Vanta's Path to Product-Market Fit
История Кристины Каччоппо, основательницы и CEO Vanta — платформы автоматизации безопасности и комплаенса с оценкой в $1,6 млрд. Уйдя из Union Square Ventures, она научилась программировать, поработала PM в Dropbox и после серии неудачных идей (включая голосового ассистента для биологов) нашла свою нишу: автоматизация получения сертификата SOC 2 для стартапов. MVP начинался как консалтинг с использованием Google-таблицы и gap assessment для Segment и Front. После Y Combinator в 2018 году Vanta росла на word-of-mouth, не имея даже нормального сайта, и подняла Series A только при ARR $10 млн (в мае 2021 — $50 млн от Sequoia Capital). Сегодня у Vanta более 5000 клиентов (Quora, Gusto, Autodesk), $203 млн привлечённых инвестиций, офисы в США, Австралии и Ирландии, а также первое поглощение — Trustpage — и новая категория trust management.
Не так много людей готовы уйти с должности в престижной венчурной фирме, чтобы самостоятельно научиться программировать и «делать кучу штук, о которых никто никогда не слышал». Но Кристина Каччоппо — не такой человек, как все.
«Если ты говоришь, что возвращаешься учиться, тебя понимают; если ты говоришь, что бросил работу, чтобы кодить, тебя сочтут сумасшедшим», — писала она в блог-посте через два года после ухода из инвестиционной команды Union Square Ventures.
Сейчас она сооснователь и CEO Vanta — платформы автоматизации безопасности и комплаенса, оценённой в $1,6 млрд и недавно попавшей в список Cloud 100. И, как видно из её истории, она никогда не следовала общепринятым правилам. Она научилась программировать сама, а не получала диплом по computer science и не искала сооснователя-инженера; она ждала, пока Vanta достигнет $10 млн ARR, прежде чем поднимать Series A, — вместо привычного для всех момента в $1 млн ARR; и чтобы получить первых 600 клиентов, она полагалась на сарафанное радио, а не нанимала маркетинг или хотя бы запускала нормальный сайт.
Такой смелый и неприхотливый подход к строительству бизнеса хорошо послужил Каччоппо, но это не значит, что путь к product-market fit был лёгким. Прежде чем построить Vanta, она построила множество других вещей, над которыми сейчас смеётся (выяснилось, что голосовое приложение для биологов — не бизнес на миллиард долларов).
Но сначала вернёмся на 13 лет назад — к первой работе Каччоппо после колледжа, когда впервые зародилось желание стать основателем, хотя она сама тогда едва могла себе в этом признаться.
ИССЛЕДОВАНИЕ ИДЕЙ
Был июнь 2010 года, и Каччоппо только что устроилась в нью-йоркский early-stage VC Union Square Ventures, где её дни были заняты встречами с новаторскими основателями и оценкой компаний.
«Идя на работу в VC, во мне сидела часть, которая действительно хотела когда-нибудь основать компанию, но я точно не произносила это вслух и даже про себя. Казалось, что я просто не из тех людей, которые основывают компании — что бы это ни значило», — говорит Каччоппо.
Со временем, наблюдая за самыми разными основателями, проходившими через двери USV, она почувствовала, как растёт её собственная уверенность в том, что и она может стать основателем.
«Я дошла до точки, когда сказала: „Я действительно хочу основать компанию“. Но я хотела, чтобы это была софтверная компания, а кодить я не умела. И я знала, что многие непрограммисты основывали компании, но я не хотела идти этим путём. Поэтому я уволилась, забрала свой бонус и научилась программировать и делать продукты сама», — рассказывает она.
Два года она возилась с софтверными проектами. Она сделала сайт для отслеживания книг, приложение для видеосообщений на Android, доску вакансий для стартапов — и это лишь несколько примеров. Но не хватало одного кусочка. «Я научилась делать вещи самостоятельно, и это было здорово, но я никогда раньше не работала в настоящей компании, где разрабатывают и выпускают продукты», — говорит она.
