एंटरप्राइज़
Ciao पर SOC 2 Type II
आपकी सिक्योरिटी समीक्षा के लिए स्वतंत्र ऑडिट सबूत — NDA के तहत उपलब्ध रिपोर्ट, जिसके पीछे के प्लेटफ़ॉर्म नियंत्रण लाइव प्रदर्शित किए जा सकते हैं।
SOC 2 Type II एक वेंडर के नियंत्रणों का एक स्वतंत्र ऑडिट है जो समय की एक अवधि में काम करते हैं, कोई बिंदु-समय स्नैपशॉट नहीं। Ciao NDA के तहत SOC 2 Type II रिपोर्ट उपलब्ध कराता है, ताकि सिक्योरिटी रिव्यूअर मार्केटिंग सारांश के बजाय ऑडिटर की असली फाइंडिंग्स और स्कोप पढ़ें। बैज-वॉल अटेस्टेशन के विपरीत, रिपोर्ट खुद इस बात का आधिकारिक बयान है कि क्या ऑडिट किया गया और नियंत्रणों ने कैसा प्रदर्शन किया।
प्रकाशित 2026-07-03 · आख़िरी बार अपडेट किया गया 2026-07-03
Type II ही वह रिपोर्ट है जो पढ़ने लायक है
एक SOC 2 Type I रिपोर्ट एक ही दिन डिज़ाइन किए गए नियंत्रणों का वर्णन करती है। एक Type II रिपोर्ट टेस्ट करती है कि क्या वे नियंत्रण एक ऑडिट अवधि में वाकई काम करते थे — जो वह सवाल है जो आपका रिस्क असेसमेंट वाकई पूछ रहा है। एक ऐसे प्लेटफ़ॉर्म के लिए जो प्रोडक्शन सॉफ़्टवेयर जनरेट, टेस्ट और डिप्लॉय करता है, ऑपरेटिंग प्रभावशीलता डिज़ाइन इरादे से ज़्यादा मायने रखती है: एक चेंज-मैनेजमेंट कंट्रोल जो कागज़ पर मौजूद है पर डेडलाइन के दबाव में छोड़ दिया जाता है, ठीक वही है जिसे उजागर करने के लिए Type II ऑडिटिंग बनाई गई है।
Ciao NDA के तहत SOC 2 Type II रिपोर्ट प्रदान करता है। NDA कदम इस डॉक्यूमेंट क्लास के लिए मानक है और आपके पक्ष में काम करता है: इसका मतलब है कि आपको पूरी रिपोर्ट मिलती है — स्कोप, ऑडिटर टेस्टिंग, नतीजे — मार्केटिंग के लिए काटा गया सार्वजनिक सारांश नहीं।
नाम रखने लायक एक प्रक्रियात्मक फ़ायदा भी है। क्योंकि रिपोर्ट एक मानक कलाकृति है, आपकी टीम Ciao की समीक्षा उसी रूब्रिक से कर सकती है जिसका इस्तेमाल वह किसी भी प्रोसेसर के लिए करती है: कोई खास AI अपवाद नहीं, कोई कस्टम असेसमेंट फ़्रेमवर्क नहीं — वही डॉक्यूमेंट क्लास, वही स्कोरिंग, वही सबूत बार।
रिपोर्ट आपके रिव्यूअर को क्या देती है
- स्वतंत्र सबूत — रिपोर्ट एक स्वतंत्र ऑडिटर द्वारा तैयार की जाती है, इसलिए आपकी स्कोरिंग वेंडर सेल्फ़-असेसमेंट पर नहीं टिकती।
- एक स्पष्ट स्कोप स्टेटमेंट — रिपोर्ट बताती है कि किन सिस्टमों, मानदंडों और अवधि का ऑडिट किया गया। इस सेक्शन को पहले पढ़ें — यह 'आपका SOC 2 वाकई क्या कवर करता है?' का आधिकारिक जवाब है।
- कंट्रोल विवरण और टेस्ट नतीजे — हर कंट्रोल के लिए, ऑडिटर की टेस्टिंग और नतीजे दर्ज हैं, जो आपकी टीम को पास/फेल बैज स्वीकार करने के बजाय सबूत तौलने देता है।
