Enterprise

Dokumentasi kepatuhan dan cara memverifikasinya

Laporan SOC 2 Type II di bawah NDA, DPA GDPR, dan jalur kontraktual yang jelas untuk PDPA dan CCPA — dengan langkah verifikasi, bukan sekadar lencana.

Postur kepatuhan Ciao berpijak pada dokumen yang bisa diverifikasi: laporan SOC 2 Type II tersedia di bawah NDA, Data Processing Agreement GDPR, dan komitmen penanganan data secara kontraktual — kontrak model tanpa retensi dan tidak ada pelatihan pada kode pelanggan — yang mendukung kewajiban PDPA dan CCPA. Berbeda dari vendor yang memajang dinding lencana, Ciao mengarahkan setiap klaim kepatuhan ke dokumen yang benar-benar bisa dibaca dan diverifikasi tim legal dan keamanan Anda.

Ideal untukTinjauan kepatuhan dan privasiKuesioner risiko vendorPenilaian legal dan DPA

Dipublikasikan 2026-07-03 · Terakhir diperbarui 2026-07-03

Klaim kepatuhan mudah dibuat dan mahal untuk dipercaya

Setiap halaman vendor di kategori ini menampilkan barisan logo yang sama. Perbedaan antara lencana dan kontrol adalah apakah Anda bisa memverifikasinya: baca laporan audit, tanda tangani DPA, telusuri alur data, pertanyakan cakupan auditor. Ketika platform yang dimaksud menghasilkan dan men-deploy software produksi, biaya mempercayai klaim yang tidak terverifikasi bukanlah hal abstrak — itu adalah temuan audit Anda sendiri setahun kemudian.

Posisi Ciao sederhana: dokumentasi kepatuhan ada untuk dibaca. Halaman ini mendaftar apa yang tersedia hari ini, jalur apa yang mencakup setiap regulasi yang mungkin disebut tinjauan Anda, dan langkah persis yang memverifikasi setiap itemnya. Di mana sesuatu ditangani secara kontraktual, bukan lewat sertifikasi, halaman ini menyatakannya secara terang-terangan.

Sebuah tes yang berguna untuk vendor mana pun di kategori ini: tanyakan di mana setiap klaim kepatuhan tertulis, siapa yang mengauditnya, dan apa yang terjadi jika ternyata salah. Klaim yang didukung laporan audit punya penulis dan metode. Klaim yang didukung lencana punya departemen grafis. Tinjauan Anda layak mendapatkan yang pertama, dan halaman ini disusun agar Anda bisa menuntutnya.

Apa yang tersedia hari ini

Setiap item di bawah ini adalah dokumen atau kontrol yang bisa didapatkan dan diperiksa tim Anda:

  • SOC 2 Type II — Laporan SOC 2 Type II tersedia di bawah NDA — audit independen atas kontrol yang beroperasi selama suatu periode, bukan penilaian mandiri.
  • Data Processing Agreement GDPR — DPA yang mencakup kewajiban prosesor, komitmen penanganan data, dan syarat subprocessor, tersedia untuk tinjauan legal selama procurement.
  • Kontrak model tanpa retensi — Inferensi berjalan di bawah kontrak model tanpa retensi, dan kode pelanggan tidak digunakan untuk melatih model — komitmen yang pertama kali ditanyakan tinjauan privasi.
  • Jejak audit append-only — Prompt, merge, deploy, dan aksi admin dicatat secara append-only, memberi audit internal riwayat setiap perubahan yang bisa direkonstruksi.
  • Kontrol akses — SSO via SAML dan OIDC, MFA opsional, dan kontrol akses berbasis peran — kontrol manajemen akses yang diwajibkan sebagian besar kerangka kerja bagi seorang prosesor.
  • Pilihan deployment — Deploy ke cloud Ciao, akun AWS, Azure, atau GCP Anda sendiri, VPC privat, atau on-prem di bawah syarat terpisah — yang memungkinkan program yang sensitif terhadap residensi menjaga data tetap di tempat yang diwajibkan kewajiban mereka.

Jalur PDPA dan CCPA

Kewajiban PDPA dan CCPA dipenuhi melalui tulang punggung kontraktual yang sama seperti GDPR: komitmen penanganan data, retensi, dan subprocessor dari DPA, ditambah kontrak model tanpa retensi platform dan komitmen bahwa kode pelanggan tidak digunakan untuk pelatihan. Penasihat hukum Anda memetakan komitmen itu ke kewajiban spesifik yang dipikul bisnis Anda — Ciao menyediakan artefak dan jawaban, bukan nasihat hukum.

Jika program Anda mencakup beberapa yurisdiksi, angkat itu selama procurement. Deployment ke akun cloud Anda sendiri atau VPC privat sering menyederhanakan analisisnya, karena aplikasi dan datanya tetap di dalam infrastruktur yang sudah Anda kelola.

Bagaimana menjalankan tinjauan kepatuhan Ciao

  1. 1. Minta kumpulan dokumen

    Minta security pack melalui halaman kontak. Ini adalah indeks untuk semua hal lain di daftar ini.

