Enterprise

SOC 2 Type II bei Ciao

Unabhängiger Audit-Nachweis für deine Sicherheitsprüfung — Berichte unter NDA verfügbar, mit den dahinterstehenden Plattformkontrollen live demonstrierbar.

SOC 2 Type II ist ein unabhängiger Audit der Kontrollen eines Anbieters, die über einen Zeitraum funktionieren, keine Momentaufnahme. Ciao stellt SOC 2 Type II Berichte unter NDA bereit, sodass Sicherheitsprüfer die tatsächlichen Feststellungen und den Umfang des Prüfers lesen statt einer Marketing-Zusammenfassung. Anders als Abzeichenwand-Bestätigungen ist der Bericht selbst die maßgebliche Aussage darüber, was geprüft wurde und wie die Kontrollen abgeschnitten haben.

Ideal fürSicherheitsprüfer, die Audit-Nachweise lesenBewertung des AnbieterrisikosCompliance-Abbildung

Veröffentlicht 2026-07-03 · Zuletzt aktualisiert 2026-07-03

Warum Type II der Bericht ist, den es zu lesen lohnt

Ein SOC 2 Type I Bericht beschreibt Kontrollen, wie sie an einem einzigen Tag entworfen wurden. Ein Type II Bericht testet, ob diese Kontrollen tatsächlich über einen Prüfzeitraum funktioniert haben — was die Frage ist, die deine Risikobewertung wirklich stellt. Für eine Plattform, die Produktionssoftware generiert, testet und bereitstellt, zählt operative Wirksamkeit mehr als Entwurfsabsicht: Eine Änderungsmanagement-Kontrolle, die auf Papier existiert, aber unter Fristendruck übersprungen wird, ist genau das, was Type-II-Audits aufdecken sollen.

Ciao stellt SOC 2 Type II Berichte unter NDA bereit. Der NDA-Schritt ist Standard für diese Dokumentenklasse und arbeitet zu deinen Gunsten: Er bedeutet, dass du den vollständigen Bericht erhältst — Umfang, Prüfertests, Ergebnisse — statt einer für Marketing gekürzten öffentlichen Zusammenfassung.

Es gibt auch einen verfahrenstechnischen Vorteil, den es zu nennen lohnt. Weil der Bericht ein Standarddokument ist, kann dein Team Ciao mit derselben Messlatte prüfen, die es für jeden Auftragsverarbeiter nutzt: keine besondere KI-Ausnahme, kein maßgeschneidertes Bewertungsframework — dieselbe Dokumentenklasse, dieselbe Bewertung, dieselbe Beweislatte.

Was der Bericht deinen Prüfern gibt

  • Unabhängiger Nachweis — Der Bericht wird von einem unabhängigen Prüfer erstellt, sodass deine Bewertung nicht auf einer Selbsteinschätzung des Anbieters beruht.
  • Eine explizite Umfangserklärung — Der Bericht nennt, welche Systeme, Kriterien und Zeiträume geprüft wurden. Lies diesen Abschnitt zuerst — er ist die maßgebliche Antwort auf „was deckt euer SOC 2 tatsächlich ab?“.
  • Kontrollbeschreibungen und Testergebnisse — Für jede Kontrolle werden die Tests und Ergebnisse des Prüfers festgehalten, was deinem Team erlaubt, Beweise abzuwägen statt ein Bestehen/Nicht-Bestehen-Abzeichen zu akzeptieren.
  • Eine Grundlage für Fragebogen-Antworten — Ciaos Antworten auf Sicherheitsfragebögen sind im Bericht und im Security-Pack verankert, sodass schriftliche Antworten gegen geprüfte Nachweise geprüft werden können.

Wie sich die geprüften Kontrollen auf die Plattform beziehen, die du bewerten wirst

Die Kontrollfamilien, die eine SOC-2-Prüfung untersucht, sind im Produkt selbst sichtbar. Identität und Zugriff: SSO via SAML und OIDC, optionale MFA und rollenbasierte Zugriffskontrolle. Änderungsmanagement: Guardrails erkennt riskante Änderungen, wendet Richtlinien in einfacher Sprache an, protokolliert menschliche Prüfung und hinterlässt einen Audit-Trail hinter jedem Merge. Überwachung und Betrieb: QA führt Smoke-Gates vor der Veröffentlichung und Produktionsprüfungen danach aus, während Doctor — ein nur lesender KI-SRE — die Live-Anwendung, DNS und CDN prüft.

Diese Abbildung ist Kontext, kein Ersatz für den Bericht. Der Bericht selbst ist die maßgebliche Aussage über Audit-Umfang und -Ergebnisse; behandle jede Webseiten-Zusammenfassung, einschließlich dieser, als Index zum echten Dokument.

Nutze die Abbildung wie eine Sitemap: Sie zeigt Prüfern, wo im Produkt nachzusehen ist, wenn sich eine Kontrollbeschreibung im Bericht abstrakt anfühlt. Den Bericht mit geöffnetem Produkt zu lesen verwandelt Audit-Sprache in beobachtbares Verhalten, was der schnellste Weg zu begründetem Vertrauen ist.

