Entreprise
SOC 2 Type II chez Ciao
Des preuves d'audit indépendant pour votre revue de sécurité — rapports disponibles sous NDA, avec les contrôles de la plateforme démontrables en direct.
SOC 2 Type II est un audit indépendant des contrôles d'un fournisseur fonctionnant sur une période de temps, pas un instantané ponctuel. Ciao met les rapports SOC 2 Type II à disposition sous NDA, afin que les évaluateurs sécurité lisent les constats et le périmètre réels de l'auditeur plutôt qu'un résumé marketing. Contrairement aux attestations de mur de badges, le rapport lui-même est la déclaration faisant autorité sur ce qui a été audité et comment les contrôles ont performé.
Publié 2026-07-03 · Dernière mise à jour 2026-07-03
Pourquoi le Type II est le rapport qui mérite d'être lu
Un rapport SOC 2 Type I décrit des contrôles tels que conçus un seul jour. Un rapport Type II teste si ces contrôles ont réellement fonctionné sur une période d'audit — ce qui est la question que votre évaluation des risques pose vraiment. Pour une plateforme qui génère, teste et déploie des logiciels de production, l'efficacité opérationnelle compte plus que l'intention de conception : un contrôle de gestion des changements qui existe sur papier mais est ignoré sous la pression d'une échéance est exactement ce que l'audit Type II est conçu pour révéler.
Ciao fournit les rapports SOC 2 Type II sous NDA. L'étape NDA est standard pour cette catégorie de documents et joue en votre faveur : elle signifie que vous recevez le rapport complet — périmètre, tests de l'auditeur, résultats — plutôt qu'un résumé public réduit pour le marketing.
Il y a aussi un avantage procédural à souligner. Comme le rapport est un document standard, votre équipe peut examiner Ciao avec la même grille qu'elle utilise pour tout sous-traitant : pas d'exception spéciale pour l'IA, pas de cadre d'évaluation sur mesure — la même catégorie de document, la même notation, le même niveau de preuve.
Ce que le rapport apporte à vos évaluateurs
- Preuves indépendantes — Le rapport est produit par un auditeur indépendant, si bien que votre notation ne repose pas sur une auto-évaluation du fournisseur.
- Une déclaration de périmètre explicite — Le rapport indique quels systèmes, critères et période ont été audités. Lisez cette section en premier — c'est la réponse faisant autorité à « que couvre réellement votre SOC 2 ? ».
- Descriptions des contrôles et résultats des tests — Pour chaque contrôle, les tests et résultats de l'auditeur sont consignés, ce qui permet à votre équipe de pondérer les preuves plutôt que d'accepter un badge réussite/échec.
- Une base pour les réponses au questionnaire — Les réponses de Ciao au questionnaire de sécurité s'ancrent dans le rapport et le dossier de sécurité, afin que les réponses écrites puissent être vérifiées par rapport aux preuves auditées.
Comment les contrôles audités se rapportent à la plateforme que vous évaluerez
Les familles de contrôles qu'une revue SOC 2 examine sont visibles dans le produit lui-même. Identité et accès : SSO via SAML et OIDC, MFA optionnelle et contrôle d'accès basé sur les rôles. Gestion des changements : Guardrails détecte les changements risqués, applique des politiques en langage clair, enregistre la revue humaine et laisse une piste d'audit derrière chaque fusion. Surveillance et exploitation : QA exécute des tests de fumée avant publication et des vérifications de production après, tandis que Doctor — un SRE IA en lecture seule — sonde l'application en production, le DNS et le CDN.
Cette correspondance est un contexte, pas un substitut au rapport. Le rapport lui-même est la déclaration faisant autorité sur le périmètre et les résultats de l'audit ; considérez tout résumé de page web, y compris celui-ci, comme un index vers le document réel.
Utilisez cette correspondance comme vous utiliseriez un plan de site : elle indique aux évaluateurs où chercher dans le produit lorsqu'une description de contrôle dans le rapport semble abstraite. Lire le rapport avec le produit ouvert transforme le langage d'audit en comportement observable, ce qui est la voie la plus rapide vers une confiance justifiée.