Поэтому в итоге она пришла в Dropbox продакт-менеджером и работала над выводом на рынок Dropbox Paper. Возможность увидеть изнутри успешную компанию стала важнейшим обучением для будущей основательницы, но через два года в Dropbox Каччоппо уже не терпелось пойти своим путём.
«Я многому научилась и становилась нетерпеливой. Пора было проверить, есть ли во мне то, что нужно основателю», — говорит она. Оставалось только одно — идея, что строить. Чтобы начать поиск, она задала себе два вопроса:
Какие новые технологии открывают сейчас уникальные возможности? О чём я знаю больше, чем другие?
К этому моменту был конец 2016 года. Двумя годами ранее Amazon с большой помпой запустил Alexa, а количество девочек, которых называли в честь голосового ассистента, как раз достигло пика. Иными словами, рынок голосовых ассистентов раскалился.
«Голос был чем-то новым и открывал множество возможностей, а у меня только что появилось устройство Alexa, и я подумала, что это круто, — говорит Каччоппо. — К тому же я кое-что понимала про командную работу после пары лет в Dropbox. Так что я решила объединить две темы и сделать голосового ассистента для работы».
Это завело её в кроличью нору того, что она сама теперь признаёт «ужасными идеями».
Сначала был диктофон для встреч, который автоматически расшифровывал все совещания в компании. «Звучит круто, и кому-то это действительно было нужно, но среднестатистическому человеку такой продукт совсем не нужен, — говорит Каччоппо. — Плюс на тот момент технология была не очень хорошей». Следующим был микрофон, который расшифровывал заметки прямо в Slack. «В основном он сваливал в Slack-канал ерунду; пользоваться этим было невозможно».
Когда её продукты не получили отклика у стартапов, Каччоппо сменила курс и сосредоточилась на узком кейсе: голосовом ассистенте для биологов, работающих в лаборатории. На тот момент это казалось разумным по нескольким причинам. «Они работают руками, у них перчатки, они имеют дело с химикатами. Представьте, что вы пытаетесь набирать заметки, готовя сложное блюдо», — объясняет она.
Она нашла лабораторию, отправила им микрофон и даже собрала им приложение под iPad. «Они были в восторге, потому что никто не делает софт для биологов в лабораториях, — говорит она. — Но рынок этого продукта был размером с мой большой палец, а я к тому же ничего не знала о биологах. Сейчас об этом смешно говорить, но тогда это был настоящий низший момент».
С нарастающей кучей проваленных идей Каччоппо переоценила свой подход и поняла свою ошибку.
Это немного напоминало детскую книгу «Ты моя мама?». Мы построили этот инструмент и ходили вокруг, спрашивая людей: «Вам нужен наш инструмент? Вам нужен наш инструмент? А вам?» И ответ был — нет, никому наш инструмент был не нужен.
Как найти правильную проблему для решения
После этого момента озарения она резко изменила стратегию:
Больше никакой разработки. Только разговоры с клиентами. «Мы решили, что нам нельзя ничего строить вообще. Мы должны были просто разговаривать с людьми — и разговаривать до тех пор, пока у нас не появится высокая уверенность и ментальная модель клиентов, их задач, проблем, которые у них могут быть, и того, как мы могли бы их решить». (Подробнее смотрите заметку Каччоппо о её ключевых советах по разговорам с клиентами.) Спрашивайте их об их повседневной рутине. «Чтобы найти хорошую проблему, мы по-настоящему сфокусировались на том, как выглядит обычный день клиента». Совет Каччоппо здесь — переходить к конкретике. «Для discovery лучшее, что мы делали, — это просили людей открыть свой календарь. Затем мы говорили: „Посмотрите на все встречи за последние пару недель. Что было лучшим в этих неделях? А что — худшим?“ Это в итоге привело нас к проблеме, которую стоило решать». Вы поймёте, что понимаете проблему, когда сможете предсказать 75% того, что вам скажет клиент. «Нам нужна была эвристика: „Когда мы знаем, что достаточно понимаем проблему клиента?“ Поэтому мы решили, что должны продолжать эти разговоры, пока три четверти того, что мы слышим, не будет тем, что мы уже знаем».
