Enterprise
SOC 2 Type II presso Ciao
Prove di audit indipendenti per la tua revisione di sicurezza — report disponibili sotto NDA, con i controlli della piattaforma dietro di essi dimostrabili dal vivo.
SOC 2 Type II è un audit indipendente dei controlli di un fornitore operativi in un periodo di tempo, non uno snapshot puntuale. Ciao rende disponibili i report SOC 2 Type II sotto NDA, così i revisori di sicurezza leggono i risultati reali dell'auditor e l'ambito piuttosto che un riassunto di marketing. A differenza delle attestazioni a muro di badge, il report stesso è la dichiarazione autorevole di cosa è stato sottoposto ad audit e come si sono comportati i controlli.
Pubblicato 2026-07-03 · Ultimo aggiornamento 2026-07-03
Perché Type II è il report che vale la pena leggere
Un report SOC 2 Type I descrive i controlli come progettati in un singolo giorno. Un report Type II verifica se quei controlli hanno effettivamente operato durante un periodo di audit — che è la domanda a cui la tua valutazione del rischio sta realmente chiedendo. Per una piattaforma che genera, testa e distribuisce software di produzione, l'efficacia operativa conta più dell'intento di design: un controllo di gestione dei cambiamenti che esiste sulla carta ma viene saltato sotto pressione di scadenza è esattamente ciò che l'audit Type II è costruito per far emergere.
Ciao fornisce report SOC 2 Type II sotto NDA. Il passaggio dell'NDA è standard per questa classe di documenti e lavora a tuo favore: significa che ricevi il report completo — ambito, test dell'auditor, risultati — piuttosto che un riassunto pubblico tagliato per il marketing.
C'è un beneficio procedurale che vale la pena nominare, anche. Poiché il report è un artefatto standard, il tuo team può revisionare Ciao con lo stesso metro che usa per qualsiasi responsabile del trattamento: nessuna eccezione speciale per l'AI, nessun framework di valutazione su misura — la stessa classe di documento, la stessa valutazione, lo stesso standard di prova.
Cosa dà il report ai tuoi revisori
- Prove indipendenti — Il report è prodotto da un auditor indipendente, così la tua valutazione non si basa sull'autovalutazione del fornitore.
- Una dichiarazione esplicita dell'ambito — Il report dichiara quali sistemi, criteri e periodo sono stati sottoposti ad audit. Leggi prima questa sezione — è la risposta autorevole a 'cosa copre realmente il vostro SOC 2?'.
- Descrizioni dei controlli e risultati dei test — Per ogni controllo, i test e i risultati dell'auditor sono registrati, il che permette al tuo team di pesare le prove invece di accettare un badge di superato/fallito.
- Una base per le risposte al questionario — Le risposte al questionario di sicurezza di Ciao sono radicate nel report e nel security pack, così le risposte scritte possono essere verificate contro prove sottoposte ad audit.
Come si relazionano i controlli sottoposti ad audit alla piattaforma che valuterai
Le famiglie di controlli che una revisione SOC 2 esamina sono visibili nel prodotto stesso. Identità e accesso: SSO tramite SAML e OIDC, MFA opzionale e controllo degli accessi basato sui ruoli. Gestione dei cambiamenti: Guardrails rileva le modifiche rischiose, applica policy in linguaggio semplice, registra la revisione umana e lascia un registro di controllo dietro ogni merge. Monitoraggio e operazioni: QA esegue smoke gate prima della pubblicazione e controlli di produzione dopo, mentre Doctor — un AI SRE in sola lettura — sonda l'applicazione live, il DNS e la CDN.
Questa mappatura è contesto, non un sostituto del report. Il report stesso è la dichiarazione autorevole di ambito e risultati dell'audit; tratta qualsiasi riassunto su pagina web, incluso questo, come un indice al documento reale.
Usa la mappatura come useresti una mappa del sito: dice ai revisori dove guardare nel prodotto quando una descrizione di controllo nel report sembra astratta. Leggere il report con il prodotto aperto trasforma il linguaggio dell'audit in comportamento osservabile, il che è la via più veloce verso una fiducia giustificata.
