Enterprise
Compliance-Dokumentation und wie man sie verifiziert
SOC 2 Type II Berichte unter NDA, ein DSGVO-Auftragsverarbeitungsvertrag, und ein klarer vertraglicher Pfad für PDPA und CCPA — mit Verifikationsschritten statt Abzeichen.
Ciaos Compliance-Haltung ruht auf verifizierbaren Dokumenten: SOC 2 Type II Berichten, verfügbar unter NDA, einem DSGVO-Auftragsverarbeitungsvertrag (AVV), und vertraglichen Datenhandhabungs-Verpflichtungen — Zero-Retention-Modellverträge und kein Training auf Kundencode —, die PDPA- und CCPA-Verpflichtungen unterstützen. Anders als Anbieter, die Abzeichenwände veröffentlichen, leitet Ciao jede Compliance-Behauptung zu einem Dokument, das dein Rechts- und Sicherheitsteam tatsächlich lesen und verifizieren kann.
Veröffentlicht 2026-07-03 · Zuletzt aktualisiert 2026-07-03
Compliance-Behauptungen sind leicht aufzustellen und teuer zu vertrauen
Jede Anbieterseite in dieser Kategorie zeigt dieselbe Reihe von Logos. Der Unterschied zwischen einem Abzeichen und einer Kontrolle ist, ob du sie verifizieren kannst: den Auditbericht lesen, den AVV unterschreiben, einen Datenfluss nachvollziehen, den Umfang des Prüfers hinterfragen. Wenn die betreffende Plattform Produktionssoftware generiert und bereitstellt, sind die Kosten einer unverifizierten Behauptung nicht abstrakt — es ist dein eigener Audit-Befund ein Jahr später.
Ciaos Position ist einfach: Compliance-Dokumentation existiert, um gelesen zu werden. Diese Seite listet auf, was heute verfügbar ist, welcher Pfad jede Vorschrift abdeckt, die deine Prüfung wahrscheinlich nennt, und den genauen Schritt, der jeden Punkt verifiziert. Wo etwas vertraglich statt durch Zertifizierung gehandhabt wird, sagt die Seite das offen.
Ein nützlicher Test für jeden Anbieter in dieser Kategorie: Frag, wo jede Compliance-Behauptung schriftlich festgehalten ist, wer sie geprüft hat, und was passiert, wenn sie sich als falsch herausstellt. Eine Behauptung, die durch einen Auditbericht gestützt wird, hat einen Autor und eine Methode. Eine Behauptung, die durch ein Abzeichen gestützt wird, hat eine Grafikabteilung. Deine Prüfung verdient Ersteres, und diese Seite ist so organisiert, dass du es einfordern kannst.
Was heute verfügbar ist
Jeder Punkt unten ist ein Dokument oder eine Kontrolle, die dein Team einholen und prüfen kann:
- SOC 2 Type II — SOC 2 Type II Berichte sind unter NDA verfügbar — ein unabhängiger Audit von Kontrollen, die über einen Zeitraum funktionieren, keine Selbsteinschätzung.
- DSGVO-Auftragsverarbeitungsvertrag — Ein AVV, der Auftragsverarbeiter-Pflichten, Datenhandhabungs-Verpflichtungen und Unterauftragsverarbeiter-Bedingungen abdeckt, verfügbar für die rechtliche Prüfung während der Beschaffung.
- Zero-Retention-Modellverträge — Inferenz läuft unter Zero-Retention-Modellverträgen, und Kundencode wird nicht zum Training von Modellen verwendet — die Verpflichtungen, nach denen Datenschutzprüfungen zuerst fragen.
- Unveränderliches Audit-Protokoll — Prompts, Merges, Deploys und administrative Aktionen werden append-only erfasst, was der internen Revision eine rekonstruierbare Historie jeder Änderung gibt.
- Zugriffskontrollen — SSO via SAML und OIDC, optionale MFA und rollenbasierte Zugriffskontrolle — die Zugriffsverwaltungs-Kontrollen, die die meisten Frameworks von einem Auftragsverarbeiter verlangen.
- Deployment-Wahl — Stelle in der Ciao-Cloud, deinem eigenen AWS-, Azure- oder GCP-Konto, einer privaten VPC oder On-Prem unter separaten Bedingungen bereit — was residenzsensiblen Programmen erlaubt, Daten dort zu halten, wo es ihre Verpflichtungen verlangen.
Der PDPA- und CCPA-Pfad
PDPA- und CCPA-Verpflichtungen werden über dasselbe vertragliche Rückgrat wie die DSGVO erfüllt: die Datenhandhabungs-, Aufbewahrungs- und Unterauftragsverarbeiter-Verpflichtungen des AVV, plus die Zero-Retention-Modellverträge der Plattform und die Zusage, dass Kundencode nicht zum Training verwendet wird. Deine Rechtsberatung bildet diese Verpflichtungen auf die spezifischen Pflichten deines Unternehmens ab — Ciao liefert die Nachweise und Antworten, keine Rechtsberatung.
Wenn dein Programm mehrere Rechtsräume umfasst, sprich das während der Beschaffung an. Deployment in dein eigenes Cloud-Konto oder eine private VPC vereinfacht die Analyse oft, weil die Anwendung und ihre Daten innerhalb einer Infrastruktur bleiben, die du bereits regelst.
