企业
合规文档及其验证方式
NDA 下的 SOC 2 Type II 报告、一份 GDPR 数据处理协议,以及一条清晰的 PDPA 与 CCPA 合同路径——附带验证步骤,而不只是徽章。
Ciao 的合规状态建立在可验证的文档之上:可在 NDA 下获取的 SOC 2 Type II 报告、一份 GDPR 数据处理协议,以及支撑 PDPA 与 CCPA 义务的合同层面数据处理承诺——零保留期模型合约,以及不用客户代码训练模型。与那些只贴一墙徽章的供应商不同,Ciao 把每一项合规声明都指向一份你的法务和安全团队真正能阅读并核实的文档。
发布日期 2026-07-03 · 最近更新 2026-07-03
合规声明容易做出,却代价高昂地难以信任
这个类别里的每一个供应商页面,都展示着同一排徽标。徽章和控制措施之间的区别在于你能否核实它:阅读审计报告、签署 DPA、追踪一条数据流、质疑审计员的适用范围。当所讨论的平台会生成并部署生产软件时,信任一项未经核实的声明所付出的代价并不是抽象的——它就是你一年后自己审计发现的问题。
Ciao 的立场很简单:合规文档的存在就是为了被阅读。这个页面列出了今天可以获得的东西、覆盖你的评审很可能提到的每一项法规的路径,以及验证每一项的确切步骤。在某些事项是通过合同而非认证来处理的地方,这个页面会明确说明。
对任何这个类别里的供应商,有一个有用的测试方法:问清楚每一项合规声明写在哪里、由谁审计过,以及如果它被发现是错的会发生什么。有审计报告支撑的声明,有作者、有方法。有徽章支撑的声明,只有一个平面设计部门。你的评审值得前者,这个页面的组织方式就是为了让你能够要求它。
今天可以获得的东西
以下每一项都是你的团队可以获取并核实的文档或控制措施:
- SOC 2 Type II — SOC 2 Type II 报告可在 NDA 下获取——这是对一段时期内控制运行情况的独立审计,而不是自我评估。
- GDPR 数据处理协议 — 一份涵盖处理者义务、数据处理承诺与分处理商条款的 DPA,可在采购过程中供法务审阅。
- 零保留期模型合约 — 推理运行在零保留期模型合约之下,客户代码不会被用于训练模型——这是隐私评审最先会问到的承诺。
- 只增不减的审计日志 — 提示词、合并、部署与管理员操作会被只增不减地记录下来,让内部审计能够重建每一次变更的历史。
- 访问控制 — 通过 SAML 与 OIDC 实现的 SSO、可选的多因素认证与基于角色的访问控制——大多数框架要求处理者具备的访问管理控制。
- 部署选择 — 部署到 Ciao 云、你自己的 AWS、Azure 或 GCP 账户、私有 VPC,或在另行约定条款下部署到本地环境——这让对驻留敏感的项目能把数据留在其义务要求的地方。
PDPA 与 CCPA 的合规路径
PDPA 与 CCPA 的义务,是通过与 GDPR 相同的合同主干来满足的:DPA 中关于数据处理、留存与分处理商的承诺,加上平台的零保留期模型合约以及“客户代码不用于训练”的承诺。你的法律顾问会把这些承诺映射到你业务所承担的具体义务上——Ciao 提供的是文件和答案,而不是法律建议。
如果你的项目跨越多个司法管辖区,请在采购阶段提出这一点。部署到你自己的云账户或私有 VPC,通常能简化这项分析,因为应用及其数据会留在你已经治理的基础设施之内。
如何对 Ciao 进行合规评审
1. 索取文档集
通过联系页面索取安全资料包。它是这份清单上其他一切内容的索引。
2. 签署 NDA,阅读 SOC 2 报告
Type II 报告展示了哪些控制措施在什么期间接受了审计,审计员发现了什么。先阅读适用范围那一节。
3. 审阅 DPA
法务团队审查处理者义务、数据处理条款与分处理商承诺。修改意见和问题会转交给企业团队。
4. 把控制措施映射到你的框架
把审计轨迹、访问控制与数据处理方面的证据,对应到你自己合规框架的要求上——下面的表格是一个起点索引。
5. 确认部署形态
决定 Ciao 云、你自己的云账户、私有 VPC 还是本地部署符合你的义务,并把这个决定和你的评估记录在一起。
逐个框架来看
| 框架 | Ciao 提供什么 | 如何验证 |
|---|---|---|
| SOC 2 Type II | 独立审计报告 | 通过 /contact 在 NDA 下索取 |
| GDPR | 数据处理协议、零保留期模型合约、不用客户代码训练 | 采购过程中法务审阅 DPA |
| CCPA | 通过 DPA 与服务条款做出的合同层面数据处理承诺 | 与法律顾问一起把 DPA 条款映射到你的 CCPA 义务 |
| PDPA | 同样的合同路径:DPA 承诺加数据处理条款 | 与法律顾问一起把 DPA 条款映射到你的 PDPA 义务 |
| HIPAA | 未做此项声明。医疗团队将 Ciao 用于运营性工作流程 | 与企业团队讨论你的具体工作负载 |
验证说明
这个页面上的任何内容都不需要你信任营销文案。SOC 2 Type II 报告可在 NDA 下获取;安全资料包与 DPA 可通过联系页面按需索取;而这些文档所描述的平台控制措施——审计轨迹、访问控制、受治理的合并——可以在你的评估过程中被现场演示。如果你需要的某项声明不在这个页面上,请以书面形式索取,而不是想当然地假设。
两条来自顺利完成评审的实用建议。第一,尽早签署 NDA——它是通往最有用文档的门槛,在第一周内跨过它,能让安全和法务团队并行工作。第二,把你的控制措施映射表格连同问卷一起发过来,而不是事后再发,这样回答就能针对你委员会实际用来打分的框架来撰写。
常见问题
Ciao 通过 ISO 27001 认证了吗?
SOC 2 Type II 是 Ciao 目前提供的独立审计,报告可在 NDA 下获取。如果你的框架要求其他认证或一份控制映射表,请在采购阶段与企业团队提出,而不是假设它们是等效的。
Ciao 支持受 HIPAA 约束的工作负载吗?
Ciao 并未声称符合 HIPAA。医疗机构将 Ciao 用于运营性工作流程,涉及受监管健康数据的工作负载,应在任何构建开始之前明确与企业团队讨论。
我们能把 SOC 2 报告分享给我们的内部审计人员吗?
该报告是在 NDA 下提供的,NDA 的条款决定谁可以阅读它。大多数评审会覆盖需要它的安全、法务和审计人员——在索取报告时确认分发范围。
Ciao 会签署我们自己的 DPA,而不是它自己的吗?
Ciao 提供一份 GDPR DPA 供审阅,法律问题或修改意见在采购过程中处理。把你的文本带给企业团队,他们会明确告诉你,对你的协议规模而言哪些内容是可以协商的。
我们在哪里可以看到当前的分处理商清单?
分处理商信息是 DPA 与安全资料包审阅的一部分。通过联系页面索取当前清单——这是一份需要阅读的文档,而不是一个可能过时的网页上的声明。