Enterprise
SOC 2 Type II bij Ciao
Onafhankelijk auditbewijs voor je securityreview — rapporten beschikbaar onder NDA, met de platformcontrols erachter live aan te tonen.
SOC 2 Type II is een onafhankelijke audit van de controls van een leverancier die over een periode functioneren, geen momentopname. Ciao stelt SOC 2 Type II-rapporten beschikbaar onder NDA, zodat security-reviewers de daadwerkelijke bevindingen en scope van de auditor lezen in plaats van een marketingsamenvatting. In tegenstelling tot badge-wall-attestaties is het rapport zelf de gezaghebbende verklaring van wat is geauditeerd en hoe de controls presteerden.
Gepubliceerd 2026-07-03 · Laatst bijgewerkt 2026-07-03
Waarom Type II het rapport is dat het waard is om te lezen
Een SOC 2 Type I-rapport beschrijft controls zoals ontworpen op één dag. Een Type II-rapport test of die controls daadwerkelijk functioneerden over een auditperiode — wat de vraag is die je risicobeoordeling eigenlijk stelt. Voor een platform dat productiesoftware genereert, test en deployt, telt operationele effectiviteit zwaarder dan ontwerpintentie: een wijzigingsbeheercontrol die op papier bestaat maar onder deadlinedruk wordt overgeslagen, is precies wat Type II-auditing bedoeld is om aan het licht te brengen.
Ciao levert SOC 2 Type II-rapporten onder NDA. De NDA-stap is standaard voor deze documentklasse en werkt in je voordeel: het betekent dat je het volledige rapport ontvangt — scope, testwerk van de auditor, resultaten — in plaats van een publieke samenvatting die voor marketing is ingekort.
Er is ook een procedureel voordeel het noemen waard. Omdat het rapport een standaardartefact is, kan je team Ciao beoordelen met dezelfde rubriek die het voor elke verwerker gebruikt: geen speciale AI-uitzondering, geen op maat gemaakt beoordelingsframework — dezelfde documentklasse, dezelfde scoring, dezelfde bewijslat.
Wat het rapport je reviewers geeft
- Onafhankelijk bewijs — Het rapport wordt geproduceerd door een onafhankelijke auditor, zodat je scoring niet rust op zelfbeoordeling door de leverancier.
- Een expliciete scope-verklaring — Het rapport stelt welke systemen, criteria en periode zijn geauditeerd. Lees deze sectie eerst — het is het gezaghebbende antwoord op 'wat dekt jullie SOC 2 eigenlijk?'.
- Controlbeschrijvingen en testresultaten — Voor elke control worden het testwerk en de resultaten van de auditor vastgelegd, waardoor je team bewijs kan afwegen in plaats van een pass/fail-badge te accepteren.
- Een basis voor vragenlijstantwoorden — De antwoorden van Ciao op security-vragenlijsten zijn gebaseerd op het rapport en het security pack, zodat schriftelijke antwoorden tegen geauditeerd bewijs kunnen worden gecontroleerd.
Hoe de geauditeerde controls zich verhouden tot het platform dat je zult evalueren
De controlfamilies die een SOC 2-review onderzoekt, zijn zichtbaar in het product zelf. Identiteit en toegang: SSO via SAML en OIDC, optionele MFA en rolgebaseerde toegangscontrole. Wijzigingsbeheer: Guardrails detecteert risicovolle wijzigingen, past plain-English-beleid toe, legt menselijke review vast en laat een audit trail achter bij elke merge. Monitoring en operaties: QA draait smoke gates vóór publicatie en productiechecks erna, terwijl Doctor — een read-only AI-SRE — de live applicatie, DNS en CDN onderzoekt.
Deze mapping is context, geen vervanging voor het rapport. Het rapport zelf is de gezaghebbende verklaring van auditscope en -resultaten; behandel elke webpaginasamenvatting, inclusief deze, als een index naar het echte document.
Gebruik de mapping zoals je een sitemap zou gebruiken: het vertelt reviewers waar ze in het product moeten kijken wanneer een controlbeschrijving in het rapport abstract aanvoelt. Het rapport lezen met het product open zet audittaal om in observeerbaar gedrag, wat de snelste route naar gerechtvaardigd vertrouwen is.
