将标准做成SaaS，数据合规赛道2年长出一只超级独角兽

　　越来越严的数据监管，默默催生出一个新赛道。
　　因数据安全问题，Facebook被爱尔兰罚款2。65亿欧元，法国对谷歌处以创纪录的1。5亿欧元罚款以亿为单位的罚款，正不断砸在互联网公司头上。
　　巨大的罚款金额背后，是各国政府对于用户数据安全和隐私保护问题，采取了越来越严肃的态度。
　　不过，一个矛盾的点是，以硅谷大厂为代表的科技巨头，其实反而在数据保护方面有真正的投入和认知。相对来说，那些想要开拓新市场的中小型公司，对于数据合规非常陌生，而后者繁琐的认证过程，比其真正需要的成本更令前者恐惧。
　　有需求就会有供给，近日，一家名为Drata的数据合规公司，使用自动化云服务平台，将以往繁琐的数据合规验证，变成了一站式的SaaS服务，帮助企业完成SoC2、GDPR等目前欧美主流的数据合规标准。
　　不久前，Drata完成了C轮2亿美元融资，估值达到了20亿美元。其背后的投资者既有Salesforce这样的软件巨头，也有GGV这样的大型投资机构，甚至微软CEO萨提亚纳德拉，也是该公司的个人投资者。
　　Drata这样一个小公司，如何用仅仅2年时间，就做成了一家超级独角兽？它成功的背后，数据合规行业未来的趋势又是怎样的？
　　01hr将标准做成SaaS
　　作为一家创业公司，Drata选择的领域非常垂直，主打GRC（Governance，RiskandCompliance，治理、风险和合规）市场，核心的产品是帮助其他公司变得更合规。
　　在欧美市场，GRC软件合规是数据安全的重要组成部分，需要对软件产品各个环节进行检测以了解其对用户是否足够安全。对于企业来说，一款符合顶级合规安全标准（如SoC2、GDPR）的产品不仅意味着自家的产品很安全，还可以证明自身技术很有实力，获得用户的信任。
　　以全球公认最具权威性、专业性的安全审计报告SOC2报告为例，它基于美国注册会计师协会（AICPA）审计标准委员会的现有信托服务标准（TSC）制定。由一个独立的第三方标准机构对企业进行审核。
　　Drata目前支持的部分数据合规和安全标准图片来源：Drata
　　SOC2会对企业中与安全性、可用性、处理完整性、机密性和隐私性相关的信息系统进行综合评估，进而深入反映企业的内部控制及安全管理体系能力。全球目前只有少量企业可以通过该标准认证，大如Oracle、AWS在服务客户时也会强调自己获得了该标准认证。
　　不过，企业要让自己的产品系统符合这些标准，一般需要组建专门的团队或聘请经验丰富的第三方公司通过软件和人力进行测试，查找数据安全合规漏洞。这也让传统的GRC成为最不性感、却又最磨人的工作。
　　与之相比，Drata则通过技术创新和流程整合将原来需要数十人，长达数月甚至以年计的工作解放出来，将软件合规从一个手工活变成一项机器活，可以帮助企业节省大量合规审核准备时间。
　　Drata和多家云服务以及品台合作，将产品嵌套到平台中图片来源：Drata
　　作为一家安全和合规性自动化云服务平台，Drata的核心能力包括：自研54个不同合规标准下的风险评估框架，通过这些框架，企业可以持续、自动化的控制监控产品运行，并收集漏洞证据，进而迭代产品满足合规要求。在这些标准中，Drata率先攻克了有合规标准之王的的SoC2标准框架，作为一家创业已经能监控、处理复杂程度极高的合规需求。集成超过75个第三方行业软件和合规工具，帮助企业简化工作流程、选用合适的产品服务，提升自身产品合规水平，以提高合规审核效率。
　　作为一家创业公司，出色的产品打造能力让Drata迅速获得客户的认可。Drata在成立45天内就获得了100个客户。不到20个月的时间内，已经拿下了2000多个客户，产品和市场需求匹配程度极高。
　　G2grid最新发布的GRC平台报告，Drata属于行业中属于领先地位图片来源：G2
　　从Drata官方透露的信息来看，其主要的客户类型包括SaaS、保险、金融、咨询。从其标杆客户的反馈来看，节省时间、高度自动化巡检、节省成本、无需安全专家亦可操作则是吸引他们使用Drata的重要原因。
　　美国知名互联网保险公司Lemonade的合规业务负责人就表示，在使用Drata之前公司需要500到600小时在合规工作上，但使用之后时间下降到了不到40个小时。
