Security questionnaire sering muncul saat deal mulai serius. Buyer enterprise meminta puluhan pertanyaan tentang akses, enkripsi, backup, incident response, vendor, audit log, privacy, dan compliance. Untuk startup kecil, dokumen ini bisa terasa seperti tembok.
Tujuan founder bukan menjawab semuanya dengan sempurna. Tujuannya menjawab dengan konsisten, jujur, berbasis bukti, dan tahu gap mana yang perlu diperbaiki sebelum kontrak.
Jangan jawab dari ingatan
Kesalahan umum adalah founder mengisi questionnaire langsung dari ingatan. Hasilnya tidak konsisten. Jawaban security, sales, dan engineering bisa berbeda.
Buat evidence folder:
- security one-pager
- access review
- backup/restore note
- incident response note
- privacy policy
- vendor/subprocessor list
- data map
- architecture overview
- export/deletion process
- gap log
Setiap jawaban penting harus punya rujukan. Jika buyer meminta bukti, tim tahu harus mengambil dari mana.
Tentukan owner jawaban
Bagi kategori:
- engineering: architecture, access, backup, logging
- product: role permission, audit log, data export
- founder/legal: contract, DPA, privacy, compliance status
- support/customer success: incident communication dan support process
Di tim kecil, orangnya bisa sama. Tetapi kategori tetap perlu jelas. Jika semua pertanyaan masuk ke founder, proses akan lambat dan rawan salah.
Jawaban "belum" harus rapi
Tidak semua kontrol sudah tersedia. Jawaban "belum" boleh, tetapi harus ditulis dengan konteks:
- belum tersedia
- workaround saat ini
- risiko yang diketahui
- rencana perbaikan jika relevan
- apakah menjadi blocker untuk scope pelanggan
Contoh:
"SSO belum tersedia untuk paket saat ini. Role-based access tersedia. Untuk pilot awal, akses akan dibatasi ke tiga user admin pelanggan. SSO masuk roadmap enterprise, tetapi belum kami janjikan untuk tanggal tertentu."
Jawaban ini lebih kredibel daripada "sedang dikembangkan" tanpa detail.
Gunakan gap log
Gap log adalah daftar kontrol yang belum memenuhi ekspektasi buyer:
- pertanyaan
- status saat ini
- risiko
- owner
- keputusan: fix sekarang, workaround, atau tidak masuk scope
- tanggal review
Gap log membantu founder memutuskan apakah deal layak dikejar. Jika nilai kontrak kecil tetapi gap security besar, mungkin lebih sehat menunda enterprise account itu.
Pertanyaan yang sering muncul
Siapkan jawaban untuk:
- apakah data dienkripsi
- siapa yang bisa akses data produksi
- bagaimana backup diuji
- apakah ada incident response plan
- apakah ada audit log
- apakah data bisa diekspor
- apakah vendor punya DPA
- apakah ada subprocessor
- apakah ada sertifikasi ISO/SOC 2
- bagaimana vulnerability ditangani
Jika sertifikasi belum ada, jangan mengarang. Jelaskan kontrol yang sudah ada dan rencana jika enterprise segment menjadi prioritas.
Buat answer bank
Setiap selesai questionnaire, simpan jawaban yang sudah direview. Buat answer bank dengan kategori. Saat questionnaire berikutnya datang, tim tidak mulai dari nol.
Answer bank harus diberi tanggal. Jawaban security bisa berubah setelah fitur, vendor, atau infrastruktur berubah. Review minimal per kuartal atau setelah perubahan besar.
Kapan perlu bantuan eksternal
Pertimbangkan counsel atau security advisor jika:
- kontrak bernilai besar
- sektor regulated
- data pribadi sensitif
- buyer meminta klausul liability berat
- ada transfer data lintas negara
- buyer meminta sertifikasi atau audit formal
Founder tidak perlu memaksakan semua sendiri. Bantuan kecil di awal bisa mencegah janji kontrak yang sulit dipenuhi.
