Enterprise
Documentación de cumplimiento y cómo verificarla
Informes SOC 2 Tipo II bajo NDA, un DPA de GDPR, y una vía contractual clara para PDPA y CCPA, con pasos de verificación en lugar de insignias.
La postura de cumplimiento de Ciao descansa en documentos verificables: informes SOC 2 Tipo II disponibles bajo NDA, un Acuerdo de Tratamiento de Datos de GDPR, y compromisos contractuales de manejo de datos (contratos de modelo sin retención y sin entrenamiento sobre código del cliente) que respaldan las obligaciones de PDPA y CCPA. A diferencia de los proveedores que publican muros de insignias, Ciao dirige cada afirmación de cumplimiento a un documento que tus equipos legales y de seguridad pueden realmente leer y verificar.
Publicado 2026-07-03 · Última actualización 2026-07-03
Las afirmaciones de cumplimiento son fáciles de hacer y caras de confiar
Cada página de proveedor en esta categoría muestra la misma fila de logos. La diferencia entre una insignia y un control es si puedes verificarlo: leer el informe de auditoría, firmar el DPA, trazar un flujo de datos, cuestionar el alcance del auditor. Cuando la plataforma en cuestión genera y despliega software de producción, el coste de confiar en una afirmación no verificada no es abstracto, es el hallazgo de tu propia auditoría un año después.
La postura de Ciao es simple: la documentación de cumplimiento existe para ser leída. Esta página enumera lo que está disponible hoy, qué vía cubre cada regulación que tu revisión probablemente nombrará, y el paso exacto que verifica cada elemento. Donde algo se gestiona de forma contractual en lugar de por certificación, la página lo dice claramente.
Una prueba útil para cualquier proveedor de esta categoría: pregunta dónde está escrita cada afirmación de cumplimiento, quién la auditó, y qué pasa si resulta ser incorrecta. Una afirmación respaldada por un informe de auditoría tiene un autor y un método. Una afirmación respaldada por una insignia tiene un departamento de gráficos. Tu revisión merece lo primero, y esta página está organizada para que puedas exigirlo.
Qué hay disponible hoy
Cada elemento a continuación es un documento o control que tu equipo puede obtener y comprobar:
- SOC 2 Tipo II — Los informes SOC 2 Tipo II están disponibles bajo NDA, una auditoría independiente de controles que operan durante un periodo, no una autoevaluación.
- Acuerdo de Tratamiento de Datos de GDPR — Un DPA que cubre obligaciones de encargado del tratamiento, compromisos de manejo de datos y términos de subencargados, disponible para revisión legal durante las compras.
- Contratos de modelo sin retención — La inferencia se ejecuta bajo contratos de modelo sin retención, y el código del cliente no se usa para entrenar modelos: los compromisos que preguntan primero las revisiones de privacidad.
- Registro de auditoría de solo adición — Prompts, merges, despliegues y acciones de administración se registran de solo adición, dando a la auditoría interna un historial reconstruible de cada cambio.
- Controles de acceso — SSO vía SAML y OIDC, MFA opcional y control de acceso basado en roles: los controles de gestión de acceso que la mayoría de marcos exigen a un encargado del tratamiento.
- Elección de despliegue — Despliega en la nube de Ciao, tu propia cuenta de AWS, Azure o GCP, VPC privada, u on-prem bajo términos aparte, lo que permite a los programas sensibles a la residencia mantener los datos donde exigen sus obligaciones.
La vía de PDPA y CCPA
Las obligaciones de PDPA y CCPA se cumplen a través del mismo eje contractual que GDPR: los compromisos de manejo de datos, retención y subencargados del DPA, más los contratos de modelo sin retención de la plataforma y el compromiso de que el código del cliente no se usa para entrenamiento. Tu asesoría legal mapea esos compromisos a las obligaciones específicas de tu negocio; Ciao ofrece los artefactos y respuestas, no asesoría legal.
Si tu programa abarca varias jurisdicciones, plantéalo durante las compras. El despliegue en tu propia cuenta de nube o VPC privada suele simplificar el análisis, porque la aplicación y sus datos permanecen dentro de infraestructura que ya gobiernas.
