采购通关 · 跨境合规 · 2026 年 5 月

美国客户的供应商安全审查怎么过：中国 SaaS 的 6 道关卡通关手册

问卷答完了不等于审查通过。美国大企业的供应商安全审查（Vendor Security Review，VSR）是一条 5 到 6 道关卡的流水线，问卷只是第一道。中国 SaaS 被淘汰的位置往往不在问卷，而在后面的架构深挖会议、合同附录谈判、外部评分扫描和年度复审。这是一份基于 14 家中国 SaaS 客户走完整条流水线的实战手册。

本文要点

• VSR 是 6 道关卡的连续筛选：分级 -> 问卷 -> 架构会议 -> 合同与保险 -> 外部评分 -> 年度复审。问卷答得好只解决了第 1 道，后面 5 道才决定能不能签单
• 90% 的美国大企业用「国家风险」字段自动把中国注册公司归为 Tier 1（最高风险）。被归 T1 不是死刑，但意味着需要走完整流程并提交所有可选证据
• 问卷之后最重要的是 60 至 90 分钟的架构深挖会议。买方的安全架构师会带着 7 类问题来。准备好 7 份对应的资料，能把这场会议从「答辩」变成「展示」
• 合同里的 安全附录（Data Security Addendum）和 网络保险条款是中国 SaaS 最容易忽略的两块。USD 500 万美金的 Cyber Liability 保单 + 美国持牌承保人是企业客户的最低要求
• BitSight、SecurityScorecard 这类外部评分平台扫的是 你的外部攻击面，不会问你拿密码。中国 SaaS 常因为弱 TLS、暴露的国内云 IP 和泄露凭据被降级，自己却不知道
• 14 家客户中 第二次年度复审平均比第一次省 70% 工时。前提是第一次就把「证据即代码」的思路落地，把人工证据收集替换成可自动刷新的源

美国大企业的供应商安全审查不是单一动作，而是一条由采购、法务、安全、隐私四个部门并行操作的流水线。每一道关卡有不同的负责人、不同的判断标准、不同的可接受证据。把这条流水线画清楚，你就知道任何一封客户邮件背后真正想要的是什么。下面是 14 家客户中我们反复观察到的 6 道关卡，以及中国 SaaS 在每一道的典型淘汰率。

很多中国 SaaS 公司把全部精力压在问卷上，没意识到这条流水线还有 4 道关卡在后面。一次完整 VSR 的总时长是 6 至 14 周（金融行业可能拉到 20 周）。如果你只准备问卷，最坏的情况是花了三周把问卷答得很漂亮，结果在架构会议第 35 分钟被一个关于密钥托管位置的追问卡住。提前知道全流程，就能把准备工作平均分布到每一道关卡，避免在最后一刻爆掉。

美国大企业的供应商风险政策里几乎都有一段「国家风险加权」逻辑：当供应商总部、注册地、关键运营或数据所在国家被列入特定名单时，该供应商自动进入 Tier 1（最高风险等级）。中国是几乎所有大型买方政策里的加权国家之一。这一段逻辑通常写得很简短，但它会触发后面所有关卡的「最严格通道」。下面是这套分级逻辑在真实买方采购系统里的工作方式。

不要把「被归 T1」理解成「被拒绝」。T1 意味着你需要走完整、最严格的版本，且不能依靠任何「酌情豁免」。买方愿意为 T1 供应商走完整流程的核心条件只有一个：你提供的业务价值显著高于流程成本。所以销售在每一次接触里需要不停传递价值差异化，让买方愿意为你投入 60 个工时的审查工作。如果产品本身没有清晰的差异化，分级问题就会变成销售断点而不只是合规断点。

这是问卷之后最容易被淘汰的一关，也是中国 SaaS 准备最不足的一关。买方通常派出一位资深安全架构师（有时加一位 CISO 委派的工程经理），通过 Zoom 或 Teams 进行 60 至 90 分钟的深度技术访谈。他们不是来听销售话术的，是来验证你问卷答案的真实性。如果你能在会议开始的前 10 分钟主动展示下面 7 件资料，整场会议的基调会从「质问」转为「评估」。

三个会议中常踩到的雷：第一，CTO 一个人扛全场。买方习惯听到「让我把 SRE 主管拉进来回答这个问题」，反而觉得你有深度。第二，所有图都是当天才画的。买方一眼看得出来「这张图是为我画的」还是「这张图是公司日常用的」。第三，所有响应都是单一时区。买方明确希望听到「我们在中美双时区都有 on-call」，哪怕只有 1 个人。

