Enterprise

SOC 2 Type II di Ciao

Bukti audit independen untuk tinjauan keamanan Anda — laporan tersedia di bawah NDA, dengan kontrol platform di baliknya bisa didemonstrasikan secara langsung.

SOC 2 Type II adalah audit independen atas kontrol vendor yang beroperasi selama suatu periode waktu, bukan snapshot pada satu titik waktu. Ciao menyediakan laporan SOC 2 Type II di bawah NDA, sehingga peninjau keamanan membaca temuan dan cakupan sesungguhnya dari auditor, bukan rangkuman pemasaran. Berbeda dari atestasi dinding lencana, laporannya sendiri adalah pernyataan otoritatif tentang apa yang diaudit dan bagaimana kontrolnya berkinerja.

Ideal untukPeninjau keamanan yang membaca bukti auditPenilaian risiko vendorPemetaan kepatuhan

Dipublikasikan 2026-07-03 · Terakhir diperbarui 2026-07-03

Kenapa Type II adalah laporan yang layak dibaca

Laporan SOC 2 Type I mendeskripsikan kontrol seperti yang dirancang pada satu hari tertentu. Laporan Type II menguji apakah kontrol itu benar-benar beroperasi selama suatu periode audit — yang justru menjadi pertanyaan sesungguhnya dari penilaian risiko Anda. Untuk platform yang menghasilkan, menguji, dan men-deploy software produksi, efektivitas operasional lebih penting daripada niat desain: kontrol manajemen perubahan yang ada di atas kertas tapi dilewati di bawah tekanan tenggat waktu adalah persis yang dibangun untuk diungkap oleh audit Type II.

Ciao menyediakan laporan SOC 2 Type II di bawah NDA. Langkah NDA adalah standar untuk kelas dokumen ini dan menguntungkan Anda: itu berarti Anda menerima laporan lengkap — cakupan, pengujian auditor, hasil — bukan rangkuman publik yang dipangkas untuk pemasaran.

Ada juga manfaat prosedural yang layak disebutkan. Karena laporannya adalah artefak standar, tim Anda bisa meninjau Ciao dengan rubrik yang sama yang dipakai untuk prosesor mana pun: tidak ada pengecualian khusus AI, tidak ada kerangka penilaian yang dibuat khusus — kelas dokumen yang sama, penilaian yang sama, standar bukti yang sama.

Apa yang diberikan laporan ini kepada peninjau Anda

  • Bukti independen — Laporannya dihasilkan oleh auditor independen, sehingga penilaian Anda tidak bergantung pada penilaian mandiri vendor.
  • Pernyataan cakupan yang eksplisit — Laporannya menyatakan sistem, kriteria, dan periode mana yang diaudit. Baca bagian ini terlebih dahulu — ini adalah jawaban otoritatif untuk 'apa sebenarnya yang dicakup SOC 2 Anda?'.
  • Deskripsi kontrol dan hasil pengujian — Untuk setiap kontrol, pengujian dan hasil auditor dicatat, yang memungkinkan tim Anda menimbang bukti alih-alih menerima lencana lulus/gagal.
  • Dasar untuk jawaban kuesioner — Jawaban kuesioner keamanan Ciao berpijak pada laporan dan security pack, sehingga jawaban tertulis bisa diperiksa terhadap bukti teraudit.

Bagaimana kontrol teraudit berhubungan dengan platform yang akan Anda evaluasi

Keluarga kontrol yang diperiksa tinjauan SOC 2 terlihat di produknya sendiri. Identitas dan akses: SSO via SAML dan OIDC, MFA opsional, dan kontrol akses berbasis peran. Manajemen perubahan: Guardrails mendeteksi perubahan berisiko, menerapkan kebijakan berbahasa sederhana, mencatat tinjauan manusia, dan meninggalkan jejak audit di balik setiap merge. Pemantauan dan operasi: QA menjalankan smoke gate sebelum publikasi dan pemeriksaan produksi sesudahnya, sementara Doctor — AI SRE read-only — memprobe aplikasi langsung, DNS, dan CDN.

Pemetaan ini adalah konteks, bukan pengganti laporannya. Laporannya sendiri adalah pernyataan otoritatif tentang cakupan dan hasil audit; perlakukan rangkuman halaman web mana pun, termasuk yang ini, sebagai indeks menuju dokumen sesungguhnya.

Gunakan pemetaan ini seperti Anda menggunakan peta situs: ini memberi tahu peninjau ke mana harus melihat di produknya ketika deskripsi kontrol di laporan terasa abstrak. Membaca laporan sambil membuka produknya mengubah bahasa audit menjadi perilaku yang bisa diamati, yang menjadi jalur tercepat menuju kepercayaan yang berdasar.