- प्रश्नावली जवाबों का आधार — Ciao के सिक्योरिटी प्रश्नावली जवाब रिपोर्ट और सिक्योरिटी पैक में आधारित हैं, इसलिए लिखित जवाबों को ऑडिट किए गए सबूत के खिलाफ़ जांचा जा सकता है।
ऑडिट किए गए नियंत्रण उस प्लेटफ़ॉर्म से कैसे जुड़ते हैं जिसका आप मूल्यांकन करेंगे
जिन कंट्रोल परिवारों की एक SOC 2 समीक्षा जांच करती है वे प्रोडक्ट में ही दिखाई देते हैं। पहचान और एक्सेस: SAML और OIDC के ज़रिए SSO, वैकल्पिक MFA और रोल-आधारित एक्सेस कंट्रोल। चेंज मैनेजमेंट: Guardrails जोखिम भरे बदलावों का पता लगाता है, सरल-भाषा पॉलिसी लागू करता है, मानव समीक्षा दर्ज करता है और हर मर्ज के पीछे एक ऑडिट ट्रेल छोड़ता है। मॉनिटरिंग और ऑपरेशन्स: QA पब्लिश से पहले स्मोक गेट्स और बाद में प्रोडक्शन जांच चलाता है, जबकि Doctor — एक रीड-ओनली AI SRE — लाइव एप्लिकेशन, DNS और CDN की जांच करता है।
यह मैपिंग संदर्भ है, रिपोर्ट का विकल्प नहीं। रिपोर्ट खुद ऑडिट स्कोप और नतीजों का आधिकारिक बयान है; किसी भी वेबपेज सारांश को, इस पेज सहित, असली डॉक्यूमेंट का एक इंडेक्स मानें।
इस मैपिंग का इस्तेमाल वैसे करें जैसे आप साइट मैप का करते: यह रिव्यूअर्स को बताता है कि प्रोडक्ट में कहां देखना है जब रिपोर्ट में कोई कंट्रोल विवरण अमूर्त लगे। प्रोडक्ट खोलकर रिपोर्ट पढ़ना ऑडिट भाषा को अवलोकन योग्य व्यवहार में बदल देता है, जो उचित भरोसे तक पहुंचने का सबसे तेज़ रास्ता है।
रिपोर्ट कैसे मांगें
1. एंटरप्राइज़ टीम से संपर्क करें
कॉन्टैक्ट पेज इस्तेमाल करें और बताएं कि आपकी सिक्योरिटी समीक्षा को SOC 2 Type II रिपोर्ट चाहिए। एक नामित संपर्क वहां से इसे संभालता है।
2. NDA पर हस्ताक्षर करें
इस डॉक्यूमेंट क्लास के लिए एक मानक कदम। इस बिंदु पर पुष्टि करें कि आपकी तरफ़ से रिपोर्ट कौन पढ़ सकता है, ताकि डिलीवरी से पहले वितरण तय हो जाए।
3. प्राप्त करें और समीक्षा करें
पहले स्कोप पढ़ें, फिर ऑडिटर की टेस्टिंग और नतीजे। सवाल अपने संपर्क के ज़रिए वापस भेजें — ऑडिटर-भाषा के सवाल अपेक्षित हैं, कोई थोपना नहीं।
4. इसे लाइव नज़र के साथ जोड़ें
प्रोडक्ट में चलते हुए रिपोर्ट के वर्णित नियंत्रण देखने को कहें: दर्ज मानव समीक्षा के साथ एक गवर्न मर्ज, अपेंड-ओनली ऑडिट ट्रेल, लाइव ऐप के खिलाफ़ पुष्ट सिक्योरिटी फाइंडिंग्स।
रिव्यूअर आमतौर पर क्या जांचते हैं, और इसे कहां सत्यापित करें
| रिव्यूअर आमतौर पर क्या जांचते हैं | Ciao में यह कहां है | कैसे सत्यापित करें |
|---|---|---|
| एक्सेस मैनेजमेंट | SAML और OIDC के ज़रिए SSO, वैकल्पिक MFA, RBAC | NDA के तहत रिपोर्ट; पहचान वॉकथ्रू |
| चेंज मैनेजमेंट | Guardrails पॉलिसी, दर्ज मानव समीक्षा, हर मर्ज के पीछे ऑडिट ट्रेल | NDA के तहत रिपोर्ट; लाइव गवर्न-मर्ज डेमो |
| सिस्टम मॉनिटरिंग | QA प्रोडक्शन जांच; लाइव ऐप, DNS और CDN की जांच करता Doctor | NDA के तहत रिपोर्ट; लाइव प्रदर्शन |
