エンタープライズ

コンプライアンス文書とその検証方法

NDAのもとでのSOC 2 Type IIレポート、GDPR DPA、そしてPDPAとCCPAのための明確な契約上の道筋 — バッジではなく検証手順とともに。

Ciaoのコンプライアンス体制は、検証可能な文書の上に成り立っています: NDAのもとで入手できるSOC 2 Type IIレポート、GDPRデータ処理契約(DPA)、そしてPDPAとCCPAの義務を支える契約上のデータ取り扱いコミットメント — データ保持ゼロのモデル契約と顧客コードでの学習なし。バッジの壁を公開するベンダーとは異なり、Ciaoはすべてのコンプライアンス主張を、法務・セキュリティチームが実際に読んで検証できる文書に結びつけます。

適した用途コンプライアンスとプライバシーレビューベンダーリスク質問票法務とDPA評価

公開日 2026-07-03 · 最終更新 2026-07-03

コンプライアンスの主張は、するのは簡単で、信じるのは高くつく

このカテゴリのすべてのベンダーページには同じロゴの列が並んでいます。バッジと統制の違いは、検証できるかどうかです: 監査レポートを読む、DPAに署名する、データフローを追跡する、監査人の範囲に疑問を呈する。問題のプラットフォームが本番ソフトウェアを生成しデプロイする場合、検証されていない主張を信じるコストは抽象的ではありません — 1年後に自社の監査が発見する事実になります。

Ciaoの立場は単純です: コンプライアンス文書は読まれるために存在します。このページは、今日入手できるもの、レビューが挙げそうな規制ごとに何が対応するか、そして各項目を検証する正確な手順を示します。何かが認証ではなく契約で扱われている場合、このページはそれを率直に示します。

このカテゴリのどのベンダーにも使える有用なテストがあります: 各コンプライアンス主張がどこに書かれているか、誰が監査したか、それが誤りだった場合に何が起こるかを尋ねてください。監査レポートに裏付けられた主張には著者と手法があります。バッジに裏付けられた主張にはグラフィック部門があります。あなたのレビューは前者に値し、このページはそれを要求できるように構成されています。

今日入手できるもの

以下の各項目は、チームが入手し確認できる文書または統制です。

  • SOC 2 Type II — SOC 2 Type IIレポートはNDAのもとで入手できます — 自己評価ではなく、期間にわたって機能している統制の独立監査です。
  • GDPRデータ処理契約 — プロセッサとしての義務、データ取り扱いコミットメント、サブプロセッサ条件をカバーするDPA。調達時の法務レビューに利用できます。
  • データ保持ゼロのモデル契約 — 推論はデータ保持ゼロのモデル契約のもとで実行され、顧客のコードはモデルの学習に使用されません — プライバシーレビューが最初に尋ねるコミットメントです。
  • 追記専用の監査証跡 — プロンプト、マージ、デプロイ、管理操作は追記専用で記録され、内部監査に再構築可能な変更履歴を提供します。
  • アクセス制御 — SAMLとOIDC経由のSSO、任意のMFA、ロールベースのアクセス制御 — ほとんどのフレームワークがプロセッサに要求するアクセス管理統制です。
  • デプロイの選択肢 — Ciaoクラウド、自社のAWS、Azure、GCPアカウント、プライベートVPC、または別条件のもとでのオンプレミスへのデプロイ — レジデンシーに敏感なプログラムが義務の要求する場所にデータを保つことを可能にします。

PDPAとCCPAへの道筋

PDPAとCCPAの義務は、GDPRと同じ契約上の背骨を通じて満たされます: DPAのデータ取り扱い、保持、サブプロセッサに関するコミットメント、そしてプラットフォームのデータ保持ゼロのモデル契約と顧客コードが学習に使われないというコミットメントです。あなたの顧問弁護士がこれらのコミットメントを事業が負う具体的な義務にマッピングします — Ciaoは法的助言ではなく、成果物と回答を提供します。

プログラムが複数の管轄をまたぐ場合は、調達時にそれを提起してください。自社のクラウドアカウントやプライベートVPCへのデプロイは、アプリケーションとそのデータがすでに統治しているインフラの中に留まるため、分析を単純化することがよくあります。

