Enterprise

SOC 2 Type II no Ciao

Prova de auditoria independente para a sua revisão de segurança — relatórios disponíveis sob NDA, com os controlos da plataforma por trás deles demonstráveis ao vivo.

O SOC 2 Type II é uma auditoria independente aos controlos de um fornecedor a operar ao longo de um período de tempo, não um retrato pontual. O Ciao disponibiliza relatórios SOC 2 Type II sob NDA, para que os revisores de segurança leiam os resultados e o âmbito reais do auditor em vez de um resumo de marketing. Ao contrário dos atestados tipo 'parede de selos', o próprio relatório é a declaração autorizada do que foi auditado e de como os controlos tiveram desempenho.

Ideal paraRevisores de segurança a ler prova de auditoriaPontuação de risco de fornecedorMapeamento de conformidade

Publicado 2026-07-03 · Última atualização 2026-07-03

Porque é que o Type II é o relatório que vale a pena ler

Um relatório SOC 2 Type I descreve os controlos tal como estavam concebidos num único dia. Um relatório Type II testa se esses controlos operaram efetivamente ao longo de um período de auditoria — que é a pergunta que a sua avaliação de risco está realmente a fazer. Para uma plataforma que gera, testa e implementa software de produção, a eficácia operacional importa mais do que a intenção de conceção: um controlo de gestão de mudança que existe no papel mas é ignorado sob pressão de prazos é exatamente o que a auditoria Type II está construída para revelar.

O Ciao fornece relatórios SOC 2 Type II sob NDA. O passo do NDA é padrão para esta classe de documento e funciona a seu favor: significa que recebe o relatório completo — âmbito, testes do auditor, resultados — em vez de um resumo público reduzido para marketing.

Há também um benefício processual que vale a pena nomear. Como o relatório é um artefacto padrão, a sua equipa pode rever o Ciao com a mesma grelha que usa para qualquer subcontratante: nenhuma exceção especial para IA, nenhum framework de avaliação à medida — a mesma classe de documento, a mesma pontuação, a mesma fasquia de evidência.

O que o relatório dá aos seus revisores

  • Evidência independente — O relatório é produzido por um auditor independente, para que a sua pontuação não assente na autoavaliação do fornecedor.
  • Uma declaração de âmbito explícita — O relatório indica que sistemas, critérios e período foram auditados. Leia esta secção primeiro — é a resposta autorizada a 'o que é que o vosso SOC 2 realmente cobre?'.
  • Descrições de controlos e resultados de testes — Para cada controlo, os testes e resultados do auditor ficam registados, o que permite à sua equipa ponderar a evidência em vez de aceitar um selo de aprovado/reprovado.
  • Uma base para as respostas ao questionário — As respostas do Ciao ao questionário de segurança assentam no relatório e no dossiê de segurança, para que as respostas escritas possam ser verificadas face à evidência auditada.

Como os controlos auditados se relacionam com a plataforma que vai avaliar

As famílias de controlos que uma revisão SOC 2 examina são visíveis no próprio produto. Identidade e acesso: SSO via SAML e OIDC, MFA opcional e controlo de acesso baseado em funções. Gestão de mudança: o Guardrails deteta alterações arriscadas, aplica políticas em linguagem simples, regista a revisão humana e deixa um registo de auditoria atrás de cada merge. Monitorização e operações: o QA executa smoke gates antes da publicação e verificações de produção depois, enquanto o Doctor — um SRE de IA apenas de leitura — sonda a aplicação ao vivo, o DNS e o CDN.

Este mapeamento é contexto, não um substituto do relatório. O próprio relatório é a declaração autorizada do âmbito e dos resultados da auditoria; trate qualquer resumo numa página web, incluindo esta, como um índice para o documento real.

Use o mapeamento como usaria um mapa do site: diz aos revisores onde procurar no produto quando a descrição de um controlo no relatório parece abstrata. Ler o relatório com o produto aberto transforma a linguagem de auditoria em comportamento observável, que é o caminho mais rápido para uma confiança justificada.

