Entreprise
Documentation de conformité et comment la vérifier
Rapports SOC 2 Type II sous NDA, un DPA RGPD, et une voie contractuelle claire pour PDPA et CCPA — avec des étapes de vérification plutôt que des badges.
La posture de conformité de Ciao repose sur des documents vérifiables : rapports SOC 2 Type II disponibles sous NDA, un accord de traitement des données (DPA) RGPD, et des engagements contractuels de traitement des données — contrats de rétention zéro et absence d'entraînement sur le code client — qui répondent aux obligations PDPA et CCPA. Contrairement aux fournisseurs qui affichent un mur de badges, Ciao renvoie chaque affirmation de conformité à un document que vos équipes juridiques et sécurité peuvent réellement lire et vérifier.
Publié 2026-07-03 · Dernière mise à jour 2026-07-03
Les affirmations de conformité sont faciles à faire et coûteuses à croire
Chaque page fournisseur de cette catégorie affiche la même rangée de logos. La différence entre un badge et un contrôle, c'est la possibilité de le vérifier : lire le rapport d'audit, signer le DPA, retracer un flux de données, questionner le périmètre de l'auditeur. Lorsque la plateforme en question génère et déploie des logiciels de production, le coût de faire confiance à une affirmation non vérifiée n'est pas abstrait — c'est votre propre audit qui découvre un problème un an plus tard.
La position de Ciao est simple : la documentation de conformité existe pour être lue. Cette page liste ce qui est disponible aujourd'hui, quelle voie couvre chaque réglementation que votre revue est susceptible de citer, et l'étape exacte qui vérifie chaque élément. Lorsqu'un point est traité contractuellement plutôt que par certification, la page le dit clairement.
Un test utile pour tout fournisseur de cette catégorie : demandez où chaque affirmation de conformité est consignée par écrit, qui l'a auditée, et ce qui se passe si elle s'avère fausse. Une affirmation adossée à un rapport d'audit a un auteur et une méthode. Une affirmation adossée à un badge a un service graphique. Votre revue mérite la première option, et cette page est organisée pour que vous puissiez l'exiger.
Ce qui est disponible aujourd'hui
Chaque élément ci-dessous est un document ou un contrôle que votre équipe peut obtenir et vérifier :
- SOC 2 Type II — Les rapports SOC 2 Type II sont disponibles sous NDA — un audit indépendant des contrôles fonctionnant sur une période, et non une auto-évaluation.
- Accord de traitement des données RGPD — Un DPA couvrant les obligations du sous-traitant, les engagements de traitement des données et les conditions relatives aux sous-traitants ultérieurs, disponible pour examen juridique lors de l'achat.
- Contrats de rétention zéro pour les modèles — L'inférence s'exécute sous des contrats de rétention zéro, et le code client n'est pas utilisé pour entraîner les modèles — les engagements que les revues de confidentialité demandent en premier.
- Piste d'audit en ajout seul — Les prompts, fusions, déploiements et actions d'administration sont enregistrés en ajout seul, donnant à l'audit interne un historique reconstituable de chaque changement.
- Contrôles d'accès — SSO via SAML et OIDC, MFA optionnelle et contrôle d'accès basé sur les rôles — les contrôles de gestion d'accès que la plupart des référentiels exigent d'un sous-traitant.
- Choix du déploiement — Déployez sur le cloud Ciao, votre propre compte AWS, Azure ou GCP, un VPC privé, ou sur site selon des conditions distinctes — ce qui permet aux programmes sensibles à la résidence des données de conserver leurs données là où leurs obligations l'exigent.
La voie contractuelle pour PDPA et CCPA
Les obligations PDPA et CCPA sont satisfaites via le même socle contractuel que le RGPD : les engagements du DPA en matière de traitement des données, de conservation et de sous-traitants, plus les contrats de rétention zéro de la plateforme et l'engagement que le code client n'est pas utilisé pour l'entraînement. Votre conseil juridique fait correspondre ces engagements aux obligations spécifiques de votre activité — Ciao fournit les documents et les réponses, pas un conseil juridique.
Si votre programme s'étend sur plusieurs juridictions, soulevez ce point lors de l'achat. Le déploiement dans votre propre compte cloud ou VPC privé simplifie souvent l'analyse, car l'application et ses données restent au sein d'une infrastructure que vous gouvernez déjà.
Comment mener une revue de conformité de Ciao
1. Demander l'ensemble des documents
Demandez le dossier de sécurité via la page de contact. C'est l'index de tout le reste de cette liste.
