企业

采购流程在 Ciao 上是如何进行的

一位具名联系人、一套达到审核人员标准的文档集,以及一条从第一次通话到签约的可预测流程——专为安全、法务与财务团队并行推进而设计。

在 Ciao 的采购遵循一条有文档记录的路径:NDA、安全资料包、NDA 下的 SOC 2 Type II 报告、问卷回复,随后在商业条款之前由法务审阅 DPA 与 MSA。与那些让采购团队反向拆解一款信用卡产品的自助式 AI 工具不同,Ciao 是像企业软件一样被采购的——供应商风险、隐私与法务团队所期望的文件资料,可通过联系页面按需提供。

适用对象供应商风险与寻源团队安全问卷负责人DPA 与 MSA 的法务审阅

发布日期 2026-07-03 · 最近更新 2026-07-03

为什么 AI 开发平台的采购有所不同

采购一个 AI 开发平台,不同于采购一个 SaaS 仪表盘。这家供应商将生成你公司在生产环境中运行的代码,它的模型供应商会进入你的数据流图,而对 AI 所做变更的治理,会成为你自身控制环境的一部分。供应商风险团队谨慎对待这个类别是对的——而这个类别中的大多数工具,是为个人开发者而不是为一个寻源流程而设计的。

Ciao 的设计初衷就是为了被采购。这里有一位具名的企业联系人,而不是一个支持工单队列;有一套为审核人员准备好的文档集,而不是按需临时拼凑的资料;还有一套让安全、隐私与法务能够并行推进而不是彼此等待的流程顺序。这个页面描述了这条流程,好让你的团队能在第一次通话之前就规划好评审工作。

你可以索取的文档集

在你的第一封邮件里直接点名索取这些——它们是为审核人员准备好的,不是按需临时拼凑的:

  • 安全资料包 — 为安全审核人员撰写的架构、隔离、加密与数据处理细节,可通过联系页面按需索取。
  • SOC 2 Type II 报告 — 可在 NDA 下获取——支撑安全资料包各项声明的独立审计证据。
  • 数据处理协议 — 涵盖处理者义务、数据处理与分处理商条款的 GDPR DPA,随时可供法务审阅。
  • 主服务协议 — 商业合同,会在法务阶段与 DPA 一起审阅。
  • 问卷回复 — 发送你的流程实际使用的问卷——标准格式或你自己的表格——回复会基于同一套经审计的文档。

一条典型的采购路径

流程顺序因组织而异,但一场组织良好的评审通常是这样的——在 NDA 之后,安全和法务并行推进:

  1. 1. 范围界定会议

    确定你要构建什么、部署形态——Ciao 云、你自己的 AWS、Azure 或 GCP 账户、私有 VPC,或在另行约定条款下的本地部署——以及在你这一方,谁负责每一条评审线。

  2. 2. NDA

    尽早签署,让 SOC 2 Type II 报告和安全资料包能够先行流转,不用等待商业讨论。

  3. 3. 安全评审

    你的团队阅读资料包和报告,发送问卷,还可以要求现场演示这些控制措施——Guardrails 审核、审计日志、安全测试——而不是只接受书面回答。

  4. 4. 法务评审

    DPA 和 MSA 会交给法律顾问。修改意见和司法管辖区的问题由企业团队处理,与安全评审并行进行。

  5. 5. 商业条款

    严肃的生产项目起价为每年 10,000 美元。范围、席位数、部署形态和任何试点阶段都在此阶段商定。

  6. 6. 签约与接入

    身份设置——SSO、可选的多因素认证、基于角色的访问控制——以及工作区配置,会在接入伊始就进行,而不是几个月之后。

问卷是如何处理的

问卷的回答来自你的审核人员已经掌握的同一套来源:安全资料包、SOC 2 Type II 报告和 DPA。这让书面回答与经审计的证据保持一致——如果某项回复看起来与报告有出入,请指出来,因为报告才是最终依据。这个类别里出现冗长或定制化的问卷是常态;请发送你的流程真正需要的内容,而不是为了迁就供应商而做删减。

如果你的组织要求证据附件而不是书面断言,请提前说明。NDA 下的 SOC 2 Type II 报告和安全资料包是大多数框架接受的附件,尽早把它们映射到你的证据字段,可以避免对问卷进行第二轮修改。

什么会拖慢评审——以及如何避免

这个类别里反复出现三种延误,而且都是可以避免的。第一种是顺序安排:等安全评审线完成才启动法务评审的团队,会白白多花几周时间却没能降低风险——NDA 一签署,两条线就应该同时打开。第二种是部署形态的模糊性:平台是运行在 Ciao 云上还是运行在你自己的账户内,会改变数据流图,因此请尽早确定形态,并审阅正确的那一种。第三种是把 AI 这个环节当作前所未有的新事物来对待:模型供应商是拥有合同的分处理商——零保留期条款、不用客户代码训练——你现有的分处理商审查流程,只要拿到相应文件,就能处理它们。

文档、用途,以及如何获取

文档涵盖内容如何获取
安全资料包架构、隔离、加密、数据处理通过 /contact 索取
SOC 2 Type II 报告一段时期内经独立审计的控制措施范围界定会议之后,在 NDA 下提供
DPAGDPR 处理者义务、分处理商、数据处理采购过程中的法务审阅
MSA商业与合同条款采购过程中的法务审阅
问卷回复你的格式,基于经审计的来源作答把问卷发给企业团队

写给寻源团队的商业说明

生产项目每年 10,000 美元的门槛是一条有用的资格线:它告诉你,这家供应商期待的是一段包含支持、审核与接入的真实关系,而不是一个贴着企业标签的消费级订阅。试点和分阶段启动会在商业阶段讨论——把你偏好的结构带入对话,而不要假设存在一个固定的套餐。

常见问题

供应商评审通常要多久?

这取决于你自己的流程,而不是 Ciao 的——资料包、报告和问卷回复在 NDA 签署时就已经准备就绪。并行推进安全和法务评审线的团队,通常把时间花在内部审核上,而不是等待供应商。

我们的法务团队能对 DPA 和 MSA 提出修改意见吗?

在法务阶段把修改意见带给企业团队。哪些内容可以协商取决于协议规模和部署形态,你会得到一个明确的答案,而不是一条被搁置的消息。

全面承诺之前你们支持试点吗?

试点结构在商业阶段商定。生产项目起价为每年 10,000 美元,在这个框架内提出一个范围有限的试点,是向销售团队提出的正常请求。

Ciao 的分处理商是谁,包括模型供应商在内?

分处理商信息,包括模型供应商,是 DPA 与安全资料包审阅的一部分。推理运行在零保留期模型合约之下,客户代码不会被用于训练模型——相关合同措辞在文档中,而不仅仅在这个页面上。

我们能和现有客户交流吗?

Ciao 支撑着全球数百万用户使用的产品,包括 Automo.AI、Desygner.com 和 WeBrand.com。请询问企业团队,了解针对你的细分市场和部署形态可以安排哪些参考对话。

相关页面

严肃的开发,始于严肃的责任。

采购与供应商评审 | Ciao