passt.dev

是什么

Passt 是一款合规自动化与 GRC 类平台，主打“Compliance done in hours, not months”和一次性费用模式。它覆盖 SOC 2、ISO27001、HIPAA、HITRUST CSF、GDPR、NIST、PCI DSS 等框架，目标是帮助企业快速进入 audit-ready 状态，并通过 Trust Center、证据集中管理和安全问卷响应来提升企业客户信任。

核心能力与维度分析

从防护类型看，Passt 并非传统防火墙、EDR 或漏洞扫描器，而是围绕合规、防控证明和风险治理展开。平台提供 All-In-One Compliance Hub，将审计材料、控制项、证据和认证信息集中管理；自动化证据收集可跨 100+ 集成扫描系统、截图并记录控制执行情况；Continuous Monitoring 用于实时跟踪合规状态；AI-Powered Risk Intelligence 涵盖供应商研究、政策更新、风险监控、自动评分和缓解。管理侧还包含实时 Trust Center，可在自有域名展示认证、政策和安全姿态，并支持 AI 问卷响应。

部署、集成与合规覆盖

页面提到 Passt 会部署一个 tenant、连接客户技术栈并定制政策，说明其更像托管式合规平台加专家交付服务。但文本没有明确说明是否支持私有化、本地部署、数据驻留或权限隔离。集成能力以“100+ integrations”为卖点，但未披露具体清单。合规方面，页面强调覆盖多个主流框架，但这是帮助客户达成合规的范围，并不等同于 Passt 自身已获得相应认证。

定价与优缺点

定价是其差异点：一次性费用、无订阅成本、无 subscription lock-in。对长期使用 Vanta、Drata 等订阅制工具有成本顾虑的团队，这可能具备吸引力。不过网站未披露具体报价、包含的审计支持边界、后续维护与新增框架是否另收费，因此性价比仍需通过销售确认。优点是覆盖框架广、自动化程度高、适合售前安全合规；不足是公开资料较少，尤其缺少价格、集成清单、服务 SLA、中国访问与支付信息。

适合谁与中国访问

Passt 适合准备 SOC 2、ISO27001、HIPAA、GDPR 或 PCI DSS 的 SaaS、数据处理企业及需要赢得企业客户合同的团队，尤其适合合规人手有限、希望由平台和专家快速搭建体系的公司。中国大陆访问情况未知，支付方式也未披露；若涉及国内客户数据、等保、个保法或数据出境要求，应优先确认数据存储位置、跨境传输和审计认可度。替代方案可关注 Vanta、Drata、Secureframe、Sprinto，国内则可结合等保测评机构、ISO27001 咨询和本地 GRC 平台。