问卷与架构会议通过后，球进入法务环节。这一道关卡是中国 SaaS CEO 经常低估的。一份美国大客户合同附带的安全附录（Data Security Addendum 或 Security Exhibit）通常有 15 至 40 页，里面规定了具体的技术与流程承诺，违约条款带真金白银。下面是 14 家客户里被买方最频繁修改的 5 类条款，以及谈判的常见边界。

网络保险这一项需要单独提一下，因为这是中国 SaaS 最常忽略的死结。中国大陆的保险公司可以卖 Cyber Liability 保单，但美国大企业的法务几乎不会接受。原因：理赔法律管辖在中国，合同纠纷时无法在美国法院执行。可接受的承保人需要在美国或英国持牌，常见的有 Coalition、Beazley、Travelers、AIG、Chubb 等。一份 USD 500 万保额的保单，对一家年营收 USD 200 万至 1,000 万的中国 SaaS，年保费在 USD 8,000 至 22,000 之间。这是一项「不买就签不了大客户」的固定成本，越早办好越能解锁更大合同。

买方采购系统普遍订阅了 BitSight、SecurityScorecard、Black Kite、UpGuard 这类外部安全评分平台。它们不需要你授权，每周自动扫描你的所有公开资产（域名、IP、TLS 证书、暴露的服务、泄露的凭据等）。一个 A、B、C、D、F 的字母分（或 250 至 900 的数字分）每周更新一次。低于 B 通常触发买方的二次评估流程；F 直接合同冻结。中国 SaaS 在这个关卡常被降级的五个具体原因如下：

外部评分平台的工作机制对中国 SaaS 有一个特别的影响：它们对中国 IP 段、中国云厂商、中国 CDN 的指纹库覆盖比对美国基础设施更稀疏，导致同样的配置在中国云上可能给出更低的分数。最稳妥的做法是把美国客户面向的所有 SaaS 流量都通过 AWS、GCP 或 Cloudflare 提供（保留中国境内云用于内部研发或中国客户），评分提升通常立竿见影。

合同签了，账期开了，第一次审查通过了，但 11 个月后买方会给你发一封熟悉的邮件：「请配合完成本年度供应商安全复审。请于 30 个工作日内重新提交问卷、提供最近 12 个月的事件总结、刷新所有政策与证据。」14 家客户里，第二次年度复审平均比第一次少 70% 工时，但前提是第一次做对了一件事：把证据收集从「人工拼图」变成「持续刷新的管道」。下面是这套管道的核心组件。

14 家中国 SaaS 客户的真实数据：第一次完整 VSR 通过后，第二年的同一家买方复审，做完六个组件的客户平均工时 22 小时；只做了前三项的客户平均 48 小时。第三年（同一家客户的第三次复审）几乎都降到 12 至 18 小时。换句话说，VSR 的成本曲线在第二年陡降，第三年稳定。真正决定终生客户价值的，是你愿不愿意在第一次审查时多花 40 工时把流程留下来。

Atlant Security 如何帮你

中国 SaaS 的 VSR 全流程托管

我们专门为 30 至 300 人的中国 SaaS 提供美国客户供应商安全审查的端到端托管。从供应商分级谈判、问卷答复、架构会议教练、合同安全附录审阅、网络保险申请协助、到外部评分整改与年度复审管理。中文沟通，按美国买方理解的方式交付。所有材料双语制作，可在你后续每一家美国客户的审查里直接复用。

• 固定价格 USD 12,500 起（含一次完整 VSR 通过 + 全套工具包）
• 3 至 6 个工作周完成首次 VSR，最快 4 周完成续约复审
• 14 家中国 SaaS 客户实战经验，平均通过率 92%
• 网络保险经纪人对接（Coalition / Beazley / Travelers）
• 外部评分监控订阅 + 月度修复建议

预约 30 分钟咨询 →

供应商安全审查不是一道单独的关卡，而是一条 6 节闸门的流水线。中国 SaaS 在这条流水线上输掉合同的位置，70% 不在问卷，而在后面四道关卡的某一处。一旦你看清整条流水线，每一次销售机会的处理方式就会变得不同：销售第一封邮件附信任门户、试点合同金额刻意压在 T2 阈值之下、月度变更通讯让买方安全团队提前熟悉你、每个季度自查一次 BitSight 评分。

VSR 通过的真正回报不在第一次签约，而在第三年。当一家美国大企业的供应商风险经理在内部系统里看到「该供应商连续两次复审无重大异常、外部评分稳定 A、月度变更通讯按时」时，你已经从「需要审查的供应商」变成「默认续约的合作伙伴」。这是任何 marketing 投放都买不到的销售资产，但它的起点很简单：第一次审查的时候，多走 40 工时把流水线搭对。

想聊聊你目前在哪一道关卡卡住？预约 30 分钟咨询，或直接发邮件给 alexander@atlantsecurity.com。