Cómo llevar a cabo una revisión de cumplimiento de Ciao
1. Solicita el conjunto de documentos
Pide el paquete de seguridad vía la página de contacto. Es el índice de todo lo demás en esta lista.
2. Firma el NDA, lee el informe SOC 2
El informe Tipo II muestra qué controles se auditaron, durante qué periodo, y qué encontró el auditor. Lee primero la sección de alcance.
3. Revisa el DPA
Legal revisa obligaciones de encargado del tratamiento, términos de manejo de datos y compromisos de subencargados. Las redlines y preguntas van al equipo enterprise.
4. Mapea los controles a tu marco
Empareja la evidencia de registro de auditoría, control de acceso y manejo de datos con los requisitos de tu propio marco de cumplimiento; la tabla siguiente es un índice de partida.
5. Confirma la postura de despliegue
Decide si la nube de Ciao, tu propia cuenta de nube, VPC privada u on-prem encaja con tus obligaciones, y registra la decisión con tu evaluación.
Marco por marco
| Marco | Qué ofrece Ciao | Cómo verificarlo |
|---|---|---|
| SOC 2 Tipo II | Informes de auditoría independientes | Solicitar bajo NDA vía /contact |
| GDPR | Acuerdo de Tratamiento de Datos, contratos de modelo sin retención, sin entrenamiento sobre código del cliente | Revisión legal del DPA durante las compras |
| CCPA | Compromisos contractuales de manejo de datos vía el DPA y los términos de servicio | Mapear los términos del DPA a tus obligaciones de CCPA con tu asesoría legal |
| PDPA | La misma vía contractual: compromisos del DPA más términos de manejo de datos | Mapear los términos del DPA a tus obligaciones de PDPA con tu asesoría legal |
| HIPAA | No se reclama. Los equipos de salud usan Ciao para flujos de trabajo operativos | Discute tu carga de trabajo específica con el equipo enterprise |
Notas de verificación
Nada en esta página exige confiar en el marketing. Los informes SOC 2 Tipo II están disponibles bajo NDA; el paquete de seguridad y el DPA están disponibles a petición vía la página de contacto; y los controles de la plataforma que describen los documentos (registro de auditoría, control de acceso, merges gobernados) se pueden demostrar en vivo durante tu evaluación. Si una afirmación que necesitas no está en esta página, pídela por escrito en lugar de asumirla.
Dos sugerencias prácticas de revisiones que salen bien. Primero, firma el NDA pronto: es la puerta frente a los documentos más útiles, y despejarla en la primera semana deja a seguridad y legal trabajar en paralelo. Segundo, envía tu hoja de cálculo de mapeo de controles junto con el cuestionario en lugar de después, así las respuestas se escriben contra el marco con el que realmente puntúa tu comité.
Preguntas frecuentes
¿Está Ciao certificado en ISO 27001?
SOC 2 Tipo II es la auditoría independiente que Ciao ofrece hoy, con informes disponibles bajo NDA. Si tu marco exige otras certificaciones o un mapeo de controles, plantéalo con el equipo enterprise durante las compras en lugar de asumir equivalencia.
¿Ciao admite cargas de trabajo bajo HIPAA?
Ciao no reclama cumplimiento de HIPAA. Las organizaciones sanitarias usan Ciao para flujos de trabajo operativos, y las cargas de trabajo que involucran datos de salud regulados deben discutirse explícitamente con el equipo enterprise antes de empezar cualquier build.
¿Podemos compartir el informe SOC 2 con nuestros auditores internos?
El informe se entrega bajo NDA, y los términos del NDA gobiernan quién puede leerlo. La mayoría de revisiones cubren al personal de seguridad, legal y auditoría que lo necesita; confirma el alcance de distribución cuando solicites el informe.
¿Firmará Ciao nuestro DPA en lugar del suyo?
Ciao ofrece un DPA de GDPR para revisión, y las preguntas legales o redlines se gestionan durante las compras. Lleva tu documento al equipo enterprise y te dirán claramente qué es negociable para el tamaño de tu acuerdo.
¿Dónde podemos ver la lista actual de subencargados?
La información de subencargados es parte de la revisión del DPA y el paquete de seguridad. Solicita la lista actual vía la página de contacto: es un documento para leer, no una afirmación para tomar de una página web que puede quedar desactualizada.