الانتقال إلى المحتوى الرئيسي
قائمة تحقق إطار العمل هي قائمة بنود. حزمة الامتثال هي نفس قائمة التحقق مع كل بند موصول بضابط يعمل فعلاً على البوابة. عندما تثبّت حزمة، يقرأ OrcaRouter إسقاطها من بند إلى ضابط ويجسّد كائنات سياسة حقيقية قابلة للتحرير في مساحة عملك — فيتوقف “SOC 2 CC6.1” عن كونه سطراً في جدول بيانات ويصبح حاجز حماية يحجب PII السرية قبل أن تصل إلى النموذج. تشرح هذه الصفحة ما الذي تحتويه حزمة امتثال الذكاء الاصطناعي، وكيف يُسقَط مستوياها الفارضان مرةً أخرى على البنود، ونسب المنشأ التي تتيح لمدقق تتبّع أي بند نزولاً إلى السياسة الدقيقة التي تفرضه. للاطلاع على تدفّق التثبيت والتقرير الموقّع، اتبع الروابط في النهاية.

1. الحزمة هي إسقاط من بند إلى ضابط، لا فرض جديد

لا تشحن الحزمة أي محرك تشغيل جديد. كل ضابط تحمله يعيد استخدام نفس آلية حواجز الحماية وجدار الحماية التي تضبطها بالفعل يدوياً — الحزمة هي الإسقاط المؤلَّف الذي يقول أي ضابط موجود يستوفي أي بند. تمتد كل حزمة عبر مستويين فارضين:

مستوى حاجز الحماية

ضوابط النص / البيانات — البنود المتعلقة بالبيانات السرية، أو إفشاء PII، أو الدفاع عن الحقن، أو الإفصاحات المطلوبة تُسقَط على قواعد حاجز الحماية (pii، regex، llm_judge، وأخواتها) بإجراء block أو mask أو flag.

مستوى جدار الحماية

ضوابط استدعاء الأدوات — البنود المتعلقة بالاستقلالية المفرطة، أو الإجراءات الخطيرة، أو egress تُسقَط على قواعد جدار الحماية بحكم allow / audit / deny على سطح inbound أو response أو mcp أو egress.
تثبيت الحزمة يدمج ضوابطها المختارة في حاجز حماية واحد وسياسة جدار حماية واحدة، موسومين بمنشأ الحزمة، فيتشاركان الفرض عبر المُحلِّل العادي ويبقى كل مسار ربط وتاريخ موجود عاملاً.
تغطي الحزمة الضوابط القابلة للفرض على البوابة فقط. البنود التنظيمية — تدريب القوى العاملة، واتفاقيات شركاء الأعمال، والوصول المادي — لا يمكن أبداً فرضها بوكيل، فيُفصح عنها التقرير كثغرات (أو مُقَرّة من المالك) بدلاً من ادعاء تغطية زائفة. انظر مصفوفة الضوابط.

2. بند واحد، من طرف إلى طرف — مثال ملموس

خذ حزمة SOC 2. تُسقِط ثلاثة بنود من بنود خدمات الثقة على ثلاثة ضوابط حية:
البندالمستوىالضابط
CC6.1 الوصول المنطقيحاجز حمايةحجب PII السرية في المطالبات
CC7.2 مراقبة النظامحاجز حمايةتسجيل كل قرار حاجز حماية كدليل
CC7.2 كشف الشذوذجدار حمايةتدقيق كل إرسال أداة
تثبّتها من وحدة التحكم — الامتثال ← الكتالوج ← SOC 2 ← تثبيت — وهو محصور بمسؤول مساحة العمل ويستدعي POST /api/compliance/packs/soc2/install نيابةً عنك تحت جلسة وحدة التحكم لديك. أنت لا تسلّم أبداً مفتاح ترحيل sk-orca-… لمسار ضبط؛ المحتوى والسياسة يعيشان بالكامل خلف تسجيل دخول وحدة التحكم لديك. بعد التثبيت، لم يعد صف CC6.1 نصاً — إنه قاعدة حاجز حماية يمكنك فتحها وقراءتها وضبطها مثل أي قاعدة أخرى.

