Enterprise
Documentação de conformidade e como a verificar
Relatórios SOC 2 Type II sob NDA, um DPA de GDPR, e uma via contratual clara para PDPA e CCPA — com passos de verificação em vez de selos.
A postura de conformidade do Ciao assenta em documentos verificáveis: relatórios SOC 2 Type II disponíveis sob NDA, um Acordo de Processamento de Dados (DPA) de GDPR, e compromissos contratuais de tratamento de dados — contratos de modelo com retenção zero e nenhum treino sobre código do cliente — que apoiam as obrigações de PDPA e CCPA. Ao contrário de fornecedores que publicam paredes de selos, o Ciao remete cada afirmação de conformidade para um documento que as suas equipas jurídica e de segurança conseguem realmente ler e verificar.
Publicado 2026-07-03 · Última atualização 2026-07-03
Afirmações de conformidade são fáceis de fazer e caras de confiar
Todas as páginas de fornecedores nesta categoria mostram a mesma fiada de logótipos. A diferença entre um selo e um controlo está em conseguir verificá-lo: ler o relatório de auditoria, assinar o DPA, seguir o rasto de um fluxo de dados, questionar o âmbito do auditor. Quando a plataforma em causa gera e implementa software de produção, o custo de confiar numa afirmação não verificada não é abstrato — é o resultado da sua própria auditoria um ano depois.
A posição do Ciao é simples: a documentação de conformidade existe para ser lida. Esta página lista o que está disponível hoje, que via cobre cada regulamento que a sua revisão deve nomear, e o passo exato que verifica cada item. Onde algo é tratado contratualmente em vez de por certificação, a página diz-o claramente.
Um teste útil para qualquer fornecedor nesta categoria: pergunte onde cada afirmação de conformidade está escrita, quem a auditou, e o que acontece se se revelar errada. Uma afirmação apoiada por um relatório de auditoria tem um autor e um método. Uma afirmação apoiada por um selo tem um departamento de design gráfico. A sua revisão merece o primeiro caso, e esta página está organizada para que o possa exigir.
O que está disponível hoje
Cada item abaixo é um documento ou controlo que a sua equipa pode obter e verificar:
- SOC 2 Type II — Os relatórios SOC 2 Type II estão disponíveis sob NDA — uma auditoria independente de controlos a operar ao longo de um período, não uma autoavaliação.
- Acordo de Processamento de Dados de GDPR — Um DPA que cobre as obrigações do subcontratante, compromissos de tratamento de dados e termos de subcontratantes, disponível para revisão jurídica durante as compras.
- Contratos de modelo com retenção zero — A inferência decorre sob contratos de modelo com retenção zero, e o código do cliente não é usado para treinar modelos — os compromissos que as revisões de privacidade perguntam primeiro.
- Registo de auditoria apenas de acréscimo — Pedidos, merges, deploys e ações administrativas são registados apenas por acréscimo, dando à auditoria interna um histórico reconstruível de cada alteração.
- Controlos de acesso — SSO via SAML e OIDC, MFA opcional e controlo de acesso baseado em funções — os controlos de gestão de acesso que a maioria dos frameworks exige de um subcontratante.
- Escolha de implementação — Implemente na nuvem Ciao, na sua própria conta AWS, Azure ou GCP, numa VPC privada, ou on-premise sob termos separados — o que permite que programas sensíveis à residência de dados mantenham os dados onde as suas obrigações exigem.
A via de PDPA e CCPA
As obrigações de PDPA e CCPA são cumpridas através do mesmo eixo contratual que o GDPR: os compromissos de tratamento de dados, retenção e subcontratantes do DPA, mais os contratos de modelo com retenção zero da plataforma e o compromisso de que o código do cliente não é usado para treino. A sua assessoria jurídica mapeia esses compromissos face às obrigações específicas do seu negócio — o Ciao fornece os artefactos e as respostas, não aconselhamento jurídico.
Se o seu programa abranger várias jurisdições, levante essa questão durante as compras. A implementação na sua própria conta de nuvem ou VPC privada frequentemente simplifica a análise, porque a aplicação e os seus dados permanecem dentro de infraestrutura que já governa.
Como conduzir uma revisão de conformidade do Ciao
1. Peça o conjunto de documentos
Peça o dossiê de segurança através da página de contacto. É o índice para tudo o resto nesta lista.