　　用户的认可也让Drata受到资本市场的欢迎，成为史上最快成为独角兽的公司之一。作为一家2020年成立的创业公司，2021年完成B轮1亿美元正式跻身独角兽，并随即于近日完成C轮2亿美元融资。
　　值得一提的是，市场策略上，Drata没有完全颠覆整个行业，反而会和审计师合作提升市场效率。Drata只是帮助企业监控评估，但评估仍由权威标准机构来确定。
　　创始人AdamMarkowitz表示，Drata的存在可以帮助专业第三方人士更高效的服务企业，我们创建Drata是为了作为伟大公司与他们有业务往来的人（审计员、合作伙伴、他们的客户等）之间的信任层。
　　02hr数据合规，
　　大热的新赛道
　　Drata受到资本和企业用户的欢迎，离不开日益严格的数据安全要求和与日俱增的诈骗风险。
　　一方面，从史上最严数据保护法GDPR的出台落地，到扎克伯格被叫到美国国会开会，数据安全与合规已经成为互联网企业头上的一把利剑，倒逼企业更加重视自身企业系统搭建，满足用户使用需求。
　　另一方面，随着云服务的广泛普及，让企业获客变得简单起来，SaaS市场在欧美遍地开花。与之伴随的，由于软件合规漏洞等造成的诈骗风险也越来越多、损失越来越大。
　　美国联邦调查局（FBI）2022年发布的《互联网犯罪报告》显示，2021年网络诈骗令全球受害者损失了至少69亿美元，较2020年增加超过20亿美元。而在这些诈骗中，涉及最多的领域是勒索软件、商业电子邮件泄露（BEC）计划和加密货币犯罪。除了用户自身原因外，软件自身安全仍然至关重要。
　　数据安全引起的损失逐年增加图片来源：FBI
　　当企业服务的对象走向全球，不同区域的法规、不同用户的合规需求，更让合规问题变得棘手和复杂。
　　不过，复杂的问题也酝酿出广阔的市场需求。据IDC预计，全球GRC收入将从2020年的113亿美元增长到2025年的近152亿美元。
　　而回到Drata身上，其创立就和创始人搞不定复杂的合规审查有关。
　　在创立Drata之前，创始人AdamMarkowitz还曾在2014年创业做了一款类似LinkedIn的产品Portfolium，主打毕业生联系校友、求职。在向美国校园推广产品的时候他发现，由于不同州对产品合规要求不一样，导致产品每当进入一个市场就要重新解决一遍合规问题，导致产品在关键竞争时刻进展缓慢。
　　2019年，他最终决定把公司以4300万美元的价格进行出售，自己再出来创业，并将方向就定在了合规方向。前一段创业中遇到的合规问题，也让他更清楚的了解企业用户的痛点。在经过不到一年时间的研发后，Drata即正式诞生。
　　Drata的三位创始人，从左至右为CROTroyMarkowitz、CTODanielMarashlian、CEOAdamMarkowitz图片来源：Drata
　　有趣的是，在创业之前，Adam还曾在NASA担任航空航天工程师长达6年，为NASA的下一代太空运载火箭和航天飞机进行主发动机设计、分析和测试液体火箭发动机。
　　当然，不止Drata看到了GRC市场的机会。
　　在Adam创立Drata的时候，也有同类创业公司出现，比如其成立更早的竞争对手Vanta也拿到了数1。6亿美元计的融资成为独角兽。此外包括Wiz、ScrutAutomation等同类公司的迅速崛起，也让合规自动化转眼间变成了一个行业赛道。
　　快速增长的需求市场和在合规评估背后的丰富想象，也让巨头企业关注到了合规自动化行业。比如，微软不仅自己在开发相关产品，其CEO纳德拉在2021年DrataA轮融资时就进行了投资，SalesforceVentures、CGV也相继加入到Drata投资人行列中。
　　不过，相比成为巨头公司的一部分，Drata似乎更希望自己能从巨头中左右逢源，并成长为一家独立的公司。因此，尽管拿到了上述公司的投资，也同时向AWS伸出橄榄枝，积极参加AWS举办的ISV加速计划活动，获取良好关系的同时也收获了不少客户。
　　在互联网行业一片哀鸣的今天，我们仍能看到像Drata这样专注GRC、UIpath这样专注RPA的公司在崛起。根据Crunchbase的数据，2021年专注云计算和网络安全领域的初创公司，拿到了超过230亿美元的融资，创下了该领域的纪录，而2022年这一数字也有约160亿美元。
　　这证明，当互联网行业进入成熟期，或许会失去增长的海洋，但只要往下挖，这个行业仍能找到充满活力的溪泉。