Enterprise

Wie die Beschaffung mit Ciao funktioniert

Ein namentlich genannter Ansprechpartner, eine prüfergerechte Dokumentensammlung und eine vorhersehbare Abfolge vom ersten Anruf bis zum unterschriebenen Vertrag — gebaut, damit Sicherheit, Recht und Finanzen parallel arbeiten können.

Die Beschaffung mit Ciao folgt einem dokumentierten Pfad: NDA, Security-Pack, SOC 2 Type II Bericht unter NDA, Fragebogen-Antworten, dann AVV- und MSA-Prüfung mit der Rechtsabteilung vor den kommerziellen Bedingungen. Anders als Self-Service-KI-Tools, die Beschaffungsteams dazu zwingen, ein Kreditkartenprodukt zurückzuentwickeln, wird Ciao wie Enterprise-Software gekauft — mit den Nachweisen, die Anbieterrisiko-, Datenschutz- und Rechtsteams erwarten, auf Anfrage über die Kontaktseite verfügbar.

Ideal fürAnbieterrisiko- und BeschaffungsteamsVerantwortliche für SicherheitsfragebögenRechtliche Prüfung von AVV und MSA

Veröffentlicht 2026-07-03 · Zuletzt aktualisiert 2026-07-03

Warum die Beschaffung für eine KI-Entwicklungsplattform anders ist

Eine KI-Entwicklungsplattform zu kaufen ist nicht wie ein SaaS-Dashboard zu kaufen. Der Anbieter generiert Code, den dein Unternehmen in Produktion betreibt, seine Modelllieferanten betreten dein Datenfluss-Diagramm, und die Governance KI-gemachter Änderungen wird Teil deiner eigenen Kontrollumgebung. Anbieterrisiko-Teams tun recht daran, diese Kategorie sorgfältig zu behandeln — und die meisten Tools darin wurden für einzelne Entwickler gebaut, nicht für einen Beschaffungsprozess.

Ciao ist dafür gebaut, beschafft zu werden. Es gibt einen namentlich genannten Enterprise-Ansprechpartner statt einer Support-Warteschlange, eine für Prüfer vorbereitete Dokumentensammlung statt einer auf Anfrage zusammengestellten, und eine Abfolge, die Sicherheit, Datenschutz und Recht parallel arbeiten lässt, statt aufeinander zu warten. Diese Seite beschreibt diese Abfolge, damit dein Team die Prüfung vor dem ersten Anruf planen kann.

Die Dokumentensammlung, die du anfordern kannst

Fordere diese namentlich in deiner ersten E-Mail an — sie sind für Prüfer vorbereitet, nicht auf Anfrage zusammengestellt:

  • Security-Pack — Architektur-, Isolations-, Verschlüsselungs- und Datenhandhabungs-Details, geschrieben für Sicherheitsprüfer, auf Anfrage über die Kontaktseite verfügbar.
  • SOC 2 Type II Bericht — Unter NDA verfügbar — der unabhängige Audit-Nachweis hinter den Behauptungen des Security-Packs.
  • Auftragsverarbeitungsvertrag — DSGVO-AVV, der Auftragsverarbeiter-Pflichten, Datenhandhabung und Unterauftragsverarbeiter-Bedingungen abdeckt, bereit für die rechtliche Prüfung.
  • Rahmenvertrag (MSA) — Der kommerzielle Vertrag, geprüft zusammen mit dem AVV während der rechtlichen Phase.
  • Fragebogen-Antworten — Schicke den Fragebogen, den dein Prozess tatsächlich nutzt — Standardformate oder deine eigene Tabelle — und Antworten kommen zurück, verankert in derselben geprüften Dokumentation.

Ein typischer Beschaffungspfad

Abfolgen variieren je nach Organisation, aber eine gut geführte Prüfung sieht meist so aus — mit Sicherheit und Recht parallel nach dem NDA:

  1. 1. Scoping-Gespräch

    Klären, was du baust, die Deployment-Konfiguration — Ciao-Cloud, dein eigenes AWS-, Azure- oder GCP-Konto, private VPC, oder On-Prem unter separaten Bedingungen — und wer jede Prüfspur auf deiner Seite verantwortet.

  2. 2. NDA

    Früh unterschrieben, sodass der SOC 2 Type II Bericht und das Security-Pack sich bewegen können, ohne auf kommerzielle Gespräche zu warten.

  3. 3. Sicherheitsprüfung

    Dein Team liest das Pack und den Bericht, schickt den Fragebogen, und kann um eine Live-Demonstration der Kontrollen bitten — Guardrails-Prüfung, den Audit-Trail, Sicherheitstests — statt nur schriftliche Antworten zu akzeptieren.

  4. 4. Rechtliche Prüfung

    AVV und MSA gehen an die Rechtsberatung. Änderungswünsche und Fragen zum Gerichtsstand werden vom Enterprise-Team behandelt, parallel zur Sicherheitsspur.

  5. 5. Kommerzielle Bedingungen

    Ernsthafte Produktionsprogramme beginnen bei 10.000 USD pro Jahr. Umfang, Plätze, Deployment-Konfiguration und jede Pilotphase werden hier vereinbart.

  6. 6. Unterschrift und Onboarding

    Identitätseinrichtung — SSO, optionale MFA, rollenbasierte Zugriffskontrolle — und Workspace-Konfiguration passieren zu Beginn des Onboardings, nicht Monate später.

