Enterprise

Documentazione di conformità e come verificarla

Report SOC 2 Type II sotto NDA, un DPA GDPR, e un chiaro percorso contrattuale per PDPA e CCPA — con passaggi di verifica invece di badge.

La postura di conformità di Ciao poggia su documenti verificabili: report SOC 2 Type II disponibili sotto NDA, un Data Processing Agreement GDPR, e impegni contrattuali sulla gestione dei dati — contratti modello a conservazione zero e nessun addestramento sul codice del cliente — che supportano gli obblighi PDPA e CCPA. A differenza dei fornitori che pubblicano muri di badge, Ciao instrada ogni affermazione di conformità verso un documento che i tuoi team legale e di sicurezza possono davvero leggere e verificare.

Ideale perRevisione di conformità e privacyQuestionari di rischio fornitoreValutazione legale e DPA

Pubblicato 2026-07-03 · Ultimo aggiornamento 2026-07-03

Le affermazioni di conformità sono facili da fare e costose da credere

Ogni pagina fornitore in questa categoria mostra la stessa fila di loghi. La differenza tra un badge e un controllo è se puoi verificarlo: leggere il report di audit, firmare il DPA, tracciare un flusso di dati, mettere in discussione l'ambito del revisore. Quando la piattaforma in questione genera e distribuisce software di produzione, il costo di fidarsi di un'affermazione non verificata non è astratto — è il tuo stesso audit che trova qualcosa un anno dopo.

La posizione di Ciao è semplice: la documentazione di conformità esiste per essere letta. Questa pagina elenca cosa è disponibile oggi, quale percorso copre ciascuna normativa che la tua revisione probabilmente nominerà, e il passaggio esatto che verifica ogni elemento. Dove qualcosa viene gestito contrattualmente piuttosto che tramite certificazione, la pagina lo dice chiaramente.

Un test utile per qualsiasi fornitore in questa categoria: chiedi dove è scritta ogni affermazione di conformità, chi l'ha verificata, e cosa succede se risulta sbagliata. Un'affermazione supportata da un report di audit ha un autore e un metodo. Un'affermazione supportata da un badge ha un reparto grafico. La tua revisione merita la prima, e questa pagina è organizzata così puoi pretenderla.

Cosa è disponibile oggi

Ogni elemento qui sotto è un documento o controllo che il tuo team può ottenere e verificare:

  • SOC 2 Type II — I report SOC 2 Type II sono disponibili sotto NDA — un audit indipendente dei controlli operativi in un periodo, non un'autovalutazione.
  • Data Processing Agreement GDPR — Un DPA che copre gli obblighi del responsabile del trattamento, gli impegni sulla gestione dei dati e i termini per i subresponsabili, disponibile per la revisione legale durante il procurement.
  • Contratti modello a conservazione zero — L'inferenza gira sotto contratti modello a conservazione zero, e il codice del cliente non viene usato per addestrare i modelli — gli impegni di cui le revisioni sulla privacy chiedono per primi.
  • Registro di controllo append-only — Prompt, merge, deploy e azioni amministrative vengono registrati in modo append-only, dando all'audit interno una storia ricostruibile di ogni modifica.
  • Controlli di accesso — SSO tramite SAML e OIDC, MFA opzionale e controllo degli accessi basato sui ruoli — i controlli di gestione degli accessi che la maggior parte dei framework richiede a un responsabile del trattamento.
  • Scelta del deploy — Distribuisci sul cloud Ciao, sul tuo account AWS, Azure o GCP, in una VPC privata, o on-prem con termini separati — il che permette ai programmi sensibili alla residenza di mantenere i dati dove i loro obblighi lo richiedono.

Il percorso PDPA e CCPA

Gli obblighi PDPA e CCPA vengono soddisfatti attraverso la stessa spina dorsale contrattuale del GDPR: gli impegni del DPA su gestione dei dati, conservazione e subresponsabili, più i contratti modello a conservazione zero della piattaforma e l'impegno che il codice del cliente non viene usato per l'addestramento. Il tuo consulente legale mappa quegli impegni sugli obblighi specifici della tua attività — Ciao fornisce gli artefatti e le risposte, non consulenza legale.

Se il tuo programma copre più giurisdizioni, sollevalo durante il procurement. Il deploy nel tuo account cloud o in una VPC privata spesso semplifica l'analisi, perché l'applicazione e i suoi dati restano dentro un'infrastruttura che già governi.

