage — стартап в области безопасности, который позволяет бизнесам публиковать хаб, где клиенты могут видеть сертификации комплаенса и обновления по безопасности в реальном времени, давая им уверенность и спокойствие.

    With its first acquisition, $203 million in total funding and more than 5,000 customers—including Quora, Gusto and Autodesk—Vanta is continuing its move upmarket. For acquiring enterprise customers, here’s what’s worked for Cacioppo:

    С первым приобретением, $203 млн совокупного финансирования и более 5000 клиентов — включая Quora, Gusto и Autodesk — Vanta продолжает движение в сегмент enterprise. Вот что у Каччоппо сработало для привлечения enterprise-клиентов:

  • Partnerships. “When breaking into enterprise, it’s about finding the ways in. For us, we've started building out a partner program and equipping virtual CISOs and consultants with Vanta to go serve customers that we probably would not acquire or touch on our own for a couple of years. Those tend to be brick-and-mortar businesses. That's starting to work now. When we started, we never would’ve thought we’d have a law firm as a customer, so that’s exciting.”
  • Acquisitions: “Acquisitions have been big. A Vanta customer gets acquired into a bigger company, and that ends up being a great way to show what Vanta can do and why it's important. It gives us all these internal sales champions, and we can use that to break into much larger companies than we would be able to by trying to go in through the front door.
  • Партнёрства. «При выходе в enterprise всё дело в том, чтобы находить точки входа. Для нас — это выстраивание партнёрской программы и оснащение виртуальных CISO и консультантов Vanta, чтобы они шли обслуживать клиентов, до которых мы сами в ближайшие пару лет, скорее всего, не дотянулись бы. Обычно это offline-бизнесы. Сейчас это начинает работать. Когда мы начинали, мы и подумать не могли, что у нас в клиентах будет юридическая фирма, так что это здорово». Поглощения: «Поглощения сыграли большую роль. Клиент Vanta попадает в результате поглощения в более крупную компанию — и это оказывается отличным способом показать, что умеет Vanta и почему это важно. У нас появляются внутренние sales-чемпионы, и через них мы можем входить в гораздо более крупные компании, чем смогли бы, пытаясь зайти через парадную дверь».

    Every founder hopes to make their mark, and while announcing you’re going to “SOC 2 all the startups” may not sound like the most exciting way to go about doing that, for Cacioppo, her quest to secure the internet holds a deeper meaning.

    Каждый основатель надеется оставить свой след, и хотя заявление «мы сделаем SOC 2 всем стартапам» может звучать не как самый захватывающий способ это сделать, для Каччоппо её миссия по обеспечению безопасности интернета имеет более глубокий смысл.

    “The story of the internet continues to be the story of our time,” she wrote in a 2013 blog post explaining why she quit her job to build software. “If you truly want to follow — or, better still, bend — that story's arc, you should know how to write code.”

    «История интернета продолжает оставаться историей нашего времени, — писала она в блог-посте 2013 года, объясняя, почему ушла с работы, чтобы заняться софтом. — Если вы действительно хотите следовать за этой историей — а лучше изгибать её дугу — вы должны уметь писать код».

    A decade later, Cacioppo is truly bending that story’s arc as Vanta furthers its mission: restoring trust in the internet.

    Десять лет спустя Каччоппо действительно изгибает дугу этой истории, продвигая миссию Vanta: вернуть доверие к интернету.