Comment demander le rapport
1. Contacter l'équipe entreprise
Utilisez la page de contact et indiquez que votre revue de sécurité nécessite le rapport SOC 2 Type II. Un contact nommé prend le relais.
2. Signer le NDA
Une étape standard pour cette catégorie de documents. Confirmez à ce stade qui de votre côté peut lire le rapport, afin que la diffusion soit réglée avant la livraison.
3. Recevoir et examiner
Lisez d'abord le périmètre, puis les tests et résultats de l'auditeur. Renvoyez vos questions via votre contact — les questions en langage d'audit sont attendues, pas une imposition.
4. Associer un regard en direct
Demandez à voir les contrôles décrits dans le rapport fonctionner dans le produit : une fusion gouvernée avec revue humaine enregistrée, la piste d'audit en ajout seul, des résultats de sécurité confirmés sur une application en fonctionnement.
Ce que les évaluateurs vérifient habituellement, et où le vérifier
| Les évaluateurs vérifient habituellement | Où cela se trouve chez Ciao | Comment vérifier |
|---|---|---|
| Gestion des accès | SSO via SAML et OIDC, MFA optionnelle, RBAC | Rapport sous NDA ; démonstration d'identité |
| Gestion des changements | Politiques Guardrails, revue humaine enregistrée, piste d'audit derrière chaque fusion | Rapport sous NDA ; démo en direct de fusion gouvernée |
| Surveillance système | Vérifications de production QA ; Doctor sondant l'application en production, le DNS et le CDN | Rapport sous NDA ; démonstration en direct |
| Traitement des données | Pas d'entraînement sur le code client ; contrats de rétention zéro | DPA et conditions contractuelles |
| Preuves d'audit | Piste en ajout seul sur les prompts, fusions, déploiements, actions d'administration | Reconstitution d'échantillon pendant l'évaluation |
Au-delà du rapport
Un rapport Type II couvre sa période d'audit ; votre risque ne s'arrête pas à la date de fin de cette période. Deux éléments comblent l'écart. D'abord, le dossier de sécurité — disponible sur demande via la page de contact — documente l'architecture et le traitement des données actuels. Ensuite, les contrôles eux-mêmes font partie du produit, si bien qu'une évaluation peut les observer fonctionner aujourd'hui plutôt que de s'appuyer uniquement sur leur fonctionnement pendant la fenêtre auditée.
Si votre processus de risque fournisseur renote chaque année, la boucle annuelle ici est simple : demandez le rapport actuel, comparez la déclaration de périmètre à celle de l'an dernier, et relancez les vérifications en direct que votre équipe a consignées lors de la première évaluation. Les revues deviennent moins coûteuses à chaque cycle car la piste de preuves est déjà établie.
Questions fréquentes
Quelle est la différence entre SOC 2 Type I et Type II ?
Le Type I évalue si les contrôles sont conçus de manière appropriée à un instant donné. Le Type II teste s'ils ont fonctionné efficacement sur une période. Ciao fournit des rapports Type II sous NDA, ce qui constitue la preuve la plus solide pour les décisions de risque fournisseur.
Quels critères de services de confiance sont dans le périmètre ?
La section périmètre du rapport est la réponse faisant autorité, et c'est précisément pourquoi le rapport complet est partagé sous NDA plutôt que résumé publiquement. Demandez le rapport et lisez la déclaration de périmètre avant de noter.
Pouvons-nous diffuser le rapport à nos équipes d'audit interne et juridique ?
La diffusion est régie par les conditions du NDA. Nommez les équipes qui ont besoin d'accès lorsque vous demandez le rapport afin que le périmètre de diffusion soit convenu en amont.
Quelle est l'actualité du rapport que nous recevrions ?
Vous recevez le rapport actuel, et sa couverture indique la période d'audit couverte. Si votre revue a des exigences de fraîcheur, indiquez-les lors de la demande — vous obtiendrez une réponse directe sur la période plutôt qu'une assurance vague.
Une lettre de transition est-elle disponible pour l'écart après la période d'audit ?
Soulevez ce point lorsque vous demandez le rapport. Les questions de couverture d'écart font partie normale de la revue, et l'équipe entreprise vous dira ce qui est disponible pour la période actuelle plutôt que de laisser cela ambigu.