Wie Fragebögen gehandhabt werden

Fragebögen werden aus denselben Quellen beantwortet, die deine Prüfer bereits haben: das Security-Pack, der SOC 2 Type II Bericht und der AVV. Das hält schriftliche Antworten konsistent mit den geprüften Nachweisen — wenn eine Antwort und der Bericht je widersprüchlich erscheinen, markiere es, denn der Bericht gewinnt. Lange oder individuelle Fragebögen sind in dieser Kategorie normal; schicke, was dein Prozess verlangt, statt es dem Anbieter anzupassen.

Wenn deine Organisation Belegdokumente statt schriftlicher Behauptungen verlangt, sag das im Voraus. Der SOC 2 Type II Bericht unter NDA und das Security-Pack sind die Belege, die die meisten Frameworks akzeptieren, und sie früh auf deine Belegfelder abzubilden vermeidet einen zweiten Durchgang durch den Fragebogen.

Was Prüfungen verlangsamt — und wie man es vermeidet

Drei Verzögerungen wiederholen sich in dieser Kategorie, und alle sind vermeidbar. Die erste ist die Reihenfolge: Teams, die warten, bis die Sicherheitsspur fertig ist, bevor sie Recht beginnen, fügen Wochen hinzu, ohne Risiko zu reduzieren — das NDA öffnet beide Spuren gleichzeitig. Die zweite ist Unklarheit über die Deployment-Konfiguration: Ob die Plattform in der Ciao-Cloud oder innerhalb deines eigenen Kontos läuft, verändert das Datenfluss-Diagramm, also entscheide die Konfiguration früh und prüfe die richtige. Die dritte ist, das KI-Element als beispiellos zu behandeln: Modellanbieter sind Unterauftragsverarbeiter mit Verträgen — Zero-Retention-Bedingungen und kein Training auf Kundencode — und dein bestehender Unterauftragsverarbeiter-Prüfprozess bewältigt sie, sobald er die Dokumente in Händen hält.

Dokument, Zweck und wie man es bekommt

DokumentWas es abdecktWie man es bekommt
Security-PackArchitektur, Isolation, Verschlüsselung, DatenhandhabungAnfrage über /contact
SOC 2 Type II BerichtUnabhängig geprüfte Kontrollen über einen ZeitraumUnter NDA, nach dem Scoping-Gespräch
AVVDSGVO-Auftragsverarbeiter-Pflichten, Unterauftragsverarbeiter, DatenhandhabungRechtliche Prüfung während der Beschaffung
MSAKommerzielle und vertragliche BedingungenRechtliche Prüfung während der Beschaffung
Fragebogen-AntwortenDein Format, beantwortet aus geprüften QuellenFragebogen an das Enterprise-Team schicken

Kommerzielle Hinweise für Beschaffungsteams

Die Untergrenze von 10.000 USD pro Jahr für Produktionsprogramme ist eine nützliche Qualifikationslinie: Sie sagt dir, dass der Anbieter eine echte Beziehung mit Support, Prüfung und Onboarding erwartet, kein Verbraucher-Abonnement mit Enterprise-Etikett. Pilotprojekte und gestaffelte Starts werden in der kommerziellen Phase besprochen — bring deine bevorzugte Struktur zum Gespräch, statt ein festes Paket anzunehmen.

Häufig gestellte Fragen

Wie lange dauert die Anbieterprüfung normalerweise?

Das hängt von deinem Prozess ab, nicht von Ciaos — das Pack, der Bericht und die Fragebogen-Antworten sind bereit, sobald das NDA unterschrieben ist. Teams, die die Sicherheits- und Rechtsspur parallel führen, verbringen ihre Zeit typischerweise mit interner Prüfung statt auf den Anbieter zu warten.

Kann unser Rechtsteam den AVV und MSA mit Änderungen versehen?

Bring Änderungswünsche zum Enterprise-Team während der rechtlichen Phase. Was verhandelbar ist, hängt von Vertragsgröße und Deployment-Konfiguration ab, und du bekommst eine klare Antwort statt eines ins Stocken geratenen Threads.

Unterstützt ihr ein Pilotprojekt vor der vollständigen Verpflichtung?

Die Pilotstruktur wird in der kommerziellen Phase vereinbart. Produktionsprogramme beginnen bei 10.000 USD pro Jahr, und ein eingegrenztes Pilotprojekt innerhalb dieses Rahmens ist eine normale Anfrage an den Vertrieb.

Wer sind Ciaos Unterauftragsverarbeiter, einschließlich Modellanbieter?

Informationen zu Unterauftragsverarbeitern, einschließlich Modellanbietern, sind Teil der AVV- und Security-Pack-Prüfung. Inferenz läuft unter Zero-Retention-Modellverträgen, und Kundencode wird nicht zum Training von Modellen verwendet — die vertragliche Sprache steht in den Dokumenten, nicht nur auf dieser Seite.

Können wir mit bestehenden Kunden sprechen?

Ciao betreibt Produkte, die weltweit von Millionen genutzt werden, einschließlich Automo.AI, Desygner.com und WeBrand.com. Frag das Enterprise-Team, welche Referenzgespräche für dein Segment und deine Deployment-Konfiguration möglich sind.

Verwandte Seiten

Ernsthafte Entwicklung beginnt mit ernsthafter Verantwortung.

Beschaffung & Anbieterprüfung | Ciao