אין דרך לטשטש פה את המציאות: רגולציה זה בגדול די משעמם. ויכול להיות שתחום העיסוק של חברת סייטל (Scytale AI) לא יסעיר אתכם במיוחד. אבל אנחנו מציעים לכם להתעקש פה בכל זאת, כי אם יש לכם סטארט אפ שרוצה לפרוץ לשוק האמריקאי, יכול להיות שזו תהיה הכתבה החשובה ביותר שתקראו השבוע.

סייטייל עוסקת בציות (compliance) לתקינת אבטחת תהליכי פיתוח תוכנה. התחום שבו היא פועלת נקרא רגטק (Regtech - רגולציה של טק). "בדרך כלל ציות הוא נושא מאוד משעמם", מודה מירן גאליס, מנכ"ל ומייסד החברה, "הייתי צריך להציג את החברה ואמרו לי: 'יש לך חמש דקות ואסור שזה יהיה משעמם'. היו לפני מנכ"לים של חברות עם רעיונות מטורפים – סטארט אפ שיודע לעזור בניתוחי עמוד השדרה, סטארט אפ שיודע לשלוט בהשקייה באמצעות רחפנים, ואז קפץ לי לראש שאף אחד מהם לא יצליח לקדם ולמכור את המוצר שלו אם הלקוחות לא יסמכו עליו. אז אנחנו מבטיחים את הציות שלהם לרגולציה וכך תומכים בכל החברות האחרות ומאפשרים להם לצמוח ולהצליח".

עכשיו צריך הסבר על הבעיה, שאולי מעולם לא נחשפתם אליה: כשחברת סטארט אפ או כל חברה אחרת רוצה למכור מוצר לחברה אמריקאית או אירופאית, במרבית המקרים היא תידרש להוכיח ציות לתקינה שנועדה להבטיח שתהליכי פיתוח התוכנה שלה לא עלולים לאפשר דליפה של מידע של הלקוח או פריצה למערכות החברה. קוראים לזה ISO27-1001 או SOC2 ועוד כל מיני כינויים מדאיגים אבל מה שחשוב – אם אין לכם את זה, הלקוחות הפוטנציאליים שלכם יגידו לכם שלום.

מירן גאליס, מייסד: "תקינה עבור חברות זה סרט. זה לוקח המון זמן, תוקע את פיתוח המוצר, תוקע את המכירות, בעצם עומדים במקום עד שלא משלימים את זה"

התקן מחייב לייצר דיווח פעם בשנה שכולל ראיות לעמידה בדרישות בכל תהליכי הפיתוח – איך מקבלים עובד לחברה, איך מפטרים עובד בלי שייקח איתו חומרים, איך מאשרים דרישות פיתוח ואיך מאשרים, איך מאשרים קוד, איך מאשרים הטמעה, ואלה רק דוגמאות ספורות. "לחברות זה סרט," אומר גאליס, "זה לוקח המון זמן, תוקע את פיתוח המוצר, תוקע את המכירות, בעצם עומדים במקום עד שלא משלימים את זה".

החברות מודעות לזה או מגלות את הדרישות רק כשהן באות לסגור הסכמים?
"הרבה פעמים זה מגיע מהמשקיעים, שהם כבר מנוסים. רק עכשיו סיפר לי לקוח שקרן ההשקעות בדקו שהוא עומד בתקן וזה עזר לו לסגור סיבוב A יותר מהר. לפעמים הבקשה מגיעה מיזמים מנוסים שזה כבר סטארט אפ שני או שלישי שלהם. ולפעמים החברות לא יודעות וכשהם באים למכור הלקוח אומר 'תביאו לי SOC2' והם שואלים מה זה".

הרעיון להקמת החברה עלה במוחו של גאליס כשעבד בפירמת הייעוץ EY במחלקת Technology risk, מטפל בציות לתקינה של מאה חברות בישראל ובארה"ב, בהן צ'ק פוינט, מאנדיי, למונייד, פיוניר. העבודה היתה עמוסת מסמכי וורד ואקסל, השגת פרטים מעשרות גורמים בחברה, מאות שעות של עבודה בשנה בכל חברה. כך עלה הרעיון להקים מערכת שמרכזת את כל המידע במקום אחד, בצירוף אוטומציה של מרבית התהליכים שחוסכת את שעות העבודה הסיזיפית. המערכת גם מתריעה על בעיות שהיא מזהה, בין השאר באמצעות מערכת לימוד מכונה (ML) שמנתחת את הדרישות שהתקבלו מחברות שונות.

סייטייל הוקמה בסוף 2020. "אני הגעתי מ-EY, ראיתי את הביקוש ואת הכאב שהיה לכל החברות האלה, את התסכול הרב, וידעתי שאפשר לעשות את זה טוב יותר", אומר גאליס. "ישבתי לבד בחדר בעזריאלי שרונה, והייתי צריך לחשוב איך אני מקים את זה מאפס כמייסד יחיד". אחרי סדרה של שיחות עם לקוחות, כולל התנסות בתהליך הרגולציה מהצד של החברות, הוא גייס את העובדים הראשונים לחברה והחל בתהליך הפיתוח.
בתחילת הדרך החברה גייסה 6 מיליון דולר בסבב סיד. המשקיעים הם חברה בריטית שעוסקת בתחומי הרגולציה ובפורטפוליו שלה שורה של חברות בתחומים שונים של הרגטק. כיום יש לחברה כ-50 לקוחות בישראל, ארה"ב, בריטניה ודרום אפריקה והיא מעסיקה כ-30 עובדים.

צוות Scytale (צילום: מיכל לוצאטו, יח
סייטל. "ישבתי בעזריאלי שרונה וחשבתי איך אני מקים את זה"|צילום: מיכל לוצאטו, יח"צ


המודל העסקי הוא מינוי חודשי בתשלום לשנה. אחרי תהליך קליטת הלקוח, חלק גדול מהייעוץ ניתן בתמיכה מרחוק. "אנחנו בונים תוכנית ציות שמותאמת לכל חברה, כרגע בשילוב של טכנולוגיה והגורם האנושי, ומנסים לאזן בין יחס אישי לבין שירות שיאפשר לנו להתכונן לשלב צמיחה" אומר גאליס.

כעת על הפרק פיתוח של גישה מערכתית חדשה בתחום, שתהפוך את העמידה ברגולציה לתהליך רצוף במקום חד שנתי. החברות יוכלו לנהל דף ציות לתקן באתר שלהן, שיאפשר לכל לקוח פוטנציאלי לקבל תמונה מלאה של עמידת החברה בדרישות. גאליס מתקשה לרסן את ההתרגשות: "אנחנו עובדים על לשנות את הפרדיגמה, כך שמה שקורה היום ברמה השנתית יהפוך לדבר שקורה ברמה היומית, ביקורת מתמשכת של אבטחת תהליכי הפיתוח. העולם משתנה ואנחנו מתחילים להגיע לזה".