| डेटा हैंडलिंग | ग्राहक कोड पर कोई ट्रेनिंग नहीं; ज़ीरो-रिटेंशन मॉडल कॉन्ट्रैक्ट्स | DPA और कॉन्ट्रैक्ट शर्तें |
| ऑडिट सबूत | प्रॉम्प्ट, मर्ज, डिप्लॉय, एडमिन कार्रवाइयों में अपेंड-ओनली ट्रेल | मूल्यांकन के दौरान सैंपल पुनर्निर्माण |
रिपोर्ट से परे
एक Type II रिपोर्ट अपनी ऑडिट अवधि को कवर करती है; आपका जोखिम अवधि की अंतिम तारीख पर नहीं रुकता। दो चीज़ें इस अंतर को पाटती हैं। पहली, सिक्योरिटी पैक — कॉन्टैक्ट पेज के ज़रिए अनुरोध पर उपलब्ध — मौजूदा आर्किटेक्चर और डेटा हैंडलिंग का दस्तावेज़ीकरण करता है। दूसरी, नियंत्रण खुद प्रोडक्ट का हिस्सा हैं, इसलिए एक मूल्यांकन सिर्फ़ इस पर निर्भर रहने के बजाय कि वे ऑडिट किए गए विंडो के दौरान कैसे काम करते थे, आज उन्हें काम करते हुए देख सकता है।
अगर आपकी वेंडर-रिस्क प्रक्रिया सालाना दोबारा स्कोर करती है, तो यहां सालाना लूप सीधा है: मौजूदा रिपोर्ट मांगें, स्कोप स्टेटमेंट की पिछले साल से तुलना करें, और अपनी टीम द्वारा पहले मूल्यांकन के दौरान दर्ज किए गए लाइव चेक फिर से चलाएं। हर चक्र समीक्षाएं सस्ती होती जाती हैं क्योंकि सबूत ट्रेल पहले से स्थापित है।
अक्सर पूछे जाने वाले सवाल
SOC 2 Type I और Type II में क्या अंतर है?
Type I यह आकलन करता है कि क्या नियंत्रण एक बिंदु-समय पर उचित रूप से डिज़ाइन किए गए हैं। Type II टेस्ट करता है कि क्या वे एक अवधि में प्रभावी रूप से काम करते थे। Ciao NDA के तहत Type II रिपोर्ट प्रदान करता है, जो वेंडर रिस्क फ़ैसलों के लिए मज़बूत सबूत है।
कौन-से ट्रस्ट सर्विसेज़ मानदंड स्कोप में हैं?
रिपोर्ट का स्कोप सेक्शन आधिकारिक जवाब है, और यही वजह है कि पूरी रिपोर्ट सार्वजनिक रूप से सारांशित करने के बजाय NDA के तहत साझा की जाती है। स्कोर करने से पहले रिपोर्ट मांगें और स्कोप स्टेटमेंट पढ़ें।
क्या हम रिपोर्ट अपनी आंतरिक ऑडिट और लीगल टीमों को वितरित कर सकते हैं?
वितरण NDA की शर्तों द्वारा नियंत्रित होता है। रिपोर्ट मांगते समय उन टीमों को नाम दें जिन्हें एक्सेस चाहिए ताकि वितरण दायरा पहले से तय हो।
हमें मिलने वाली रिपोर्ट कितनी हालिया है?
आपको मौजूदा रिपोर्ट मिलती है, और इसका कवर उस ऑडिट अवधि को बताता है जिसे यह कवर करती है। अगर आपकी समीक्षा को हालिया होने की आवश्यकताएं हैं, तो मांगते समय उन्हें बताएं — आपको अस्पष्ट आश्वासन के बजाय अवधि के बारे में सीधा जवाब मिलेगा।
क्या ऑडिट अवधि के बाद के गैप के लिए ब्रिज लेटर उपलब्ध है?
रिपोर्ट मांगते समय इसे उठाएं। गैप-कवरेज सवाल समीक्षा का एक सामान्य हिस्सा हैं, और एंटरप्राइज़ टीम आपको बताएगी कि मौजूदा अवधि के लिए क्या उपलब्ध है, इसे अस्पष्ट नहीं छोड़ेगी।