2. Signer le NDA, lire le rapport SOC 2
Le rapport Type II indique quels contrôles ont été audités, sur quelle période, et ce que l'auditeur a constaté. Lisez d'abord la section périmètre.
3. Examiner le DPA
L'équipe juridique examine les obligations du sous-traitant, les conditions de traitement des données et les engagements relatifs aux sous-traitants. Les demandes de modification vont à l'équipe entreprise.
4. Faire correspondre les contrôles à votre référentiel
Rapprochez la piste d'audit, le contrôle d'accès et les preuves de traitement des données des exigences de votre propre référentiel de conformité — le tableau ci-dessous est un point de départ.
5. Confirmer la configuration du déploiement
Décidez si le cloud Ciao, votre propre compte cloud, un VPC privé ou l'hébergement sur site correspond à vos obligations, et consignez la décision avec votre évaluation.
Référentiel par référentiel
| Référentiel | Ce que fournit Ciao | Comment vérifier |
|---|---|---|
| SOC 2 Type II | Rapports d'audit indépendants | Demander sous NDA via /contact |
| RGPD | Accord de traitement des données, contrats de rétention zéro, pas d'entraînement sur le code client | Examen juridique du DPA lors de l'achat |
| CCPA | Engagements contractuels de traitement des données via le DPA et les conditions de service | Faire correspondre les termes du DPA à vos obligations CCPA avec un conseil juridique |
| PDPA | Même voie contractuelle : engagements du DPA plus conditions de traitement des données | Faire correspondre les termes du DPA à vos obligations PDPA avec un conseil juridique |
| HIPAA | Non revendiqué. Les équipes de santé utilisent Ciao pour des flux opérationnels | Discutez de votre charge de travail spécifique avec l'équipe entreprise |
Notes de vérification
Rien sur cette page n'exige de faire confiance au marketing. Les rapports SOC 2 Type II sont disponibles sous NDA ; le dossier de sécurité et le DPA sont disponibles sur demande via la page de contact ; et les contrôles de la plateforme que ces documents décrivent — piste d'audit, contrôle d'accès, fusions gouvernées — peuvent être démontrés en direct pendant votre évaluation. Si une affirmation dont vous avez besoin ne figure pas sur cette page, demandez-la par écrit plutôt que de la présumer.
Deux conseils pratiques tirés de revues qui se déroulent bien. Premièrement, signez le NDA tôt — c'est la porte d'entrée vers les documents les plus utiles, et la franchir dès la première semaine permet à la sécurité et au juridique de travailler en parallèle. Deuxièmement, envoyez votre grille de correspondance des contrôles en même temps que le questionnaire plutôt qu'après, afin que les réponses soient rédigées en fonction du référentiel que votre comité utilise réellement pour noter.
Questions fréquentes
Ciao est-il certifié ISO 27001 ?
SOC 2 Type II est l'audit indépendant que Ciao fournit aujourd'hui, avec des rapports disponibles sous NDA. Si votre référentiel exige d'autres certifications ou une correspondance de contrôles, soulevez-le auprès de l'équipe entreprise lors de l'achat plutôt que de présumer une équivalence.
Ciao prend-il en charge les charges de travail relevant de HIPAA ?
Ciao ne revendique pas la conformité HIPAA. Les organisations de santé utilisent Ciao pour des flux opérationnels, et les charges de travail impliquant des données de santé réglementées doivent être discutées explicitement avec l'équipe entreprise avant tout démarrage de projet.
Pouvons-nous partager le rapport SOC 2 avec nos auditeurs internes ?
Le rapport est fourni sous NDA, et les conditions du NDA régissent qui peut le lire. La plupart des revues couvrent le personnel de sécurité, juridique et d'audit qui en a besoin — confirmez le périmètre de diffusion lorsque vous demandez le rapport.
Ciao signera-t-il notre DPA plutôt que le sien ?
Ciao fournit un DPA RGPD pour examen, et les questions juridiques ou modifications sont traitées lors de l'achat. Apportez vos documents à l'équipe entreprise, elle vous dira clairement ce qui est négociable pour la taille de votre accord.
Où pouvons-nous consulter la liste actuelle des sous-traitants ?
Les informations sur les sous-traitants font partie de l'examen du DPA et du dossier de sécurité. Demandez la liste actuelle via la page de contact — c'est un document à lire, pas une affirmation à tirer d'une page web susceptible de dater.