Лёгкая часть — это написать код. Сложная часть — построить то, что нужно людям. Поэтому сначала сосредоточьтесь на том, чтобы найти то, что нужно людям.
Первый проблеск того, что станет Vanta, появился в одном из первых разговоров Каччоппо — с Product Security Lead в Dropbox.
«Когда мы посмотрели его календарь, он сказал мне: „Лучшие моменты моей недели — когда я работаю с продуктовыми командами над вопросами безопасности. Я работаю с PM и инженерами, и мы расставляем правильные приоритеты и чиним нужные вещи. Худшая часть — когда мне приходится собирать отчёты о том, что я сделал, чтобы показать менеджеру или руководству, или говорить по телефону с клиентами и объяснять простыми словами, какую безопасность мы обеспечиваем“, — вспоминает Каччоппо. — Этому человеку в принципе нравилась его работа, но там был этот компонент „работа о работе“, когда нужно доказывать, что ты что-то защитил, и эта часть была утомительной и раздражающей».
Тема комплаенса всплывала и в других customer discovery-разговорах — но это широкая область. Чтобы дальше сузить идею, Каччоппо продолжала разговоры, обращаясь к основателям стартапов, командам безопасности, инженерным руководителям и сейлз-командам, задавая вопрос: «А что вы делаете для безопасности в вашем стартапе?»
«И обычно они виновато поднимали глаза и говорили: „Немного, и хотелось бы больше“. А я говорила: „Без проблем, но почему вы не делаете больше? Звучит так, будто вы хотите делать больше, — что мешает?“».
Перебирая эти ответы, Каччоппо собрала общую картину: дело было в приоритизации. Стартапы застревали между двумя вариантами. Вариант А — потратить время и силы на обеспечение безопасности (что, как они понимали, было бы хорошо), но единственным способом измерить ценность такой работы было отсутствие взлома, а это недостаточно убедительная метрика. Вдобавок к этому, главная проблема маленьких стартапов в том, что их никто не знает, а значит, скорее всего, никто и не пытается их взломать.
Вариант Б — потратить эти драгоценные время и силы на разработку продуктовых фич, которых хотят клиенты, что приведёт бизнес к первой выручке, а вопросы безопасности приоритизировать позже — когда появятся время и ресурсы.
Учитывая эти варианты, какой, по вашему, выбирали эти стартапы? Второй. Каждый раз.
«Мы слышали это очень часто, и поначалу это нас обескураживало, потому что мы думали: „Так вот почему нет компаний, делающих безопасность для стартапов“. Потому что даже если идея хорошая или продукт удобный — ты всё равно упираешься в этот барьер приоритизации», — говорит она.
Но потом Каччоппо встретила маленький стартап, который сломал шаблон.
Момент озарения
«Был такой переломный момент, когда я пришла в Figma, где тогда было, наверное, человек 30, и разговаривала с одним из их инфраструктурных инженеров, ожидая того же разговора, что был у меня уже множество раз, — говорит Каччоппо. — Но в этот раз, когда я спросила: „А что вы тут делаете для безопасности?“ — этот человек перечислил около 12 инструментов, кучу best practices и продолжал говорить. Это меня поразило. Я была такая: „Почему? Кто вы и зачем?“».
Figma только что подписала одну из крупнейших публичных технологических компаний — огромная сделка для кого угодно, не говоря уже о стартапе из 30 человек. И в рамках процесса продажи эта публичная компания прислала длинный опросник для оценки практик безопасности Figma. Ответы Figma были в основном «нет», но команда не хотела этого говорить. Вместо этого они превратили опросник в свой продуктовый roadmap и реализовали всё, что в нём было, чтобы честно сказать «да» по каждому пункту чек-листа.