Como pedir o relatório

  1. 1. Contacte a equipa enterprise

    Use a página de contacto e indique que a sua revisão de segurança precisa do relatório SOC 2 Type II. Um contacto nomeado trata do resto.

  2. 2. Assine o NDA

    Um passo padrão para esta classe de documento. Confirme nesta altura quem do seu lado pode ler o relatório, para que a distribuição fique definida antes da entrega.

  3. 3. Receba e reveja

    Leia primeiro o âmbito, depois os testes e resultados do auditor. Envie perguntas de volta através do seu contacto — perguntas em linguagem de auditor são esperadas, não uma imposição.

  4. 4. Combine-o com uma observação ao vivo

    Peça para ver os controlos que o relatório descreve a funcionar no produto: um merge governado com revisão humana registada, o registo de auditoria apenas de acréscimo, resultados de segurança confirmados contra uma app ao vivo.

O que os revisores tipicamente verificam, e onde o verificar

O que os revisores tipicamente verificamOnde reside no CiaoComo verificar
Gestão de acessoSSO via SAML e OIDC, MFA opcional, RBACRelatório sob NDA; demonstração de identidade
Gestão de mudançaPolíticas do Guardrails, revisão humana registada, registo de auditoria atrás de cada mergeRelatório sob NDA; demonstração ao vivo de um merge governado
Monitorização de sistemasVerificações de produção do QA; o Doctor a sondar a app ao vivo, o DNS e o CDNRelatório sob NDA; demonstração ao vivo
Tratamento de dadosSem treino sobre código do cliente; contratos de modelo com retenção zeroDPA e termos contratuais
Evidência de auditoriaRegisto apenas de acréscimo que abrange pedidos, merges, deploys, ações administrativasReconstituição de amostra durante a avaliação

Para além do relatório

Um relatório Type II cobre o seu período de auditoria; o seu risco não para na data final desse período. Duas coisas colmatam essa lacuna. Primeiro, o dossiê de segurança — disponível a pedido através da página de contacto — documenta a arquitetura e o tratamento de dados atuais. Segundo, os próprios controlos fazem parte do produto, pelo que uma avaliação os pode observar a funcionar hoje, em vez de depender apenas de como operaram durante a janela auditada.

Se o seu processo de risco de fornecedor reavalia anualmente, o ciclo anual aqui é simples: peça o relatório atual, compare a declaração de âmbito com a do ano anterior, e repita as verificações ao vivo que a sua equipa registou durante a primeira avaliação. As revisões ficam mais baratas a cada ciclo porque o rasto de evidência já está estabelecido.

Perguntas frequentes

Qual é a diferença entre o SOC 2 Type I e o Type II?

O Type I avalia se os controlos estão adequadamente concebidos num determinado momento. O Type II testa se operaram eficazmente ao longo de um período. O Ciao fornece relatórios Type II sob NDA, que constituem a evidência mais forte para decisões de risco de fornecedor.

Que Trust Services Criteria estão no âmbito?

A secção de âmbito do relatório é a resposta autorizada, e é exatamente por isso que o relatório completo é partilhado sob NDA em vez de resumido publicamente. Peça o relatório e leia a declaração de âmbito antes de pontuar.

Podemos distribuir o relatório às nossas equipas de auditoria interna e jurídica?

A distribuição é regida pelos termos do NDA. Nomeie as equipas que precisam de acesso quando pedir o relatório, para que o âmbito da distribuição fique acordado antecipadamente.

Quão atual é o relatório que receberíamos?

Recebe o relatório atual, e a sua capa indica o período de auditoria que cobre. Se a sua revisão tiver requisitos de atualidade, indique-os ao pedir — obterá uma resposta direta sobre o período em vez de uma garantia vaga.

Está disponível uma bridge letter para o intervalo após o período de auditoria?

Levante essa questão quando pedir o relatório. As perguntas sobre cobertura do intervalo são uma parte normal da revisão, e a equipa enterprise dir-lhe-á o que está disponível para o período atual em vez de deixar isso ambíguo.

Páginas relacionadas

Obtenha o pacote de segurança.

Relatórios SOC 2 Type II sob NDA | Ciao