الانتقال إلى المحتوى الرئيسي
عندما يسأل مدقق “أثبت أن هذه الضوابط فُرِضت فعلاً”، لن تصمد لقطة شاشة من وحدة تحكمك أمام التدقيق — فهي غير موقّعة، وهي ملكك، وقابلة للتحرير. يولّد OrcaRouter تقرير امتثال موقّعاً: حزمة أدلة مكتفية بذاتها مُلتقطة من ضوابط بوابتك الحية، مُجزَّأة بـ SHA256، وموقّعة بـ Ed25519 حتى يستطيع أي شخص يحمل التقرير التحقق من أنه أُنتِج بواسطة OrcaRouter ولم يُعدَّل منذ ذلك الحين. تمشي هذه الصفحة حالة الاستخدام من طرف إلى طرف — ولّد التقرير، وسلّمه، ودع المدقق يتحقق منه باستقلالية. لكتالوج أطر العمل وما تُسقَط عليه كل حزمة، انظر أطر العمل و محتويات الحزمة.

1. ما الذي يحتويه تقرير امتثال الذكاء الاصطناعي الموقّع

يُولَّد التقرير لكل إطار عمل على نافذة زمنية تختارها، ويلتقط ثمانية أقسام أدلة في وقت التوليد حتى يبقى المُنتَج صالحاً حتى بعد تقادم السجلات الأساسية تحت سياسة الاحتفاظ لديك.
يغطي كل تقرير نفس الأقسام المرتبة حتى يكون تقريران قابلين للمقارنة:
  • التغطية — أي ضوابط إطار العمل تُسقَط عليها حزمك المثبّتة، كلٌّ موسوم covered / observe / gap / attested.
  • الفرض — مطابقات حاجز الحماية وأحكام جدار الحماية (مسموح / محجوب / مُدقَّق) المسجَّلة فعلاً في النافذة.
  • الموافقة — حالة الموافقة المسجَّلة للفترة، مُصنَّفة valid / stale / revoked / none.
  • سجل التغييرات — تاريخ حاجز الحماية وصفوف تدقيق مساحة العمل على النافذة.
  • وصول المسؤول — من حمل صلاحية المسؤول وأي إجراءات مميّزة جرت.
  • الثغرات — الضوابط غير المغطّاة، بما فيها البنود التنظيمية (الأشخاص/العمليات) التي لا يمكن أبداً أتمتتها على البوابة. يفصح التقرير عنها كثغرات صادقة بدلاً من الإيحاء بامتثال آلي بنسبة 100%.
  • سلسلة توريد الذكاء الاصطناعي — مزودو upstream (المعالجون الفرعيون) والنماذج القابلة للوصول من مساحة العمل، للتدليل مقابل اتفاقيات معالجة البيانات لديك.
  • مراجعات الوصول — مفاتيح API لمساحة العمل وكشف الأعضاء المميّزين لنظافة تدوير المفاتيح.
تُجزَّأ أدلة JSON القانونية بـ SHA256 (hex بحروف صغيرة). تُوقَّع تجزئة المحتوى تلك بـ Ed25519، ويُضمَّن التوقيع إضافةً إلى معرّف مفتاح قصير (مثل orca-…) في المُنتَج. غيّر بايتاً واحداً من الأدلة فلا تطابق التجزئة بعد الآن؛ زوّر التجزئة فلا يتحقق التوقيع بعد الآن مقابل المفتاح العام لـ OrcaRouter.
  • PDF — تسليم المدقق القابل للقراءة البشرية، مع طباعة التوقيع ومعرّف المفتاح عليه.
  • JSON — تصدير الأدلة القابل للقراءة الآلية. (يُحسَب التوقيع على صيغة قانونية من الأدلة، لا على بايتات الملف الخام، فتحقّق منه عبر نقطة نهاية التحقق العامة بدلاً من إعادة تجزئة المُنتَج بنفسك — انظر التحقق من تقرير.)
  • CSV — تصدير جدولي مسطّح لجداول البيانات وأدوات GRC.
افتراضياً، تُخفى بريد الأعضاء والفاعلين في كل تصدير. اختر صراحةً PII غير المنقّحة لكل تقرير عندما يحتاجها مدققك.
التقارير مختومة بالمنطقة. يُخزَّن كل مُنتَج ويُقدَّم تحت منطقة إقامة البيانات المُعلَنة لمساحة عملك (us / eu / uk / ap / cn / global)؛ تقرير أُنتِج لمنطقة لا يُقدَّم تحت أخرى. اضبط الإقامة قبل أن تولّد إذا كان ذلك مهماً لالتزاماتك.