У Каччоппо включилась лампочка. Figma успешно увязала обеспечение безопасности компании с ростом её бизнеса. По необходимости закрыть крупную сделку безопасность стала их приоритетом № 1. Это означало: если бы она помогала стартапам доказывать свои практики безопасности (и тем самым продаваться более крупным компаниям), она могла бы создать продукт, который создаёт реальную ценность.
Это привело её к ещё одной кроличьей норе — как они с командой могли бы продуктизировать эту идею. Можно ли стандартизировать тот самый опросник, который публичная компания прислала Figma? Можно ли создать способ автоматически на него отвечать?
«Мы не могли сделать ни того, ни другого, потому что опросники были очень индивидуальными и кастомными, — говорит она. — Тогда мы поняли, что настоящий вопрос, который нужно задать, звучит так: „Как сделать так, чтобы стартапам в принципе не нужно было получать опросник?“».
Ответом была сертификация комплаенса вроде SOC 2. SOC 2 — это фреймворк, устанавливающий набор рекомендаций по безопасности и комплаенсу, который служит золотым стандартом того, как компания управляет данными клиентов и защищает их.
Для SaaS-компаний получение SOC 2 принципиально важно, если они хотят привлекать enterprise-клиентов, потому что крупные компании должны быть уверены, что данные их клиентов в надёжных руках. SOC 2 даёт такое доказательство.
«Если говорить практически, SOC 2 — это 80-страничный PDF, в котором перечислены практики безопасности организации. По сути, он говорит: „Эй, как компания, мы имеем такие-то практики, и аудитор пришёл в компанию, убедился, что мы делаем то, что говорим, и описал, как именно мы это делаем“», — объясняет Каччоппо. Это невероятно трудоёмкий процесс — именно поэтому SOC 2 был практически ни у одного стартапа.
Казалось, они нашли свою выигрышную продуктовую идею: достаточно автоматизировать процесс получения SOC 2, и стартапы будут ломиться к ним в дверь. Но не так быстро.
Когда мы пошли к консультантам и аудиторам и предложили автоматизировать SOC 2, они сказали: «Ну, этого нельзя сделать, потому что каждый отчёт уникален».
Каччоппо и её команда возразили. Да, исторически эти отчёты были уникальными, но обязательно ли это так? Даже если один бизнес отличается от другого, должны ли способы, которыми они защищают данные клиентов, кардинально различаться?
«Если мы говорим о практиках безопасности — да, есть свои нюансы, но есть и best practices», — говорит Каччоппо. И именно на этой общей основе она решила построить первый MVP.
СОЗДАНИЕ MVP
Каччоппо твёрдо собиралась создать SaaS-компанию, но прежде чем Vanta стала software-as-a-service, она была service без software. До того как они написали хоть строчку кода, Каччоппо и её команда стали SOC 2-консультантами.
В своём первом эксперименте они пошли в Segment — платформу для работы с клиентскими данными — и проинтервьюировали её команду, чтобы определить, как должен выглядеть SOC 2 этой компании и насколько они далеки от его получения.
«Мы сделали для них gap assessment в табличке, очень кастомный для них, и они могли при желании построить по нему roadmap», — говорит она.
Каччоппо проводила тест, чтобы ответить на два ключевых вопроса:
Сможет ли её команда сделать что-то, что выглядит убедительно? Сочтёт ли Segment это убедительным?
Ответом на оба вопроса оказалось «да». И так родилась первая (низкотехнологичная) версия Vanta — в виде таблицы. «Это сработало действительно хорошо, поэтому мы перешли ко второй компании — Front, платформе для customer operations», — говорит она.
Для этого эксперимента Каччоппо хотела проверить новую гипотезу: можно ли отдать Front gap assessment, сделанный для Segment, не сказав им об этом? Заметят ли они?
«Мы использовали те же контроли, те же правила и best practices и всё равно интервьюировали команду Front, чтобы понять, на какой стадии своего пути к SOC 2 они находятся — то есть в этом смысле был элемент кастомизации, — говорит она. — Но этот тест был о том, „Можем ли мы это продуктизировать? Можем ли мы стандартизировать этот набор вещей?“ И самое важное: „Заметят ли они, что эта табличка изначально была сделана для другой компании?“».