2. Assine o NDA, leia o relatório SOC 2
O relatório Type II mostra que controlos foram auditados, durante que período, e o que o auditor encontrou. Leia primeiro a secção de âmbito.
3. Reveja o DPA
A equipa jurídica revê as obrigações do subcontratante, os termos de tratamento de dados e os compromissos de subcontratantes. As redlines e perguntas vão para a equipa enterprise.
4. Mapeie os controlos face ao seu framework
Faça corresponder as evidências de registo de auditoria, controlo de acesso e tratamento de dados aos requisitos do seu próprio framework de conformidade — a tabela abaixo é um índice de partida.
5. Confirme a postura de implementação
Decida se a nuvem Ciao, a sua própria conta de nuvem, uma VPC privada ou on-premise se adequa às suas obrigações, e registe a decisão juntamente com a sua avaliação.
Framework a framework
| Framework | O que o Ciao fornece | Como verificar |
|---|---|---|
| SOC 2 Type II | Relatórios de auditoria independentes | Pedir sob NDA através de /contact |
| GDPR | Acordo de Processamento de Dados, contratos de modelo com retenção zero, sem treino sobre código do cliente | Revisão jurídica do DPA durante as compras |
| CCPA | Compromissos contratuais de tratamento de dados através do DPA e dos termos de serviço | Mapear os termos do DPA face às suas obrigações de CCPA com a assessoria jurídica |
| PDPA | A mesma via contratual: compromissos do DPA mais termos de tratamento de dados | Mapear os termos do DPA face às suas obrigações de PDPA com a assessoria jurídica |
| HIPAA | Não reivindicado. As equipas de saúde usam o Ciao para fluxos de trabalho operacionais | Discuta a sua carga de trabalho específica com a equipa enterprise |
Notas de verificação
Nada nesta página exige confiança em marketing. Os relatórios SOC 2 Type II estão disponíveis sob NDA; o dossiê de segurança e o DPA estão disponíveis a pedido através da página de contacto; e os controlos da plataforma que os documentos descrevem — registo de auditoria, controlo de acesso, merges governados — podem ser demonstrados ao vivo durante a sua avaliação. Se uma afirmação de que precisa não estiver nesta página, peça-a por escrito em vez de a presumir.
Duas sugestões práticas de revisões que correm bem. Primeiro, assine o NDA cedo — é a porta à frente dos documentos mais úteis, e ultrapassá-la na primeira semana permite que a segurança e a área jurídica trabalhem em paralelo. Segundo, envie a sua folha de cálculo de mapeamento de controlos junto com o questionário em vez de depois, para que as respostas sejam escritas face ao framework com que o seu comité realmente pontua.
Perguntas frequentes
O Ciao é certificado em ISO 27001?
O SOC 2 Type II é a auditoria independente que o Ciao fornece hoje, com relatórios disponíveis sob NDA. Se o seu framework exigir outras certificações ou um mapeamento de controlos, levante a questão com a equipa enterprise durante as compras em vez de presumir equivalência.
O Ciao suporta cargas de trabalho abrangidas pela HIPAA?
O Ciao não reivindica conformidade com a HIPAA. As organizações de saúde usam o Ciao para fluxos de trabalho operacionais, e cargas de trabalho que envolvam dados de saúde regulados devem ser discutidas explicitamente com a equipa enterprise antes de qualquer construção começar.
Podemos partilhar o relatório SOC 2 com os nossos auditores internos?
O relatório é fornecido sob NDA, e os termos do NDA regem quem pode lê-lo. A maioria das revisões abrange o pessoal de segurança, jurídico e auditoria que precisa dele — confirme o âmbito de distribuição quando pedir o relatório.
O Ciao assina o nosso DPA em vez do seu próprio?
O Ciao fornece um DPA de GDPR para revisão, e as perguntas jurídicas ou redlines são tratadas durante as compras. Leve o seu documento à equipa enterprise e eles dir-lhe-ão claramente o que é negociável para a dimensão do seu contrato.
Onde podemos ver a lista atual de subcontratantes?
A informação sobre subcontratantes faz parte da revisão do DPA e do dossiê de segurança. Peça a lista atual através da página de contacto — é um documento para ler, não uma afirmação a retirar de uma página que pode ficar desatualizada.