Enterprise

Documentação de conformidade e como a verificar

Relatórios SOC 2 Type II sob NDA, um DPA de GDPR, e uma via contratual clara para PDPA e CCPA — com passos de verificação em vez de selos.

A postura de conformidade do Ciao assenta em documentos verificáveis: relatórios SOC 2 Type II disponíveis sob NDA, um Acordo de Processamento de Dados (DPA) de GDPR, e compromissos contratuais de tratamento de dados — contratos de modelo com retenção zero e nenhum treino sobre código do cliente — que apoiam as obrigações de PDPA e CCPA. Ao contrário de fornecedores que publicam paredes de selos, o Ciao remete cada afirmação de conformidade para um documento que as suas equipas jurídica e de segurança conseguem realmente ler e verificar.

Ideal paraRevisão de conformidade e privacidadeQuestionários de risco de fornecedorAvaliação jurídica e do DPA

Publicado 2026-07-03 · Última atualização 2026-07-03

Afirmações de conformidade são fáceis de fazer e caras de confiar

Todas as páginas de fornecedores nesta categoria mostram a mesma fiada de logótipos. A diferença entre um selo e um controlo está em conseguir verificá-lo: ler o relatório de auditoria, assinar o DPA, seguir o rasto de um fluxo de dados, questionar o âmbito do auditor. Quando a plataforma em causa gera e implementa software de produção, o custo de confiar numa afirmação não verificada não é abstrato — é o resultado da sua própria auditoria um ano depois.

A posição do Ciao é simples: a documentação de conformidade existe para ser lida. Esta página lista o que está disponível hoje, que via cobre cada regulamento que a sua revisão deve nomear, e o passo exato que verifica cada item. Onde algo é tratado contratualmente em vez de por certificação, a página diz-o claramente.

Um teste útil para qualquer fornecedor nesta categoria: pergunte onde cada afirmação de conformidade está escrita, quem a auditou, e o que acontece se se revelar errada. Uma afirmação apoiada por um relatório de auditoria tem um autor e um método. Uma afirmação apoiada por um selo tem um departamento de design gráfico. A sua revisão merece o primeiro caso, e esta página está organizada para que o possa exigir.

O que está disponível hoje

Cada item abaixo é um documento ou controlo que a sua equipa pode obter e verificar:

  • SOC 2 Type II — Os relatórios SOC 2 Type II estão disponíveis sob NDA — uma auditoria independente de controlos a operar ao longo de um período, não uma autoavaliação.
  • Acordo de Processamento de Dados de GDPR — Um DPA que cobre as obrigações do subcontratante, compromissos de tratamento de dados e termos de subcontratantes, disponível para revisão jurídica durante as compras.
  • Contratos de modelo com retenção zero — A inferência decorre sob contratos de modelo com retenção zero, e o código do cliente não é usado para treinar modelos — os compromissos que as revisões de privacidade perguntam primeiro.
  • Registo de auditoria apenas de acréscimo — Pedidos, merges, deploys e ações administrativas são registados apenas por acréscimo, dando à auditoria interna um histórico reconstruível de cada alteração.
  • Controlos de acesso — SSO via SAML e OIDC, MFA opcional e controlo de acesso baseado em funções — os controlos de gestão de acesso que a maioria dos frameworks exige de um subcontratante.
  • Escolha de implementação — Implemente na nuvem Ciao, na sua própria conta AWS, Azure ou GCP, numa VPC privada, ou on-premise sob termos separados — o que permite que programas sensíveis à residência de dados mantenham os dados onde as suas obrigações exigem.

A via de PDPA e CCPA

As obrigações de PDPA e CCPA são cumpridas através do mesmo eixo contratual que o GDPR: os compromissos de tratamento de dados, retenção e subcontratantes do DPA, mais os contratos de modelo com retenção zero da plataforma e o compromisso de que o código do cliente não é usado para treino. A sua assessoria jurídica mapeia esses compromissos face às obrigações específicas do seu negócio — o Ciao fornece os artefactos e as respostas, não aconselhamento jurídico.

Se o seu programa abranger várias jurisdições, levante essa questão durante as compras. A implementação na sua própria conta de nuvem ou VPC privada frequentemente simplifica a análise, porque a aplicação e os seus dados permanecem dentro de infraestrutura que já governa.

Como conduzir uma revisão de conformidade do Ciao

  1. 1. Peça o conjunto de documentos

    Peça o dossiê de segurança através da página de contacto. É o índice para tudo o resto nesta lista.