Come richiedere il report
1. Contatta il team enterprise
Usa la pagina dei contatti e dichiara che la tua revisione di sicurezza ha bisogno del report SOC 2 Type II. Un contatto dedicato prende in carico da lì.
2. Firma l'NDA
Un passaggio standard per questa classe di documenti. Conferma a questo punto chi dalla tua parte può leggere il report, così la distribuzione è stabilita prima della consegna.
3. Ricevi e revisiona
Leggi prima l'ambito, poi i test e i risultati dell'auditor. Invia domande di nuovo tramite il tuo contatto — domande in linguaggio da auditor sono attese, non un'imposizione.
4. Abbinalo a uno sguardo dal vivo
Chiedi di vedere i controlli che il report descrive operare nel prodotto: un merge governato con revisione umana registrata, il registro di controllo append-only, risultati di sicurezza confermati contro un'app live.
Cosa controllano tipicamente i revisori, e dove verificarlo
| I revisori controllano tipicamente | Dove vive presso Ciao | Come verificarlo |
|---|---|---|
| Gestione degli accessi | SSO tramite SAML e OIDC, MFA opzionale, RBAC | Report sotto NDA; dimostrazione dell'identità |
| Gestione dei cambiamenti | Policy Guardrails, revisione umana registrata, registro di controllo dietro ogni merge | Report sotto NDA; demo dal vivo di un merge governato |
| Monitoraggio del sistema | Controlli di produzione QA; Doctor che sonda l'app live, il DNS e la CDN | Report sotto NDA; dimostrazione dal vivo |
| Gestione dei dati | Nessun addestramento sul codice del cliente; contratti modello a conservazione zero | DPA e termini contrattuali |
| Prove di audit | Registro append-only su prompt, merge, deploy, azioni amministrative | Ricostruzione di un campione durante la valutazione |
Oltre il report
Un report Type II copre il suo periodo di audit; il tuo rischio non si ferma alla data di fine del periodo. Due cose colmano il divario. Primo, il security pack — disponibile su richiesta tramite la pagina dei contatti — documenta l'architettura e la gestione dei dati attuali. Secondo, i controlli stessi fanno parte del prodotto, così una valutazione può vederli operare oggi invece di basarsi solo su come hanno operato durante la finestra sottoposta ad audit.
Se il tuo processo di rischio fornitore rivaluta annualmente, il ciclo annuale qui è semplice: richiedi il report attuale, confronta la dichiarazione dell'ambito con quella dell'anno scorso, e riesegui i controlli dal vivo che il tuo team ha registrato durante la prima valutazione. Le revisioni diventano più economiche a ogni ciclo perché la traccia di prove è già stabilita.
Domande frequenti
Qual è la differenza tra SOC 2 Type I e Type II?
Type I valuta se i controlli sono progettati adeguatamente in un momento specifico. Type II verifica se hanno operato efficacemente in un periodo. Ciao fornisce report Type II sotto NDA, che è la prova più forte per le decisioni di rischio fornitore.
Quali criteri dei trust services sono nell'ambito?
La sezione sull'ambito del report è la risposta autorevole, ed è esattamente perché il report completo viene condiviso sotto NDA piuttosto che riassunto pubblicamente. Richiedi il report e leggi la dichiarazione dell'ambito prima di valutare.
Possiamo distribuire il report ai nostri team di audit interno e legale?
La distribuzione è governata dai termini dell'NDA. Nomina i team che hanno bisogno di accesso quando richiedi il report così l'ambito della distribuzione è concordato in anticipo.
Quanto è attuale il report che riceveremmo?
Ricevi il report attuale, e la sua copertina dichiara il periodo di audit che copre. Se la tua revisione ha requisiti di attualità, dichiarali quando richiedi — otterrai una risposta diretta sul periodo invece di una rassicurazione vaga.
È disponibile una lettera ponte per il divario dopo il periodo di audit?
Sollevalo quando richiedi il report. Le domande sulla copertura del divario sono una parte normale della revisione, e il team enterprise ti dirà cosa è disponibile per il periodo attuale invece di lasciarlo ambiguo.