Enterprise

SOC 2 Tipo II en Ciao

Evidencia de auditoría independiente para tu revisión de seguridad: informes disponibles bajo NDA, con los controles de plataforma detrás demostrables en vivo.

SOC 2 Tipo II es una auditoría independiente de los controles de un proveedor operando durante un periodo de tiempo, no una foto puntual. Ciao pone a disposición los informes SOC 2 Tipo II bajo NDA, así los revisores de seguridad leen los hallazgos y el alcance reales del auditor en lugar de un resumen de marketing. A diferencia de las certificaciones de muro de insignias, el informe en sí es la declaración autorizada de qué se auditó y cómo se desempeñaron los controles.

Ideal paraRevisores de seguridad que leen evidencia de auditoríaPuntuación de riesgo de proveedorMapeo de cumplimiento

Publicado 2026-07-03 · Última actualización 2026-07-03

Por qué el Tipo II es el informe que vale la pena leer

Un informe SOC 2 Tipo I describe controles tal como se diseñaron en un solo día. Un informe Tipo II prueba si esos controles realmente operaron durante un periodo de auditoría, que es la pregunta que en realidad hace tu evaluación de riesgo. Para una plataforma que genera, prueba y despliega software de producción, la efectividad operativa importa más que la intención de diseño: un control de gestión de cambios que existe en papel pero se salta bajo presión de plazo es precisamente lo que la auditoría Tipo II está construida para exponer.

Ciao ofrece informes SOC 2 Tipo II bajo NDA. El paso del NDA es estándar para esta clase de documento y juega a tu favor: significa que recibes el informe completo (alcance, pruebas del auditor, resultados) en lugar de un resumen público recortado para marketing.

Hay un beneficio de procedimiento que vale la pena nombrar. Como el informe es un artefacto estándar, tu equipo puede revisar a Ciao con la misma rúbrica que usa para cualquier encargado del tratamiento: ninguna excepción especial de IA, ningún marco de evaluación a medida, la misma clase de documento, la misma puntuación, el mismo umbral de evidencia.

Qué le da el informe a tus revisores

  • Evidencia independiente — El informe lo produce un auditor independiente, así tu puntuación no descansa en la autoevaluación del proveedor.
  • Una declaración de alcance explícita — El informe indica qué sistemas, criterios y periodo se auditaron. Lee primero esta sección: es la respuesta autorizada a «¿qué cubre realmente vuestro SOC 2?».
  • Descripciones de controles y resultados de pruebas — Para cada control, se registran las pruebas y resultados del auditor, lo que deja a tu equipo sopesar evidencia en lugar de aceptar una insignia de aprobado/reprobado.
  • Una base para las respuestas de cuestionario — Las respuestas del cuestionario de seguridad de Ciao se fundamentan en el informe y el paquete de seguridad, así las respuestas escritas se pueden comprobar contra evidencia auditada.

Cómo se relacionan los controles auditados con la plataforma que evaluarás

Las familias de controles que examina una revisión SOC 2 son visibles en el propio producto. Identidad y acceso: SSO vía SAML y OIDC, MFA opcional y control de acceso basado en roles. Gestión de cambios: Guardrails detecta cambios de riesgo, aplica políticas en lenguaje sencillo, registra la revisión humana y deja un registro de auditoría tras cada merge. Monitorización y operaciones: QA ejecuta smoke gates antes de publicar y comprobaciones de producción después, mientras Doctor, un SRE de IA de solo lectura, examina la aplicación en vivo, el DNS y el CDN.

Este mapeo es contexto, no un sustituto del informe. El informe en sí es la declaración autorizada de alcance y resultados de auditoría; trata cualquier resumen de página web, incluido este, como un índice hacia el documento real.

Usa el mapeo como usarías un mapa del sitio: le dice a los revisores dónde mirar en el producto cuando una descripción de control en el informe se siente abstracta. Leer el informe con el producto abierto convierte el lenguaje de auditoría en comportamiento observable, que es la vía más rápida hacia una confianza justificada.