Cara meminta laporannya

  1. 1. Hubungi tim enterprise

    Gunakan halaman kontak dan nyatakan bahwa tinjauan keamanan Anda membutuhkan laporan SOC 2 Type II. Kontak bernama akan melanjutkan dari sana.

  2. 2. Tanda tangani NDA

    Langkah standar untuk kelas dokumen ini. Konfirmasi di titik ini siapa di pihak Anda yang boleh membaca laporannya, sehingga distribusinya selesai sebelum pengiriman.

  3. 3. Terima dan tinjau

    Baca cakupannya terlebih dahulu, lalu pengujian dan hasil auditor. Kirim pertanyaan kembali melalui kontak Anda — pertanyaan berbahasa auditor diharapkan, bukan pemaksaan.

  4. 4. Padukan dengan tinjauan langsung

    Minta untuk melihat kontrol yang dideskripsikan laporan beroperasi di produknya: sebuah merge yang diatur governance-nya dengan tinjauan manusia tercatat, jejak audit append-only, temuan keamanan yang dikonfirmasi terhadap aplikasi langsung.

Apa yang biasanya diperiksa peninjau, dan di mana memverifikasinya

Yang biasanya diperiksa peninjauDi mana ini ada di CiaoCara memverifikasi
Manajemen aksesSSO via SAML dan OIDC, MFA opsional, RBACLaporan di bawah NDA; walkthrough identitas
Manajemen perubahanKebijakan Guardrails, tinjauan manusia tercatat, jejak audit di balik setiap mergeLaporan di bawah NDA; demo merge yang diatur governance-nya secara langsung
Pemantauan sistemPemeriksaan produksi QA; Doctor memprobe aplikasi langsung, DNS, dan CDNLaporan di bawah NDA; demonstrasi langsung
Penanganan dataTidak ada pelatihan pada kode pelanggan; kontrak model tanpa retensiDPA dan syarat kontrak
Bukti auditJejak append-only mencakup prompt, merge, deploy, aksi adminRekonstruksi sampel selama evaluasi

Di luar laporannya

Laporan Type II mencakup periode auditnya; risiko Anda tidak berhenti pada tanggal akhir periode itu. Dua hal menjembatani celah itu. Pertama, security pack — tersedia atas permintaan melalui halaman kontak — mendokumentasikan arsitektur dan penanganan data saat ini. Kedua, kontrolnya sendiri adalah bagian dari produk, sehingga sebuah evaluasi bisa menyaksikannya beroperasi hari ini, bukan hanya bergantung pada bagaimana mereka beroperasi selama jendela yang diaudit.

Jika proses risiko vendor Anda menilai ulang setiap tahun, siklus tahunannya di sini sederhana: minta laporan terkini, bandingkan pernyataan cakupannya dengan tahun lalu, dan jalankan ulang pemeriksaan langsung yang dicatat tim Anda selama evaluasi pertama. Tinjauan menjadi lebih murah setiap siklus karena jejak buktinya sudah terbangun.

Pertanyaan yang sering diajukan

Apa bedanya SOC 2 Type I dan Type II?

Type I menilai apakah kontrolnya dirancang dengan tepat pada satu titik waktu. Type II menguji apakah kontrolnya beroperasi secara efektif selama suatu periode. Ciao menyediakan laporan Type II di bawah NDA, yang menjadi bukti lebih kuat untuk keputusan risiko vendor.

Kriteria trust services mana yang tercakup?

Bagian cakupan laporannya adalah jawaban otoritatif, dan itulah persisnya kenapa laporan lengkapnya dibagikan di bawah NDA, bukan dirangkum secara publik. Minta laporannya dan baca pernyataan cakupannya sebelum menilai.

Bisakah kami mendistribusikan laporannya ke tim audit internal dan legal kami?

Distribusinya diatur oleh syarat NDA. Sebutkan tim yang butuh akses saat Anda meminta laporannya sehingga cakupan distribusinya disepakati di awal.

Seberapa terkini laporan yang akan kami terima?

Anda menerima laporan terkini, dan sampulnya menyatakan periode audit yang dicakupnya. Jika tinjauan Anda punya persyaratan kebaruan, nyatakan itu saat meminta — Anda akan mendapat jawaban langsung tentang periodenya, bukan jaminan yang samar.

Apakah ada bridge letter untuk celah setelah periode audit?

Angkat itu saat Anda meminta laporannya. Pertanyaan cakupan celah adalah bagian normal dari tinjauan, dan tim enterprise akan memberi tahu Anda apa yang tersedia untuk periode saat ini, bukan membiarkannya ambigu.

Halaman terkait

Dapatkan security pack.

Laporan SOC 2 Type II di Bawah NDA | Ciao