3. نسب المنشأ — من بند إلى سياسة فارضة

السبب في كون الحزمة قابلة للتدقيق هو أن الرابط بين بند والسياسة التي تفرضه مسجَّل، لا ضمني. يحمل كل ضابط تجسّده الحزمة:
control_id ثابت (مثل soc2.confidentiality) ونص البند الحرفي (TSC CC6.1 Logical access controls)، إضافةً إلى رابط مصدر رسمي حتى يقرأ مدقق التنظيم، لا مجرد إعادة صياغتنا.
سواء أكان الضابط يعيش على مستوى guardrail أم firewall، ومعرّف سياسة حاجز الحماية أو جدار الحماية الدقيقة التي جسّدها التثبيت. ذلك المعرّف هو ما يربط صفاً في التقرير مرةً أخرى بكائن حي قابل للتحرير في مساحة عملك.
covered أو observe أو gap أو attested — وعلى مدى فترة التقرير، كم مرة أُطلِق ذلك الضابط فعلاً. بند بصفر مطابقة وبند حجب 4000 طلب يُقرآن بشكل مختلف لمدقق، والتقرير يعرض الاثنين.
تحمل كل حزمة سطر MappedBy — من ألّف الإسقاط من بند إلى ضابط، وإصداره، والتنويه الصادق بأنه يغطي الضوابط القابلة للفرض على البوابة فقط وأنه ليس بحد ذاته شهادة. يُختَم ذلك السطر على غلاف التقرير الموقّع.
مجتمعةً، هذه هي النسب التي يمشيها مدقق: بند ← معرّف ضابط ← حاجز حماية أو سياسة جدار حماية فارضة ← المطابقات التي أنتجتها هذه الفترة ← من ألّف الإسقاط. لا خطوة مُستنتَجة.
نفس مصفوفة التغطية تشغّل كلاً من وحدة التحكم والتقرير، فلا يمكن للاثنين أن ينحرفا صامتين أبداً. بند يتوقعه إطار العمل لكن لا تغطّيه أي حزمة مثبّتة يُعرَض دائماً كثغرة مُفصَح عنها على كلا السطحين.

4. راقب أولاً، ثم افرض

لا تبدأ الحزمة بحجب حركة المرور لحظة تثبيتها. تهبط عمليات التثبيت في وضع المراقبة: تُجبَر إجراءات حاجز الحماية على flag وتعمل سياسة جدار الحماية في الظل (تسجيل فقط). تنتج الحزمة أدلة “كان-سيُحجَب” حتى ترى بالضبط ماذا ستفعل مقابل حركة مرور حقيقية قبل أن تفعله. عندما تكون راضياً، يستدعي مسؤول مساحة العمل الانتقال للإنتاج، الذي يستعيد الإجراءات المُعلَنة للضوابط (mask / block / deny) ويرقّي اختيارياً السياسات المُجسَّدة إلى افتراضي مساحة العمل. هذا هو نفس انضباط راقب-ثم-افرض الموصوف في المراقبة مقابل الفرض.
تصفّح الكتالوج، والحزم المثبّتة، والجاهزية مفتوح لكل عضو في مساحة العمل ومجاني. تثبيت حزمة والانتقال للإنتاج إجراءان محصوران بـمسؤول مساحة العمل ويتطلبان خطة مدفوعة — يفرض الخادم كلتا البوابتين، فلا يستطيع مشاهد أو مساحة عمل مجانية تجسيد الفرض باستدعاء API مباشرةً. توليد تقرير هو أيضاً صلاحية مسؤول: تتضمن الخطة المجانية تقرير PDF واحداً، بينما تتطلب تصديرات CSV/JSON والتقارير الإضافية خطة مدفوعة. ضبط إقامة البيانات محصور بـمسؤول مساحة العمل أيضاً، لكنه ليس بحد ذاته خلف جدار دفع.

5. ما الذي لا تحتويه الحزمة

للحفاظ على صدق الحدود:
  • لا شهادة. تُسقِط الحزمة ضوابط بوابتك على بنود إطار عمل وتنتج أدلة موقّعة. إنها ليست تدقيقاً، ولا إقراراً بمنظمتك كلها، ولا مشورة قانونية.
  • لا ضوابط تنظيمية. بنود الأشخاص-والعمليات تُظهَر كثغرات مُفصَح عنها أو إقرارات مالك، لا أبداً كتغطية آلية.
  • لا كتالوج سحري. أطر العمل في الكتالوج هي تلك ذات الإسقاط المؤلَّف — SOC 2، وHIPAA، وGDPR / UK GDPR، وEU AI Act، وISO 27001 / 42001، وNIST AI RMF، وPCI DSS، وOWASP LLM Top 10، وقوانين الخصوصية الإقليمية. تصفّح المجموعة الحية على أطر العمل.

6. إلى أين تذهب بعد ذلك

تثبيت حزمة

تدفّق التثبيت الكامل — اختيار الضوابط، ووضع المراقبة، والانتقال للإنتاج.

التقرير الموقّع

ما الذي يحتويه تقرير الأدلة الموقّع بـ Ed25519 وكيف تُعرَض النسب لمدقق.

مصفوفة الضوابط

كل بند، ومستواه، وما إذا كان مغطّى أم مُراقَباً أم ثغرة أم مُقَرّاً.

حواجز الحماية مقابل جدار الحماية

المستويان اللذان تكتب إليهما الحزمة، وكيف يشغّلهما المُحلِّل معاً.
حزمة الامتثال هي الجسر بين لغة المنظّم وفرض البوابة: تُسقِط كل بند على ضابط حقيقي، وتجسّد ذلك الضابط في سياسة تملكها وتستطيع ضبطها، وتسجّل النسب حتى تصمد الأدلة أمام الفحص.