Cómo solicitar el informe

  1. 1. Contacta con el equipo enterprise

    Usa la página de contacto e indica que tu revisión de seguridad necesita el informe SOC 2 Tipo II. Un contacto asignado se hace cargo desde ahí.

  2. 2. Firma el NDA

    Un paso estándar para esta clase de documento. Confirma en este punto quién de tu lado puede leer el informe, así la distribución queda resuelta antes de la entrega.

  3. 3. Recibe y revisa

    Lee primero el alcance, luego las pruebas y resultados del auditor. Envía preguntas de vuelta por tu contacto; las preguntas en lenguaje de auditoría son esperadas, no una imposición.

  4. 4. Combínalo con una mirada en vivo

    Pide ver los controles que describe el informe operando en el producto: un merge gobernado con revisión humana registrada, el registro de auditoría de solo adición, hallazgos de seguridad confirmados contra una app en vivo.

Qué suelen comprobar los revisores, y dónde verificarlo

Los revisores suelen comprobarDónde vive en CiaoCómo verificarlo
Gestión de accesoSSO vía SAML y OIDC, MFA opcional, RBACInforme bajo NDA; demostración de identidad
Gestión de cambiosPolíticas de Guardrails, revisión humana registrada, registro de auditoría tras cada mergeInforme bajo NDA; demo en vivo de merge gobernado
Monitorización del sistemaComprobaciones de producción de QA; Doctor examinando la app en vivo, el DNS y el CDNInforme bajo NDA; demostración en vivo
Manejo de datosSin entrenamiento sobre código del cliente; contratos de modelo sin retenciónDPA y términos contractuales
Evidencia de auditoríaRegistro de solo adición sobre prompts, merges, despliegues, acciones de administraciónReconstrucción de muestra durante la evaluación

Más allá del informe

Un informe Tipo II cubre su periodo de auditoría; tu riesgo no se detiene en la fecha de fin del periodo. Dos cosas cierran la brecha. Primero, el paquete de seguridad, disponible a petición vía la página de contacto, documenta la arquitectura y el manejo de datos actuales. Segundo, los propios controles son parte del producto, así una evaluación puede ver cómo operan hoy en lugar de depender solo de cómo operaron durante la ventana auditada.

Si tu proceso de riesgo de proveedor repuntúa anualmente, el ciclo anual aquí es sencillo: solicita el informe actual, compara la declaración de alcance con la del año pasado, y vuelve a correr las comprobaciones en vivo que registró tu equipo durante la primera evaluación. Las revisiones se abaratan en cada ciclo porque el rastro de evidencia ya está establecido.

Preguntas frecuentes

¿Cuál es la diferencia entre SOC 2 Tipo I y Tipo II?

El Tipo I evalúa si los controles están adecuadamente diseñados en un momento dado. El Tipo II prueba si operaron con efectividad durante un periodo. Ciao ofrece informes Tipo II bajo NDA, que es la evidencia más sólida para decisiones de riesgo de proveedor.

¿Qué criterios de servicios de confianza están en el alcance?

La sección de alcance del informe es la respuesta autorizada, y es exactamente por qué el informe completo se comparte bajo NDA en lugar de resumirse públicamente. Solicita el informe y lee la declaración de alcance antes de puntuar.

¿Podemos distribuir el informe a nuestros equipos internos de auditoría y legal?

La distribución se rige por los términos del NDA. Nombra a los equipos que necesitan acceso cuando solicites el informe para que el alcance de distribución se acuerde de antemano.

¿Qué tan actual es el informe que recibiríamos?

Recibes el informe actual, y su portada indica el periodo de auditoría que cubre. Si tu revisión tiene requisitos de vigencia, indícalos al solicitarlo; obtendrás una respuesta directa sobre el periodo en lugar de una garantía vaga.

¿Existe una carta puente para el hueco tras el periodo de auditoría?

Plantéalo cuando solicites el informe. Las preguntas sobre cobertura del hueco son una parte normal de la revisión, y el equipo enterprise te dirá qué hay disponible para el periodo actual en lugar de dejarlo ambiguo.

Páginas relacionadas

Consigue el paquete de seguridad.

Informes SOC 2 Tipo II bajo NDA | Ciao