Come condurre una revisione di conformità di Ciao

  1. 1. Richiedi il set di documenti

    Chiedi il security pack tramite la pagina dei contatti. È l'indice di tutto il resto in questo elenco.

  2. 2. Firma l'NDA, leggi il report SOC 2

    Il report Type II mostra quali controlli sono stati verificati, in quale periodo, e cosa ha trovato il revisore. Leggi prima la sezione sull'ambito.

  3. 3. Revisiona il DPA

    Il legale revisiona gli obblighi del responsabile del trattamento, i termini sulla gestione dei dati e gli impegni per i subresponsabili. Redline e domande vanno al team enterprise.

  4. 4. Mappa i controlli sul tuo framework

    Abbina le prove del registro di controllo, del controllo degli accessi e della gestione dei dati ai requisiti del tuo framework di conformità — la tabella sotto è un indice di partenza.

  5. 5. Conferma la configurazione di deploy

    Decidi se il cloud Ciao, il tuo account cloud, una VPC privata o l'on-prem si adatta ai tuoi obblighi, e registra la decisione con la tua valutazione.

Framework per framework

FrameworkCosa fornisce CiaoCome verificarlo
SOC 2 Type IIReport di audit indipendentiRichiedi sotto NDA tramite /contact
GDPRData Processing Agreement, contratti modello a conservazione zero, nessun addestramento sul codice del clienteRevisione legale del DPA durante il procurement
CCPAImpegni contrattuali sulla gestione dei dati tramite il DPA e i termini di servizioMappa i termini del DPA sui tuoi obblighi CCPA con un consulente
PDPAStesso percorso contrattuale: impegni del DPA più termini sulla gestione dei datiMappa i termini del DPA sui tuoi obblighi PDPA con un consulente
HIPAANon dichiarato. I team sanitari usano Ciao per workflow operativiDiscuti il tuo carico di lavoro specifico con il team enterprise

Note di verifica

Niente in questa pagina richiede fiducia nel marketing. I report SOC 2 Type II sono disponibili sotto NDA; il security pack e il DPA sono disponibili su richiesta tramite la pagina dei contatti; e i controlli della piattaforma che i documenti descrivono — registro di controllo, controllo degli accessi, merge governati — possono essere dimostrati dal vivo durante la tua valutazione. Se un'affermazione di cui hai bisogno non è in questa pagina, chiedila per iscritto invece di presumerla.

Due suggerimenti pratici da revisioni che vanno lisce. Primo, firma l'NDA presto — è il cancello davanti ai documenti più utili, e superarlo nella prima settimana permette a sicurezza e legale di lavorare in parallelo. Secondo, invia il tuo foglio di calcolo di mappatura dei controlli insieme al questionario piuttosto che dopo, così le risposte vengono scritte contro il framework con cui il tuo comitato effettivamente valuta.

Domande frequenti

Ciao è certificata ISO 27001?

SOC 2 Type II è l'audit indipendente che Ciao fornisce oggi, con report disponibili sotto NDA. Se il tuo framework richiede altre certificazioni o una mappatura dei controlli, sollevalo con il team enterprise durante il procurement invece di presumere un'equivalenza.

Ciao supporta carichi di lavoro soggetti a HIPAA?

Ciao non dichiara conformità HIPAA. Le organizzazioni sanitarie usano Ciao per workflow operativi, e i carichi di lavoro che coinvolgono dati sanitari regolamentati dovrebbero essere discussi esplicitamente con il team enterprise prima che inizi qualsiasi build.

Possiamo condividere il report SOC 2 con i nostri revisori interni?

Il report viene fornito sotto NDA, e i termini dell'NDA governano chi può leggerlo. La maggior parte delle revisioni copre il personale di sicurezza, legale e audit che ne ha bisogno — conferma l'ambito di distribuzione quando richiedi il report.

Ciao firmerà il nostro DPA invece del proprio?

Ciao fornisce un DPA GDPR per la revisione, e le domande legali o le redline vengono gestite durante il procurement. Porta la tua documentazione al team enterprise e ti diranno chiaramente cosa è negoziabile per la dimensione del tuo accordo.

Dove possiamo vedere l'elenco attuale dei subresponsabili?

Le informazioni sui subresponsabili fanno parte della revisione del DPA e del security pack. Richiedi l'elenco attuale tramite la pagina dei contatti — è un documento da leggere, non un'affermazione da prendere da una pagina web che potrebbe invecchiare.

Pagine correlate

Ottieni il security pack.

Conformità: SOC 2, GDPR, PDPA, CCPA | Ciao