Они не заметили. А затем Каччоппо получила письмо, которое окончательно закрепило валидацию её идеи.
Бывший коллега из Dropbox прислал отличное письмо, по сути такого вида: «Слушай, я тут слышал, что вы стали SOC 2-консультантами. Это очень странно. Нам надо встретиться выпить, потому что — что вы вообще со своими жизнями делаете? И ещё — можете вы и для моей компании сделать SOC 2?»
«Это был последний кусочек, которого мне не хватало, чтобы двигаться в сторону автоматизации SOC 2-комплаенса, — говорит Каччоппо. — У нас была эта табличка с gap assessment, которая оказалась полезной трём стартапам, и сарафанное радио уже работало. Теперь мы могли начать писать код и собирать настоящий софтверный продукт.»
Сохраняя минимализм, первая софтверная версия Vanta содержала очень мало софта. Это была простая форма, в которую клиенты вводили свои AWS-данные, а за кулисами команда вручную доставала информацию, и Каччоппо лично писала отчёты. «Мы говорили клиентам, что софт немного медленный, поэтому отчёт пришлём на следующий день», — признаётся она.
Y COMBINATOR И ПЕРВЫЕ ПРОДАЖИ
В январе 2018 года, спустя несколько месяцев после того, как Каччоппо и её команда начали писать код для Vanta, их приняли в Y Combinator.
«YC должен был пригодиться для того, что я теперь называю prospecting: для получения первых клиентов и пользователей. Так что, хотя у участия в программе были свои компромиссы, я знала, что ради раннего клиентского импульса оно того стоит».
У меня вообще не было опыта продаж — последнее, что я продавала до Vanta, были печенья «Девочек-скаутов».
Членство в этом популярном акселераторе открыло доступ к сети других основателей YC, и именно через эту сеть Vanta получила одного из своих первых клиентов — платформу people management Lattice.
«В YC есть Bookface — что-то вроде внутреннего Hacker News с массой информации о прошлых компаниях. Партнёры YC прошлись со мной по этим спискам и помогли расставить приоритеты, кому может понадобиться SOC 2 и к кому стоит обратиться. И в целом я обнаружила, что основатели YC чрезвычайно добры друг к другу и соглашались на встречи с ранними компаниями, даже когда у них не было очевидной бизнес-выгоды от этого», — говорит Каччоппо.
Из тех первых питчей Каччоппо вынесла три важных урока, которыми делится с другими основателями:
Продавать своим коллегам-основателям — отличное место для старта. «На раннем этапе я поняла, что я очень сильно продаю как PM — и в этом есть плюсы и минусы. Я была такой: „Дай покажу тебе, что я сделала. А ещё я задам тебе миллион вопросов“. Потому что мне любопытно, и я строю модель пользователя. А сам sales-pitch был как бы пристройкой — мол, „кстати, а ты бы это купил?“ Иногда я проводила реально глубокий discovery, а потом забывала отправить DocuSign», — говорит она. «Продавать другим основателям было удобно, потому что они гораздо терпимее к такому подходу. Особенно это помогало с техническими основателями, потому что они гораздо больше мотивированы разговаривать о продукте, чем тем, чтобы им что-то продавали. Так что это случайно сработало мне на руку». Не делайте два звонка, если хватит одного. «Изначально мой sales-процесс был таким: первый звонок — discovery, где я задавала кандидату вопросы, а в конце объясняла, что делает Vanta. Обычно реакцией был интерес к продукту, но недоверие, что он реально работает. Тогда я говорила: „Давайте сделаем ещё один звонок, и я вам всё покажу“. На втором звонке я показывала продукт, и они приходили в восторг от того, что продукт делает ровно то, что я обещала. Я думала, что у меня всё схвачено этим гениальным двухзвонковым алгоритмом, — говорит Каччоппо. — Но после второго звонка один из основателей сказал: „Это должно было быть одним звонком, где ты сразу показываешь мне продукт, и сделка закрылась бы за 30 минут“. И он был абсолютно прав. Так что дальше я именно так и делала». Просите фидбэк у сейлзов вне вашей компании. «Примерно через шесть месяцев звонки стали скучными, потому что я делала их столько раз. Что-то в целом работало, но я хотела оптимизировать. Так что я начала ходить к сейлзам вне Vanta и просить их рецензировать мой процесс, скрипты и конверсии. То, что я делала, иногда работало, но я не знала, насколько лучше всё могло бы быть, пока не спросила экспертов извне».