Checklist proses questionnaire
- terima dokumen dan deadline
- baca semua pertanyaan sebelum menjawab
- tandai kategori dan owner
- jawab dari evidence folder
- tulis gap log
- review jawaban berisiko
- kirim dengan asumsi dan batasan jelas
- simpan jawaban ke answer bank
- update roadmap security jika gap berulang
Contoh struktur answer bank
Buat spreadsheet atau dokumen dengan kolom:
- kategori
- pertanyaan
- jawaban standar
- evidence link
- owner
- tanggal terakhir direview
- catatan gap
Kategori awal:
- access control
- authentication
- encryption
- backup
- incident response
- data retention
- data export/deletion
- vendor/subprocessor
- audit log
- compliance status
Dengan struktur ini, questionnaire kedua dan ketiga akan jauh lebih cepat. Founder tidak perlu menyusun ulang jawaban dari nol.
Cara menghadapi pertanyaan sertifikasi
Jika buyer bertanya ISO 27001 atau SOC 2 dan startup belum punya:
- jawab belum tersedia
- jelaskan kontrol yang sudah ada
- jelaskan apakah sertifikasi masuk roadmap
- jelaskan apakah scope pilot bisa berjalan tanpa sertifikasi
- jangan memakai logo atau istilah sertifikasi secara ambigu
Beberapa buyer memang tidak bisa lanjut tanpa sertifikasi. Itu informasi penting untuk segmentasi. Jangan memaksakan deal jika persyaratan buyer jauh di atas kesiapan startup.
Review sebelum dikirim
Sebelum mengirim questionnaire:
- cek jawaban yang berisi janji roadmap
- cek jawaban yang menyebut sertifikasi
- cek jawaban tentang data deletion dan retention
- cek jawaban tentang incident response
- cek jawaban tentang akses internal vendor
Bagian ini bisa menjadi risiko kontrak. Jika ragu, minta counsel atau advisor membaca jawaban tertentu.
Metrik proses questionnaire
Pantau:
- waktu menjawab questionnaire
- pertanyaan yang paling sering muncul
- gap yang berulang
- deal yang berhenti karena security
- kontrol yang perlu dibangun untuk segmen target
Jika gap yang sama muncul tiga kali, masukkan ke roadmap security. Kalau tidak, sales akan terus membayar biaya yang sama di setiap deal.
Cara memberi konteks ke buyer
Saat mengirim jawaban, sertakan ringkasan:
- scope produk yang dibeli
- data yang akan diproses dalam scope itu
- kontrol yang sudah tersedia
- kontrol yang belum tersedia
- workaround untuk pilot atau rollout awal
- kontak untuk pertanyaan lanjutan
Ringkasan ini membantu buyer membaca questionnaire dengan konteks. Tanpa konteks, mereka bisa menilai semua gap sebagai blocker, padahal sebagian mungkin tidak relevan untuk pilot kecil.
Jangan menjanjikan roadmap di questionnaire
Hindari kalimat seperti "akan tersedia segera" jika belum ada komitmen engineering dan tanggal realistis. Lebih baik:
"Belum tersedia untuk paket saat ini. Jika menjadi syarat rollout enterprise, perlu dibahas sebagai bagian dari scope komersial dan teknis."
Jawaban seperti ini menjaga founder dari janji kontrak yang tidak disadari. Security questionnaire sering menjadi lampiran atau referensi dalam procurement. Anggap setiap jawaban bisa dibaca ulang saat ada masalah.
Operating rhythm
Setiap bulan, review:
- questionnaire yang masuk
- jawaban yang paling lama
- gap yang muncul berulang
- dokumen evidence yang belum ada
- kontrol yang paling sering menjadi blocker
Review 30 menit cukup. Tujuannya membuat compliance readiness membaik dari deal nyata, bukan dari dokumen teoretis.
Langkah berikutnya
Ambil questionnaire terakhir atau cari template umum dari buyer. Isi 20 pertanyaan paling sering dengan jawaban berbasis evidence. Bagian yang belum bisa dijawab menjadi backlog security. Dengan begitu, questionnaire berikutnya bukan kejutan, melainkan proses yang makin cepat.