Wie man eine Compliance-Prüfung von Ciao durchführt
1. Die Dokumentensammlung anfordern
Fordere das Security-Pack über die Kontaktseite an. Es ist der Index zu allem anderen in dieser Liste.
2. Das NDA unterschreiben, den SOC-2-Bericht lesen
Der Type-II-Bericht zeigt, welche Kontrollen geprüft wurden, über welchen Zeitraum, und was der Prüfer gefunden hat. Lies zuerst den Abschnitt zum Umfang.
3. Den AVV prüfen
Die Rechtsabteilung prüft Auftragsverarbeiter-Pflichten, Datenhandhabungs-Bedingungen und Unterauftragsverarbeiter-Verpflichtungen. Änderungswünsche und Fragen gehen an das Enterprise-Team.
4. Kontrollen auf dein Framework abbilden
Gleiche Audit-Trail-, Zugriffskontroll- und Datenhandhabungs-Nachweise mit den Anforderungen deines eigenen Compliance-Frameworks ab — die Tabelle unten ist ein Ausgangsindex.
5. Die Deployment-Konfiguration bestätigen
Entscheide, ob Ciao-Cloud, dein eigenes Cloud-Konto, eine private VPC oder On-Prem zu deinen Verpflichtungen passt, und protokolliere die Entscheidung mit deiner Bewertung.
Framework für Framework
| Framework | Was Ciao bereitstellt | Wie man es verifiziert |
|---|---|---|
| SOC 2 Type II | Unabhängige Auditberichte | Anfrage unter NDA über /contact |
| DSGVO | Auftragsverarbeitungsvertrag, Zero-Retention-Modellverträge, kein Training auf Kundencode | Rechtliche Prüfung des AVV während der Beschaffung |
| CCPA | Vertragliche Datenhandhabungs-Verpflichtungen über AVV und Servicebedingungen | AVV-Bedingungen mit Rechtsberatung auf CCPA-Pflichten abbilden |
| PDPA | Derselbe vertragliche Pfad: AVV-Verpflichtungen plus Datenhandhabungs-Bedingungen | AVV-Bedingungen mit Rechtsberatung auf PDPA-Pflichten abbilden |
| HIPAA | Nicht beansprucht. Gesundheitsteams nutzen Ciao für operative Workflows | Besprich deinen spezifischen Workload mit dem Enterprise-Team |
Verifikationshinweise
Nichts auf dieser Seite erfordert Vertrauen in Marketing. SOC 2 Type II Berichte sind unter NDA verfügbar; das Security-Pack und der AVV sind auf Anfrage über die Kontaktseite verfügbar; und die Plattformkontrollen, die die Dokumente beschreiben — Audit-Trail, Zugriffskontrolle, kontrollierte Merges — können live während deiner Evaluierung demonstriert werden. Wenn eine Behauptung, die du brauchst, nicht auf dieser Seite steht, frag schriftlich danach, statt es anzunehmen.
Zwei praktische Vorschläge aus reibungslos verlaufenden Prüfungen. Erstens: Unterschreibe das NDA früh — es ist das Tor vor den nützlichsten Dokumenten, und es in der ersten Woche zu klären, lässt Sicherheit und Recht parallel arbeiten. Zweitens: Schicke deine Kontroll-Abbildungstabelle zusammen mit dem Fragebogen statt danach, sodass Antworten gegen das Framework geschrieben werden, mit dem dein Gremium tatsächlich bewertet.
Häufig gestellte Fragen
Ist Ciao ISO-27001-zertifiziert?
SOC 2 Type II ist der unabhängige Audit, den Ciao heute bereitstellt, mit Berichten unter NDA verfügbar. Wenn dein Framework andere Zertifizierungen oder eine Kontroll-Abbildung verlangt, sprich es während der Beschaffung mit dem Enterprise-Team an, statt Gleichwertigkeit anzunehmen.
Unterstützt Ciao Workloads, die unter HIPAA fallen?
Ciao beansprucht keine HIPAA-Konformität. Gesundheitsorganisationen nutzen Ciao für operative Workflows, und Workloads mit regulierten Gesundheitsdaten sollten explizit mit dem Enterprise-Team besprochen werden, bevor ein Build beginnt.
Können wir den SOC-2-Bericht mit unseren internen Prüfern teilen?
Der Bericht wird unter NDA bereitgestellt, und die Bedingungen des NDA regeln, wer ihn lesen darf. Die meisten Prüfungen decken die Sicherheits-, Rechts- und Revisionsmitarbeiter ab, die ihn brauchen — bestätige den Verteilungsumfang, wenn du den Bericht anforderst.
Wird Ciao unseren AVV statt seines eigenen unterschreiben?
Ciao stellt einen DSGVO-AVV zur Prüfung bereit, und rechtliche Fragen oder Änderungswünsche werden während der Beschaffung behandelt. Bring deine Unterlagen zum Enterprise-Team, und sie sagen dir offen, was für deine Vertragsgröße verhandelbar ist.
Wo können wir die aktuelle Liste der Unterauftragsverarbeiter sehen?
Informationen zu Unterauftragsverarbeitern sind Teil der AVV- und Security-Pack-Prüfung. Fordere die aktuelle Liste über die Kontaktseite an — es ist ein Dokument zum Lesen, keine Behauptung von einer Webseite, die veralten kann.