SEED-РАУНД
Весной 2018 года Vanta выпустилась из Y Combinator и решила поднимать Seed Round. «Это было „легко“ в том смысле, что у нас был импульс выхода из YC, — говорит Каччоппо. — И, честно говоря, у нас были хорошие бэкграунды — модные стэнфордские дипломы, работа в Dropbox, все эти нечестные преимущества».
Тем не менее, это была не прогулка по парку. Vanta была wildcard. Она создавала новую категорию, и Каччоппо приходилось рисовать инвесторам свою картину будущего SOC 2 — картину, в реализацию которой верили далеко не все.
Что особенно сбивало людей с толку — наш питч: «Мы возьмём и сделаем SOC 2 всем стартапам!» А в то время ни у одного стартапа SOC 2 не было.
На одной из встреч партнёр повернулся к Каччоппо и сказал: «Звучит здорово, но такого просто не бывает». «Ну а я обещаю — будет!» — парировала Каччоппо. Несмотря на её непоколебимый энтузиазм, ей всё равно отказывали инвесторы, не понимавшие, зачем Vanta пытается помочь стартапам получить SOC 2, когда среди известных им стартапов никто этого не делал.
«Думаю, это было вполне разумное прочтение ситуации, — говорит Каччоппо. — Но у нас было, во-первых, понимание, что на софтверные компании будет расти и расти давление в плане доказательства своей безопасности. И во-вторых, инсайт: „Стартапы стали бы получать SOC 2, если бы это было проще и занимало меньше времени“. Сочетание растущего давления со стороны клиентов и сокращения времени на получение такой штуки — вот что заставит больше стартапов делать SOC 2. Таков был наш тезис».
И ни одно «нет» не поколебало уверенность Каччоппо в этом тезисе.
Я потратила год на валидацию идеи. И поскольку я потратила столько времени на валидацию, каждый раз, получая отказ от инвестора, я говорила себе: «Отлично, жду возможности доказать тебе, что ты неправ».
К апрелю 2018 года Vanta закрыла Seed Round, но прошло целых три года, прежде чем она подняла Series A, дойдя к этому моменту до $10 млн ARR.
НАБОР ОБОРОТОВ
Первым большим рубежом для Vanta стал момент, когда они начали стабильно приобретать одного нового клиента в неделю. За первые шесть месяцев темп вырос примерно до двух новых клиентов в неделю. «Было так радостно видеть эту динамику и оглядываться назад: „О, помнишь, когда был один в неделю, и это казалось огромным событием, — а теперь уже три в неделю?“».
Vanta набирала word-of-mouth-трекшен как продукт, который получает для стартапов SOC 2. Естественно, у неё начали спрашивать: «А сколько SOC 2 вы уже получили для своих клиентов?». «Изначально ответ был — ноль, — говорит Каччоппо, — и это ощущалось не очень здорово».
Около 20 стартапов уже платили Vanta за упрощение подготовки к SOC 2, но ни одного из этих клиентов Vanta ещё не провела через сам обязательный аудит. Пора было запустить процесс. Для самого первого аудита Каччоппо полетела в Колорадо, села в WeWork этого аудитора и вытаскивала информацию из базы данных, чтобы убедиться, что у них есть всё необходимое для завершения процесса.
