企业
采购流程在 Ciao 上是如何进行的
一位具名联系人、一套达到审核人员标准的文档集,以及一条从第一次通话到签约的可预测流程——专为安全、法务与财务团队并行推进而设计。
在 Ciao 的采购遵循一条有文档记录的路径:NDA、安全资料包、NDA 下的 SOC 2 Type II 报告、问卷回复,随后在商业条款之前由法务审阅 DPA 与 MSA。与那些让采购团队反向拆解一款信用卡产品的自助式 AI 工具不同,Ciao 是像企业软件一样被采购的——供应商风险、隐私与法务团队所期望的文件资料,可通过联系页面按需提供。
发布日期 2026-07-03 · 最近更新 2026-07-03
为什么 AI 开发平台的采购有所不同
采购一个 AI 开发平台,不同于采购一个 SaaS 仪表盘。这家供应商将生成你公司在生产环境中运行的代码,它的模型供应商会进入你的数据流图,而对 AI 所做变更的治理,会成为你自身控制环境的一部分。供应商风险团队谨慎对待这个类别是对的——而这个类别中的大多数工具,是为个人开发者而不是为一个寻源流程而设计的。
Ciao 的设计初衷就是为了被采购。这里有一位具名的企业联系人,而不是一个支持工单队列;有一套为审核人员准备好的文档集,而不是按需临时拼凑的资料;还有一套让安全、隐私与法务能够并行推进而不是彼此等待的流程顺序。这个页面描述了这条流程,好让你的团队能在第一次通话之前就规划好评审工作。
你可以索取的文档集
在你的第一封邮件里直接点名索取这些——它们是为审核人员准备好的,不是按需临时拼凑的:
- 安全资料包 — 为安全审核人员撰写的架构、隔离、加密与数据处理细节,可通过联系页面按需索取。
- SOC 2 Type II 报告 — 可在 NDA 下获取——支撑安全资料包各项声明的独立审计证据。
- 数据处理协议 — 涵盖处理者义务、数据处理与分处理商条款的 GDPR DPA,随时可供法务审阅。
- 主服务协议 — 商业合同,会在法务阶段与 DPA 一起审阅。
- 问卷回复 — 发送你的流程实际使用的问卷——标准格式或你自己的表格——回复会基于同一套经审计的文档。
一条典型的采购路径
流程顺序因组织而异,但一场组织良好的评审通常是这样的——在 NDA 之后,安全和法务并行推进:
1. 范围界定会议
确定你要构建什么、部署形态——Ciao 云、你自己的 AWS、Azure 或 GCP 账户、私有 VPC,或在另行约定条款下的本地部署——以及在你这一方,谁负责每一条评审线。
2. NDA
尽早签署,让 SOC 2 Type II 报告和安全资料包能够先行流转,不用等待商业讨论。
3. 安全评审
你的团队阅读资料包和报告,发送问卷,还可以要求现场演示这些控制措施——Guardrails 审核、审计日志、安全测试——而不是只接受书面回答。
4. 法务评审
DPA 和 MSA 会交给法律顾问。修改意见和司法管辖区的问题由企业团队处理,与安全评审并行进行。
5. 商业条款
严肃的生产项目起价为每年 10,000 美元。范围、席位数、部署形态和任何试点阶段都在此阶段商定。
6. 签约与接入
身份设置——SSO、可选的多因素认证、基于角色的访问控制——以及工作区配置,会在接入伊始就进行,而不是几个月之后。
问卷是如何处理的
问卷的回答来自你的审核人员已经掌握的同一套来源:安全资料包、SOC 2 Type II 报告和 DPA。这让书面回答与经审计的证据保持一致——如果某项回复看起来与报告有出入,请指出来,因为报告才是最终依据。这个类别里出现冗长或定制化的问卷是常态;请发送你的流程真正需要的内容,而不是为了迁就供应商而做删减。
如果你的组织要求证据附件而不是书面断言,请提前说明。NDA 下的 SOC 2 Type II 报告和安全资料包是大多数框架接受的附件,尽早把它们映射到你的证据字段,可以避免对问卷进行第二轮修改。
什么会拖慢评审——以及如何避免
这个类别里反复出现三种延误,而且都是可以避免的。第一种是顺序安排:等安全评审线完成才启动法务评审的团队,会白白多花几周时间却没能降低风险——NDA 一签署,两条线就应该同时打开。第二种是部署形态的模糊性:平台是运行在 Ciao 云上还是运行在你自己的账户内,会改变数据流图,因此请尽早确定形态,并审阅正确的那一种。第三种是把 AI 这个环节当作前所未有的新事物来对待:模型供应商是拥有合同的分处理商——零保留期条款、不用客户代码训练——你现有的分处理商审查流程,只要拿到相应文件,就能处理它们。
文档、用途,以及如何获取
| 文档 | 涵盖内容 | 如何获取 |
|---|---|---|
| 安全资料包 | 架构、隔离、加密、数据处理 | 通过 /contact 索取 |
| SOC 2 Type II 报告 | 一段时期内经独立审计的控制措施 | 范围界定会议之后,在 NDA 下提供 |
| DPA | GDPR 处理者义务、分处理商、数据处理 | 采购过程中的法务审阅 |
| MSA | 商业与合同条款 | 采购过程中的法务审阅 |
| 问卷回复 | 你的格式,基于经审计的来源作答 | 把问卷发给企业团队 |
写给寻源团队的商业说明
生产项目每年 10,000 美元的门槛是一条有用的资格线:它告诉你,这家供应商期待的是一段包含支持、审核与接入的真实关系,而不是一个贴着企业标签的消费级订阅。试点和分阶段启动会在商业阶段讨论——把你偏好的结构带入对话,而不要假设存在一个固定的套餐。
常见问题
供应商评审通常要多久?
这取决于你自己的流程,而不是 Ciao 的——资料包、报告和问卷回复在 NDA 签署时就已经准备就绪。并行推进安全和法务评审线的团队,通常把时间花在内部审核上,而不是等待供应商。
我们的法务团队能对 DPA 和 MSA 提出修改意见吗?
在法务阶段把修改意见带给企业团队。哪些内容可以协商取决于协议规模和部署形态,你会得到一个明确的答案,而不是一条被搁置的消息。
全面承诺之前你们支持试点吗?
试点结构在商业阶段商定。生产项目起价为每年 10,000 美元,在这个框架内提出一个范围有限的试点,是向销售团队提出的正常请求。
Ciao 的分处理商是谁,包括模型供应商在内?
分处理商信息,包括模型供应商,是 DPA 与安全资料包审阅的一部分。推理运行在零保留期模型合约之下,客户代码不会被用于训练模型——相关合同措辞在文档中,而不仅仅在这个页面上。
我们能和现有客户交流吗?
Ciao 支撑着全球数百万用户使用的产品,包括 Automo.AI、Desygner.com 和 WeBrand.com。请询问企业团队,了解针对你的细分市场和部署形态可以安排哪些参考对话。