Wie man den Bericht anfordert

  1. 1. Das Enterprise-Team kontaktieren

    Nutze die Kontaktseite und gib an, dass deine Sicherheitsprüfung den SOC 2 Type II Bericht braucht. Ein namentlich genannter Ansprechpartner übernimmt von dort.

  2. 2. Das NDA unterschreiben

    Ein Standardschritt für diese Dokumentenklasse. Bestätige an diesem Punkt, wer auf deiner Seite den Bericht lesen darf, damit die Verteilung vor der Lieferung geklärt ist.

  3. 3. Empfangen und prüfen

    Lies zuerst den Umfang, dann die Tests und Ergebnisse des Prüfers. Schicke Fragen über deinen Ansprechpartner zurück — Fragen zur Prüfer-Sprache sind erwartet, keine Zumutung.

  4. 4. Mit einem Live-Blick kombinieren

    Bitte darum, die im Bericht beschriebenen Kontrollen im Produkt in Aktion zu sehen: einen kontrollierten Merge mit protokollierter menschlicher Prüfung, das unveränderliche Audit-Protokoll, gegen eine Live-App bestätigte Sicherheitsbefunde.

Was Prüfer typischerweise prüfen, und wo man es verifiziert

Was Prüfer typischerweise prüfenWo es bei Ciao liegtWie man es verifiziert
ZugriffsverwaltungSSO via SAML und OIDC, optionale MFA, RBACBericht unter NDA; Identitätsführung
ÄnderungsmanagementGuardrails-Richtlinien, protokollierte menschliche Prüfung, Audit-Trail hinter jedem MergeBericht unter NDA; Live-Demo eines kontrollierten Merges
SystemüberwachungQA-Produktionsprüfungen; Doctor prüft die Live-App, DNS und CDNBericht unter NDA; Live-Demonstration
DatenhandhabungKein Training auf Kundencode; Zero-Retention-ModellverträgeAVV und Vertragsbedingungen
Audit-NachweisUnveränderliches Protokoll über Prompts, Merges, Deploys, administrative AktionenBeispielrekonstruktion während der Evaluierung

Über den Bericht hinaus

Ein Type-II-Bericht deckt seinen Prüfzeitraum ab; dein Risiko endet nicht am Enddatum des Zeitraums. Zwei Dinge schließen die Lücke. Erstens dokumentiert das Security-Pack — auf Anfrage über die Kontaktseite verfügbar — aktuelle Architektur und Datenhandhabung. Zweitens sind die Kontrollen selbst Teil des Produkts, sodass eine Evaluierung sie heute in Aktion beobachten kann, statt sich nur darauf zu verlassen, wie sie während des geprüften Fensters funktioniert haben.

Wenn dein Anbieterrisikoprozess jährlich neu bewertet, ist die jährliche Schleife hier unkompliziert: Fordere den aktuellen Bericht an, vergleiche die Umfangserklärung mit der des Vorjahres, und führe die Live-Prüfungen erneut durch, die dein Team bei der ersten Evaluierung protokolliert hat. Prüfungen werden mit jedem Zyklus günstiger, weil die Beweiskette bereits etabliert ist.

Häufig gestellte Fragen

Was ist der Unterschied zwischen SOC 2 Type I und Type II?

Type I bewertet, ob Kontrollen zu einem Zeitpunkt angemessen entworfen sind. Type II testet, ob sie über einen Zeitraum wirksam funktioniert haben. Ciao stellt Type-II-Berichte unter NDA bereit, was der stärkere Beweis für Anbieterrisikoentscheidungen ist.

Welche Trust Services Criteria sind im Umfang?

Der Umfangsabschnitt des Berichts ist die maßgebliche Antwort, und genau deshalb wird der vollständige Bericht unter NDA geteilt statt öffentlich zusammengefasst. Fordere den Bericht an und lies die Umfangserklärung, bevor du bewertest.

Können wir den Bericht an unsere interne Revision und Rechtsabteilung verteilen?

Die Verteilung wird durch die Bedingungen des NDA geregelt. Nenne die Teams, die Zugriff brauchen, wenn du den Bericht anforderst, damit der Verteilungsumfang im Voraus vereinbart wird.

Wie aktuell ist der Bericht, den wir erhalten würden?

Du erhältst den aktuellen Bericht, und sein Deckblatt nennt den Prüfzeitraum, den er abdeckt. Wenn deine Prüfung Aktualitätsanforderungen hat, nenne sie bei der Anfrage — du bekommst eine direkte Antwort zum Zeitraum statt einer vagen Zusicherung.

Ist ein Bridge Letter für die Lücke nach dem Prüfzeitraum verfügbar?

Sprich es an, wenn du den Bericht anforderst. Fragen zur Lückenabdeckung sind ein normaler Teil der Prüfung, und das Enterprise-Team sagt dir, was für den aktuellen Zeitraum verfügbar ist, statt es unklar zu lassen.

Verwandte Seiten

Hol dir das Security-Pack.

SOC 2 Type II Berichte unter NDA | Ciao