«Это было сочетание разработки продукта и исследования: понять, что нужно аудиторам, чтобы выдать SOC 2, а также понять, как вообще выглядит аудит, — говорит она. — Плюс к этому мы чувствовали огромное давление сделать всё хорошо, потому что уже сказали клиенту, что это сработает. Нам надо было, чтобы это сработало».
Это сработало. «А потом мы сказали тому клиенту, что он был первым», — со смехом говорит Каччоппо. На этом этапе у Vanta всё ещё не было ни нормального сайта, ни маркетинговой команды, и она всё ещё не подняла Series A. В чём дело?
«Оглядываясь назад, мы, наверное, были слишком умными для своего же блага, — признаёт она, — но в тот момент логика была такая: во-первых, мы хотели убедиться, что мы реально умеем это делать. Идти на свой первый аудит с 20 клиентами и так страшно. Действительно ли мы хотели, чтобы их было 100?».
А во-вторых, она хотела как можно дольше сохранять преимущество first-mover.
Как только всё начало работать, мы поняли, что это на самом деле очень глубокая и спелая ниша, но все остальные по-прежнему считали SOC 2 какой-то крошечной нишевой штукой, которую делают только большие компании. Мы хотели оставаться под радаром, чтобы вырваться вперёд, потому что не хотели появления кучи копикэтов.
К началу 2019 года команда Vanta была уверена, что нашла product-market fit, потому что им уже не нужно было ходить и искать клиентов — клиенты сами находили их, хотя это было сделано чрезвычайно сложно. На тот момент, если зайти на vanta.com, можно было увидеть только голую главную страницу с корпоративным email-адресом. И всё же команда начала получать по два-три письма в неделю — и всё через сарафанное радио.
К этому моменту команда состояла из инженеров и самой Каччоппо, но теперь, имея внутреннюю уверенность в том, что они нашли product-market fit, они наняли команду саппорта, затем customer success и, наконец, продажников.
SERIES A (НАКОНЕЦ-ТО!)
В мире стартапов общепринято мнение, что SaaS-компания должна поднимать Series A, как только она достигает $1 млн ARR. Так почему же Каччоппо ждала с фандрейзингом, пока у Vanta не накопится в десять раз больше?
Деньги не блокировали рост компании. «Мы по сути работали на безубыточности по cash flow. Тем, что блокировало наш рост, были вещи вроде того, что мы не очень умели нанимать или настраивать классных людей, которых мы нанимали, на то, чтобы они хорошо делали свою работу. У нас, безусловно, были свои проблемы, но это были не те проблемы, которые решаются деньгами». Продажи клиентам были приоритетом, а не продажа инвесторам. «Я поняла, что могу тратить время на продажу Vanta клиентам и наращивать выручку, или могу тратить время на продажу инвесторам. А продажа клиентам и рост ARR в тот момент шли очень хорошо». Чем больше становился ARR, тем выше была вероятность успеха при будущем фандрейзинге. «Чем больше у нас был ARR, тем легче проходили разговоры с инвесторами».
Я подумала: если инвесторы любят Series A с миллионом долларов выручки, они, наверное, очень любят Series A с $2 млн выручки — и ещё больше.
Что в итоге заставило её всё-таки поднять Series A?
Vanta нужно было оторваться от появляющихся конкурентов. «Секрет вышел наружу: SOC 2 для стартапов — это, оказывается, очень хороший бизнес. Я хотела ускорить рост, прежде чем нас догонит конкуренция». Отсутствие подъёма денег негативно влияло на репутацию Vanta. «Люди думали, что мы гораздо меньше, чем на самом деле, и это была не самая удачная позиция на рынке. Плюс, когда мы питчили кандидатов, они говорили: „О, я не уверен, что хочу присоединяться к стартапу на стадии seed“. А мы такие: „Нет-нет, мы скорее как Series B!“. Это всех очень путало и раздражало». По мере роста штата я не хотела брать на себя ненужные риски. «Можно работать на безубыточности по cash flow, но по мере роста команды (на тот момент у нас было около 50 человек) надо думать о том, сколько месяцев payroll у тебя лежит в банке. Если бы мы не выполнили план по продажам в течение двух месяцев и обанкротились, я бы чувствовала себя по-настоящему глупо. Нам не нужно было летать так близко к солнцу».