Hoe je het rapport opvraagt
1. Neem contact op met het enterprise-team
Gebruik de contactpagina en vermeld dat je securityreview het SOC 2 Type II-rapport nodig heeft. Een vast aanspreekpunt neemt het vanaf daar over.
2. Onderteken de NDA
Een standaardstap voor deze documentklasse. Bevestig op dit moment wie aan jouw kant het rapport mag lezen, zodat distributie is geregeld vóór levering.
3. Ontvang en beoordeel
Lees eerst de scope, dan het testwerk en de resultaten van de auditor. Stuur vragen terug via je aanspreekpunt — vragen in auditortaal zijn verwacht, geen opdringerigheid.
4. Combineer het met een live blik
Vraag om de controls die het rapport beschrijft in het product te zien draaien: een beheerde merge met vastgelegde menselijke review, de append-only audit trail, security-bevindingen bevestigd tegen een live app.
Wat reviewers doorgaans controleren, en waar je het verifieert
| Wat reviewers doorgaans controleren | Waar het bij Ciao leeft | Hoe je het verifieert |
|---|---|---|
| Toegangsbeheer | SSO via SAML en OIDC, optionele MFA, RBAC | Rapport onder NDA; identiteitsdoorloop |
| Wijzigingsbeheer | Guardrails-beleid, vastgelegde menselijke review, audit trail bij elke merge | Rapport onder NDA; live demo van een beheerde merge |
| Systeemmonitoring | QA-productiechecks; Doctor onderzoekt de live app, DNS en CDN | Rapport onder NDA; live demonstratie |
| Omgang met data | Geen training op klantcode; zero-retention modelcontracten | Verwerkersovereenkomst en contractvoorwaarden |
| Auditbewijs | Append-only trail over prompts, merges, deploys, admin-acties | Steekproefreconstructie tijdens evaluatie |
Verder dan het rapport
Een Type II-rapport dekt zijn auditperiode; je risico stopt niet op de einddatum van die periode. Twee dingen overbruggen de kloof. Ten eerste het security pack — op aanvraag beschikbaar via de contactpagina — dat huidige architectuur en gegevensverwerking documenteert. Ten tweede zijn de controls zelf onderdeel van het product, zodat een evaluatie kan zien hoe ze vandaag functioneren in plaats van alleen te vertrouwen op hoe ze functioneerden tijdens het geauditeerde venster.
Als je leveranciersrisicoproces jaarlijks herscoort, is de jaarlijkse lus hier eenvoudig: vraag het huidige rapport op, vergelijk de scope-verklaring met die van vorig jaar, en herhaal de live checks die je team tijdens de eerste evaluatie heeft vastgelegd. Reviews worden elke cyclus goedkoper omdat het bewijsspoor al is opgebouwd.
Veelgestelde vragen
Wat is het verschil tussen SOC 2 Type I en Type II?
Type I beoordeelt of controls op een moment in de tijd goed zijn ontworpen. Type II test of ze over een periode effectief hebben gefunctioneerd. Ciao levert Type II-rapporten onder NDA, wat het sterkere bewijs is voor leveranciersrisicobeslissingen.
Welke trust services criteria vallen binnen de scope?
De scope-sectie van het rapport is het gezaghebbende antwoord, en dat is precies waarom het volledige rapport onder NDA wordt gedeeld in plaats van publiek samengevat. Vraag het rapport op en lees de scope-verklaring voordat je scoort.
Kunnen we het rapport verspreiden naar onze interne audit- en juridische teams?
Distributie wordt geregeld door de voorwaarden van de NDA. Noem de teams die toegang nodig hebben wanneer je het rapport aanvraagt, zodat de distributiescope vooraf wordt afgesproken.
Hoe actueel is het rapport dat we zouden ontvangen?
Je ontvangt het huidige rapport, en de omslag vermeldt de auditperiode die het dekt. Als je review actualiteitseisen heeft, vermeld ze bij het aanvragen — je krijgt een direct antwoord over de periode in plaats van een vage geruststelling.
Is er een bridge letter beschikbaar voor de periode na de auditperiode?
Breng het ter sprake wanneer je het rapport aanvraagt. Vragen over kloofdekking zijn een normaal onderdeel van de review, en het enterprise-team vertelt je wat beschikbaar is voor de huidige periode in plaats van het vaag te laten.