  2. 2. Assine o NDA, leia o relatório SOC 2

    O relatório Type II mostra que controlos foram auditados, durante que período, e o que o auditor encontrou. Leia primeiro a secção de âmbito.

  3. 3. Reveja o DPA

    A equipa jurídica revê as obrigações do subcontratante, os termos de tratamento de dados e os compromissos de subcontratantes. As redlines e perguntas vão para a equipa enterprise.

  4. 4. Mapeie os controlos face ao seu framework

    Faça corresponder as evidências de registo de auditoria, controlo de acesso e tratamento de dados aos requisitos do seu próprio framework de conformidade — a tabela abaixo é um índice de partida.

  5. 5. Confirme a postura de implementação

    Decida se a nuvem Ciao, a sua própria conta de nuvem, uma VPC privada ou on-premise se adequa às suas obrigações, e registe a decisão juntamente com a sua avaliação.

Framework a framework

FrameworkO que o Ciao forneceComo verificar
SOC 2 Type IIRelatórios de auditoria independentesPedir sob NDA através de /contact
GDPRAcordo de Processamento de Dados, contratos de modelo com retenção zero, sem treino sobre código do clienteRevisão jurídica do DPA durante as compras
CCPACompromissos contratuais de tratamento de dados através do DPA e dos termos de serviçoMapear os termos do DPA face às suas obrigações de CCPA com a assessoria jurídica
PDPAA mesma via contratual: compromissos do DPA mais termos de tratamento de dadosMapear os termos do DPA face às suas obrigações de PDPA com a assessoria jurídica
HIPAANão reivindicado. As equipas de saúde usam o Ciao para fluxos de trabalho operacionaisDiscuta a sua carga de trabalho específica com a equipa enterprise

Notas de verificação

Nada nesta página exige confiança em marketing. Os relatórios SOC 2 Type II estão disponíveis sob NDA; o dossiê de segurança e o DPA estão disponíveis a pedido através da página de contacto; e os controlos da plataforma que os documentos descrevem — registo de auditoria, controlo de acesso, merges governados — podem ser demonstrados ao vivo durante a sua avaliação. Se uma afirmação de que precisa não estiver nesta página, peça-a por escrito em vez de a presumir.

Duas sugestões práticas de revisões que correm bem. Primeiro, assine o NDA cedo — é a porta à frente dos documentos mais úteis, e ultrapassá-la na primeira semana permite que a segurança e a área jurídica trabalhem em paralelo. Segundo, envie a sua folha de cálculo de mapeamento de controlos junto com o questionário em vez de depois, para que as respostas sejam escritas face ao framework com que o seu comité realmente pontua.

Perguntas frequentes

O Ciao é certificado em ISO 27001?

O SOC 2 Type II é a auditoria independente que o Ciao fornece hoje, com relatórios disponíveis sob NDA. Se o seu framework exigir outras certificações ou um mapeamento de controlos, levante a questão com a equipa enterprise durante as compras em vez de presumir equivalência.

O Ciao suporta cargas de trabalho abrangidas pela HIPAA?

O Ciao não reivindica conformidade com a HIPAA. As organizações de saúde usam o Ciao para fluxos de trabalho operacionais, e cargas de trabalho que envolvam dados de saúde regulados devem ser discutidas explicitamente com a equipa enterprise antes de qualquer construção começar.

Podemos partilhar o relatório SOC 2 com os nossos auditores internos?

O relatório é fornecido sob NDA, e os termos do NDA regem quem pode lê-lo. A maioria das revisões abrange o pessoal de segurança, jurídico e auditoria que precisa dele — confirme o âmbito de distribuição quando pedir o relatório.

O Ciao assina o nosso DPA em vez do seu próprio?

O Ciao fornece um DPA de GDPR para revisão, e as perguntas jurídicas ou redlines são tratadas durante as compras. Leve o seu documento à equipa enterprise e eles dir-lhe-ão claramente o que é negociável para a dimensão do seu contrato.

Onde podemos ver a lista atual de subcontratantes?

A informação sobre subcontratantes faz parte da revisão do DPA e do dossiê de segurança. Peça a lista atual através da página de contacto — é um documento para ler, não uma afirmação a retirar de uma página que pode ficar desatualizada.

Páginas relacionadas

Obtenha o pacote de segurança.

Conformidade: SOC 2, GDPR, PDPA, CCPA | Ciao