В мае 2021 года Vanta подняла Series A на $50 млн во главе с Sequoia Capital. С этим финансированием команда ускорила найм, вложилась в маркетинг и, да, наконец-то сделала нормальный сайт. Они также объявили о поддержке двух очень востребованных сертификаций — ISO 27001 и HIPAA, что открыло Vanta путь к новым клиентским сегментам.
ВЗГЛЯД В БУДУЩЕЕ
С 2018 года Vanta выросла от ручного сопровождения той первой подачи SOC 2 в Колорадо до автоматизации комплаенса по множеству фреймворков, включая GDPR, HIPAA и USDP, для клиентов по всему миру. У неё уже есть офисы в США, Австралии и Ирландии. И хотя компания начинала с того, куда раньше никто не заходил (получение SOC 2 для стартапов), она расширила свои амбиции, создав ещё одну новую категорию — trust management.
«Я переосмысляю фундамент Vanta, — говорит Каччоппо. — Нас знают за SOC 2, но SOC 2 — это лишь один из инструментов, чтобы продемонстрировать имеющуюся безопасность и развивать бизнес. Мы построили вокруг него первоначальный продукт, потому что он казался самым близким к индустриальному стандарту, но в остальном в нём нет ничего особенного».
«Теперь, когда мы очень уверены в нашей способности получать SOC 2 (мы прошли путь от первого до буквально тысяч), задача — находить другие способы помогать компаниям повышать уровень безопасности и демонстрировать это, чтобы расти. Поэтому мы строим вещи вокруг trust-отчётов и страниц статуса безопасности. Это совмещение бизнес-роста и обеспечения безопасности компании и есть ядро Vanta».
Этот возобновлённый фокус на доверии отражается в первом приобретении Vanta. Trustpage — стартап в области безопасности, который позволяет бизнесам публиковать хаб, где клиенты могут видеть сертификации комплаенса и обновления по безопасности в реальном времени, давая им уверенность и спокойствие.
С первым приобретением, $203 млн совокупного финансирования и более 5000 клиентов — включая Quora, Gusto и Autodesk — Vanta продолжает движение в сегмент enterprise. Вот что у Каччоппо сработало для привлечения enterprise-клиентов:
Партнёрства. «При выходе в enterprise всё дело в том, чтобы находить точки входа. Для нас — это выстраивание партнёрской программы и оснащение виртуальных CISO и консультантов Vanta, чтобы они шли обслуживать клиентов, до которых мы сами в ближайшие пару лет, скорее всего, не дотянулись бы. Обычно это offline-бизнесы. Сейчас это начинает работать. Когда мы начинали, мы и подумать не могли, что у нас в клиентах будет юридическая фирма, так что это здорово». Поглощения: «Поглощения сыграли большую роль. Клиент Vanta попадает в результате поглощения в более крупную компанию — и это оказывается отличным способом показать, что умеет Vanta и почему это важно. У нас появляются внутренние sales-чемпионы, и через них мы можем входить в гораздо более крупные компании, чем смогли бы, пытаясь зайти через парадную дверь».
Каждый основатель надеется оставить свой след, и хотя заявление «мы сделаем SOC 2 всем стартапам» может звучать не как самый захватывающий способ это сделать, для Каччоппо её миссия по обеспечению безопасности интернета имеет более глубокий смысл.
«История интернета продолжает оставаться историей нашего времени, — писала она в блог-посте 2013 года, объясняя, почему ушла с работы, чтобы заняться софтом. — Если вы действительно хотите следовать за этой историей — а лучше изгибать её дугу — вы должны уметь писать код».
Десять лет спустя Каччоппо действительно изгибает дугу этой истории, продвигая миссию Vanta: вернуть доверие к интернету.