  2. 2. Tanda tangani NDA, baca laporan SOC 2

    Laporan Type II menunjukkan kontrol mana yang diaudit, selama periode apa, dan apa yang ditemukan auditor. Baca bagian cakupan (scope) terlebih dahulu.

  3. 3. Tinjau DPA

    Tim legal meninjau kewajiban prosesor, syarat penanganan data, dan komitmen subprocessor. Redline dan pertanyaan disampaikan ke tim enterprise.

  4. 4. Petakan kontrol ke kerangka kerja Anda

    Cocokkan bukti jejak audit, kontrol akses, dan penanganan data dengan persyaratan di kerangka kerja kepatuhan Anda sendiri — tabel di bawah adalah indeks awal.

  5. 5. Konfirmasi postur deployment

    Putuskan apakah cloud Ciao, akun cloud Anda sendiri, VPC privat, atau on-prem cocok dengan kewajiban Anda, dan catat keputusan itu bersama penilaian Anda.

Kerangka kerja demi kerangka kerja

Kerangka kerjaApa yang disediakan CiaoCara memverifikasi
SOC 2 Type IILaporan audit independenMinta di bawah NDA melalui /contact
GDPRData Processing Agreement, kontrak model tanpa retensi, tidak ada pelatihan pada kode pelangganTinjauan legal atas DPA selama procurement
CCPAKomitmen penanganan data kontraktual melalui DPA dan syarat layananPetakan syarat DPA ke kewajiban CCPA Anda bersama penasihat hukum
PDPAJalur kontraktual yang sama: komitmen DPA ditambah syarat penanganan dataPetakan syarat DPA ke kewajiban PDPA Anda bersama penasihat hukum
HIPAATidak diklaim. Tim kesehatan menggunakan Ciao untuk alur kerja operasionalDiskusikan beban kerja spesifik Anda dengan tim enterprise

Catatan verifikasi

Tidak ada satu pun di halaman ini yang membutuhkan kepercayaan pada pemasaran. Laporan SOC 2 Type II tersedia di bawah NDA; security pack dan DPA tersedia atas permintaan melalui halaman kontak; dan kontrol platform yang dideskripsikan dokumen-dokumen itu — jejak audit, kontrol akses, merge yang diatur governance-nya — bisa didemonstrasikan secara langsung selama evaluasi Anda. Jika klaim yang Anda butuhkan tidak ada di halaman ini, mintalah secara tertulis, jangan berasumsi.

Dua saran praktis dari tinjauan yang berjalan lancar. Pertama, tanda tangani NDA lebih awal — itu adalah gerbang di depan dokumen yang paling berguna, dan menyelesaikannya di minggu pertama memungkinkan keamanan dan legal bekerja secara paralel. Kedua, kirim spreadsheet pemetaan kontrol Anda bersamaan dengan kuesioner, bukan setelahnya, sehingga jawaban ditulis terhadap kerangka kerja yang benar-benar dipakai komite Anda untuk menilai.

Pertanyaan yang sering diajukan

Apakah Ciao bersertifikat ISO 27001?

SOC 2 Type II adalah audit independen yang disediakan Ciao saat ini, dengan laporan tersedia di bawah NDA. Jika kerangka kerja Anda membutuhkan sertifikasi lain atau pemetaan kontrol, angkat itu dengan tim enterprise selama procurement, jangan berasumsi ekuivalensinya.

Apakah Ciao mendukung beban kerja yang tunduk pada HIPAA?

Ciao tidak mengklaim kepatuhan HIPAA. Organisasi kesehatan menggunakan Ciao untuk alur kerja operasional, dan beban kerja yang melibatkan data kesehatan yang diregulasi sebaiknya didiskusikan secara eksplisit dengan tim enterprise sebelum pembangunan apa pun dimulai.

Bisakah kami membagikan laporan SOC 2 kepada auditor internal kami?

Laporannya disediakan di bawah NDA, dan syarat NDA mengatur siapa yang boleh membacanya. Sebagian besar tinjauan mencakup staf keamanan, legal, dan audit yang membutuhkannya — konfirmasi cakupan distribusinya saat Anda meminta laporan tersebut.

Apakah Ciao akan menandatangani DPA kami, bukan DPA mereka sendiri?

Ciao menyediakan DPA GDPR untuk ditinjau, dan pertanyaan legal atau redline ditangani selama procurement. Bawa dokumen Anda ke tim enterprise dan mereka akan memberi tahu Anda dengan jelas apa yang bisa dinegosiasikan untuk ukuran perjanjian Anda.

Di mana kami bisa melihat daftar subprocessor terkini?

Informasi subprocessor adalah bagian dari tinjauan DPA dan security pack. Minta daftar terkini melalui halaman kontak — itu adalah dokumen untuk dibaca, bukan klaim yang diambil dari halaman web yang bisa kedaluwarsa.

Halaman terkait

Dapatkan security pack.

Kepatuhan: SOC 2, GDPR, PDPA, CCPA | Ciao