Ciaoのコンプライアンスレビューの進め方

  1. 1. 文書一式をリクエストする

    コンタクトページ経由でセキュリティパックをリクエストしてください。それは他のすべてへの索引です。

  2. 2. NDAに署名し、SOC 2レポートを読む

    Type IIレポートは、どの統制が、どの期間にわたって監査され、監査人が何を発見したかを示します。範囲のセクションを最初に読んでください。

  3. 3. DPAをレビューする

    法務がプロセッサの義務、データ取り扱い条件、サブプロセッサのコミットメントをレビューします。赤字修正や質問はエンタープライズチームに送られます。

  4. 4. 統制を自社のフレームワークにマッピングする

    監査証跡、アクセス制御、データ取り扱いの証拠を、自社のコンプライアンスフレームワークの要件に照合してください — 下の表は出発点の索引です。

  5. 5. デプロイ体制を確認する

    Ciaoクラウド、自社クラウドアカウント、プライベートVPC、オンプレミスのどれが義務に合うかを決め、その決定を評価とともに記録してください。

フレームワークごとに

フレームワークCiaoが提供するもの検証方法
SOC 2 Type II独立監査レポート/contact経由でNDAのもとでリクエスト
GDPRデータ処理契約、データ保持ゼロのモデル契約、顧客コードでの学習なし調達時のDPAの法務レビュー
CCPADPAとサービス条件を通じた契約上のデータ取り扱いコミットメント顧問弁護士とともにDPA条件をCCPA義務にマッピング
PDPA同じ契約上の道筋: DPAのコミットメントとデータ取り扱い条件顧問弁護士とともにDPA条件をPDPA義務にマッピング
HIPAA主張していません。ヘルスケアチームは業務ワークフローにCiaoを使用エンタープライズチームと具体的なワークロードについて相談

検証に関する注記

このページの内容はマーケティングへの信頼を必要としません。SOC 2 Type IIレポートはNDAのもとで入手でき、セキュリティパックとDPAはコンタクトページ経由でリクエストに応じて入手でき、これらの文書が説明するプラットフォームの統制 — 監査証跡、アクセス制御、統治されたマージ — は評価中にライブで実演できます。このページにない主張が必要な場合は、思い込むのではなく書面で求めてください。

順調に進むレビューからの実践的な提案が2つあります。第一に、早期にNDAに署名すること — 最も有用な文書の前にあるゲートであり、1週目にそれをクリアすることでセキュリティと法務が並行して作業できます。第二に、質問票と一緒にコントロールマッピングのスプレッドシートを送ること — 後からではなく — 回答が委員会が実際に採点するフレームワークに対して書かれるようにするためです。

よくある質問

CiaoはISO 27001認証を取得していますか?

SOC 2 Type IIは、Ciaoが今日提供する独立監査であり、レポートはNDAのもとで入手できます。フレームワークが他の認証やコントロールマッピングを要求する場合は、同等性を仮定せず、調達時にエンタープライズチームに提起してください。

CiaoはHIPAAの対象となるワークロードをサポートしますか?

CiaoはHIPAA準拠を主張していません。ヘルスケア組織は業務ワークフローにCiaoを使用しており、規制対象の健康データを含むワークロードは、ビルド開始前にエンタープライズチームと明示的に相談する必要があります。

SOC 2レポートを社内監査人と共有できますか?

レポートはNDAのもとで提供され、NDAの条件が誰が読めるかを規定します。ほとんどのレビューでは、必要とするセキュリティ、法務、監査スタッフをカバーします — レポートをリクエストする際に配布範囲を確認してください。

CiaoはCiao自身のものではなく、当社のDPAに署名しますか?

Ciaoはレビュー用のGDPR DPAを提供し、法的な質問や赤字修正は調達時に対応します。契約書をエンタープライズチームに持ち込めば、契約規模に応じて何が交渉可能かを率直に伝えてくれます。

現在のサブプロセッサ一覧はどこで確認できますか?

サブプロセッサ情報はDPAとセキュリティパックのレビューの一部です。コンタクトページ経由で現在の一覧をリクエストしてください — 古くなる可能性のあるウェブページからではなく、読むべき文書です。

関連ページ

セキュリティパックを入手する。

コンプライアンス: SOC 2、GDPR、PDPA、CCPA | Ciao