企业

Ciao 的 SOC 2 Type II

为你的安全评审提供独立审计证据——报告可在 NDA 下获取,背后的平台控制措施可以现场演示。

SOC 2 Type II 是对一家供应商的控制措施在一段时期内运行情况的独立审计,而不是一份时点性的快照。Ciao 让 SOC 2 Type II 报告可在 NDA 下获取,因此安全审核人员阅读的是审计员真实的发现和适用范围,而不是一份营销摘要。与徽章墙式的自我证明不同,报告本身就是关于审计了什么、控制措施表现如何的权威陈述。

适用对象阅读审计证据的安全审核人员供应商风险评分合规映射

发布日期 2026-07-03 · 最近更新 2026-07-03

为什么 Type II 是值得阅读的那份报告

一份 SOC 2 Type I 报告,描述的是某一天设计出来的控制措施。而一份 Type II 报告,测试的是这些控制措施在一段审计期间内是否真正运行——这正是你的风险评估真正想问的问题。对于一个生成、测试并部署生产软件的平台而言,运行有效性比设计意图更重要:一项在纸面上存在、却在截止日期压力下被跳过的变更管理控制措施,正是 Type II 审计被设计来揭示的东西。

Ciao 提供可在 NDA 下获取的 SOC 2 Type II 报告。NDA 这一步对这类文档而言是标准做法,而且对你有利:这意味着你收到的是完整的报告——适用范围、审计员的测试、结果——而不是一份为营销而精简的公开摘要。

这里还有一项值得一提的流程性好处。因为这份报告是一份标准文档,你的团队可以用它评审任何处理者时使用的同一套准则来评审 Ciao:没有特殊的 AI 例外,没有定制的评估框架——同一类文档,同一套评分,同一个证据门槛。

这份报告能给你的审核人员带来什么

  • 独立证据 — 这份报告由独立审计员出具,因此你的评分不必依赖供应商的自我评估。
  • 明确的适用范围声明 — 报告说明了哪些系统、标准和期间接受了审计。请先阅读这一节——它是对“你们的 SOC 2 到底涵盖什么”这个问题最权威的答案。
  • 控制描述与测试结果 — 对每一项控制措施,审计员的测试和结果都被记录下来,让你的团队能够权衡证据,而不是接受一个通过/未通过的徽章。
  • 问卷回答的依据 — Ciao 的安全问卷回复以这份报告和安全资料包为依据,因此书面回答可以对照经审计的证据进行核实。

经审计的控制措施与你将评估的平台之间的关系

一次 SOC 2 评审所检验的控制族群,在产品本身中是可见的。身份与访问:通过 SAML 与 OIDC 实现的 SSO、可选的多因素认证与基于角色的访问控制。变更管理:Guardrails 检测高风险变更、应用简明英文政策、记录人工审核,并在每次合并背后留下审计轨迹。监控与运维:QA 在发布前运行冒烟测试关卡,发布后运行生产环境检查,同时只读的 AI SRE——Doctor——探测线上应用、DNS 与 CDN。

这份映射是背景信息,而不是报告的替代品。报告本身才是审计范围和结果的权威陈述;请把任何网页摘要,包括这一份,当作通往真实文档的索引。

使用这份映射的方式,应该像使用一份网站地图一样:当报告中的某项控制描述显得抽象时,它告诉审核人员该去产品的哪个地方查看。带着产品打开的状态阅读报告,能把审计语言变成可观察的行为,这是获得有依据的信心最快的途径。

如何索取这份报告

  1. 1. 联系企业团队

    通过联系页面,说明你的安全评审需要 SOC 2 Type II 报告。之后会有一位具名联系人接手。

  2. 2. 签署 NDA

    这是这类文档的标准步骤。在这个环节确认你这一方谁可以阅读这份报告,以便在交付前就确定好分发范围。

  3. 3. 接收并审阅

    先阅读适用范围,再阅读审计员的测试和结果。有问题通过你的联系人反馈——审计术语相关的问题是预期之内的,并非冒犯。

  4. 4. 搭配一次现场查看

    要求查看报告中所描述的控制措施在产品中的实际运行:一次带有记录在案的人工审核的受治理合并、只增不减的审计日志、针对真实应用确认的安全发现。

审核人员通常会检查什么,以及在哪里验证

审核人员通常检查在 Ciao 中的位置如何验证
访问管理通过 SAML 与 OIDC 实现的 SSO、可选的多因素认证、RBACNDA 下的报告;身份配置演示
变更管理Guardrails 政策、记录在案的人工审核、每次合并背后的审计轨迹NDA 下的报告;现场受治理合并演示
系统监控QA 生产环境检查;Doctor 探测线上应用、DNS 与 CDNNDA 下的报告;现场演示
数据处理不用客户代码训练;零保留期模型合约DPA 与合同条款
审计证据跨越提示词、合并、部署、管理员操作的只增不减轨迹评估期间的抽样重建

超越报告本身

一份 Type II 报告覆盖的是它的审计期间;你的风险不会在期间结束日那天停止。有两样东西能弥合这个缺口。第一,安全资料包——可通过联系页面按需索取——记录了当前的架构和数据处理方式。第二,这些控制措施本身就是产品的一部分,因此一次评估可以查看它们今天的运行状态,而不仅仅依赖它们在被审计窗口期内的表现。

如果你的供应商风险流程每年重新评分,这里的年度循环很简单:索取当前的报告,把适用范围声明和去年的进行比较,并重新运行你的团队在第一次评估期间记录的现场检查。因为证据轨迹已经建立起来,每个周期的评审都会变得更便宜。

常见问题

SOC 2 Type I 和 Type II 有什么区别?

Type I 评估的是控制措施在某个时间点是否设计得当。Type II 测试的是它们在一段时期内是否有效运行。Ciao 提供可在 NDA 下获取的 Type II 报告,这对供应商风险决策而言是更有力的证据。

哪些信托服务标准在审计范围内?

报告的适用范围部分是最权威的答案,这正是完整报告在 NDA 下分享、而不是公开概括的原因。请索取报告并在打分前阅读适用范围声明。

我们能把这份报告分发给内部审计和法务团队吗?

分发受 NDA 条款的约束。在索取报告时点名需要访问权限的团队,以便提前商定分发范围。

我们收到的报告有多新?

你收到的是当前的报告,其封面会说明所涵盖的审计期间。如果你的评审有时效性要求,请在索取时说明——你会得到一个关于期间的直接答案,而不是一个模糊的保证。

针对审计期结束后的间隙,有没有一份桥接函?

在索取报告时提出这一点。间隙覆盖问题是评审的正常组成部分,企业团队会告诉你当前期间有哪些可用的东西,而不会让它保持模糊。

相关页面

获取安全资料包。

NDA 下的 SOC 2 Type II 报告 | Ciao