2. من يستطيع توليد واحد

تصفّح كتالوج أطر العمل، والحزم المثبّتة، والجاهزية مفتوح لكل عضو في مساحة العمل ومجاني. توليد تقرير يتطلب مسؤول مساحة العمل، والتصدير محكوم بالخطة:
  • تتضمن الخطة المجانية تقرير PDF واحداً، فتستطيع عرض المُنتَج.
  • تصدير CSV / JSON والتقارير الإضافية تتطلب خطة مدفوعة.
كلتا القاعدتين مفروضتان على جانب الخادم — لا تجاوز من جانب العميل وحده.
ولّد من وحدة التحكم: افتح الامتثال ← التقارير، واختر إطار العمل والنافذة الزمنية، واختر صيغة، وانقر توليد. التوليد غير متزامن — يظهر صف التقرير كـ pending، ويمشي إلى generating، ويهبط عند ready (أو failed، دون مُنتَج جزئي). كل هذا يعمل مقابل مسارات /api/compliance/* تحت جلسة وحدة التحكم لديك — لا مفتاح ترحيل (sk-orca-…) متورط.

3. خطوة تفصيلية ملموسة واحدة

يريد مدقق SOC 2 أدلة فرض للربع الأول. سير العمل:
1

ثبّت إطار العمل (مرة واحدة)

كمسؤول على خطة مدفوعة، ثبّت حزمة SOC 2 من الامتثال ← أطر العمل. التثبيت يجسّد حواجز الحماية وسياسات جدار الحماية التي تُسقَط على ضوابط إطار العمل. انظر تثبيت حزمة.
2

ولّد التقرير

في الامتثال ← التقارير، اختر soc2، واضبط الفترة على نافذة ربعك الأول، واختر PDF، وولّد. انتظر حتى يصل الصف إلى ready، ثم نزّل.
3

سلّمه للمدقق

أرسل له PDF (أو اسكك رابط مشاركة مدقق للقراءة فقط حتى يسحبه بنفسه). التوقيع ومعرّف المفتاح مطبوعان على التقرير.
4

يتحقق منه باستقلالية

لا يضطر المدقق أبداً للوثوق بوحدة تحكمك. يعيد تجزئة الأدلة، ويجلب المفتاح العام لـ OrcaRouter، ويفحص التوقيع — كله مقابل نقاط نهاية عامة غير مستوثقة (القسم التالي).

4. كيف يتحقق منه مدقق

لا يحتاج التحقق حساباً ولا مفتاح ترحيل — يعمل مقابل نقطتي نهاية عامتين على api.orcarouter.ai. أولاً، اجلب المفتاح العام النشط: 
curl https://api.orcarouter.ai/api/public/compliance/pubkey
# => { "algo": "ed25519", "key_id": "orca-…", "public_key": "<base64>" }
ثم أرسل تجزئة محتوى التقرير، والتوقيع، ومعرّف المفتاح: 
curl -X POST https://api.orcarouter.ai/api/public/compliance/verify \
  -H "Content-Type: application/json" \
  -d '{
    "content_hash": "<sha256-hex from the report>",
    "signature":    "<base64 Ed25519 signature>",
    "sig_key_id":   "orca-…"
  }'
# => { "valid": true, "key_id": "orca-…" }
valid: true يعني أن تجزئة الأدلة وُقِّعت بواسطة OrcaRouter ولم تتغيّر منذ ذلك الحين. المدقق الذي يفضّل ألا يستدعي نقطة نهايتنا إطلاقاً يستطيع أخذ مفتاح Ed25519 العام المنشور والتحقق من التوقيع على التجزئة بأي مكتبة تشفير قياسية — التقرير قابل للتحقق دون اتصال.
تفضّل ألا ترسل PDF كمرفق؟ اسكك بدلاً منه رابط مشاركة مدقق للقراءة فقط — رابط URL مُرمّز يقدّم التقرير (وتوقيعه) مباشرةً، دون تسجيل دخول. انظر تصدير الأدلة.

5. أين يتموضع هذا

التقرير الموقّع هو المُنتَج في نهاية تدفّق الامتثال. القطع المحيطة به:

أطر العمل

الكتالوج الكامل — SOC 2، وHIPAA، وGDPR، وEU AI Act، وISO 27001/42001، وNIST AI RMF، وPCI DSS، وOWASP LLM Top 10، والمجموعة الإقليمية.

تثبيت حزمة

جسّد حواجز حماية إطار عمل وسياسات جدار حمايته قبل أن تكتب عنه تقريراً.

إقامة البيانات

اختم وثبّت المنطقة التي يُخزَّن ويُقدَّم تحتها تقريرك الموقّع.

التحقق من تقرير

تدفّق التحقق بعمق — المفتاح العام، والتجزئة، والفحوص دون اتصال.
الأدلة داخل التقرير تأتي من الضوابط التي ضبطتها. لتقوية ما يُبلَّغ عنه، اضبط حواجز الحماية و جدار الحماية لديك، وراجع حدود ما تستطيع البوابة وما لا تستطيع الإقرار به في المسؤولية المشتركة.