الانتقال إلى المحتوى الرئيسي
عندما يسأل مدقّق “أثبت أن حركة الذكاء الاصطناعي لديك محكومة”، لا تريد أن تلتقط صورة شاشة لوحدة تحكّم. يحوّل OrcaRouter موقف حواجز حمايتك وجدار حمايتك الحيّ إلى تقرير أدلة مُوقَّع وقابل للتحقّق علناً مُرتبط بإطار تنظيمي — SOC 2 وHIPAA وGDPR وقانون الذكاء الاصطناعي الأوروبي والمزيد. هذه الصفحة هي سطح API لذلك المسار: كيف تتصفّح الكتالوج، وتثبّت حزمة، وتنشئ تقريراً، وتدع مدقّقاً يتحقّق من التوقيع دون حساب OrcaRouter. الامتثال هو المستوى الثالث في مجموعة تحكّم OrcaRouter، إلى جانب حواجز الحماية (النص) و جدار الحماية (استدعاءات الأدوات). حزمة امتثال ليست سوى حزمة مؤلَّفة مسبقاً من هذين الاثنين — تثبيت واحدة يجسّد سياسة حاجز حماية وجدار حماية حقيقية وقابلة للتحرير في مساحة عملك.
كل مسارات /api/compliance/* تصادق بـجلسة وحدة التحكم / رمز الوصول (نفس تسجيل الدخول الذي تستخدمه للوحة التحكّم)، لا مفتاح ترحيل sk-orca-…. اضبط كل شيء من وحدة التحكم؛ سطح REST أدناه لأتمتة جمع الأدلة في CI.

1. ما يغطّيه مرجع compliance api

مجموعتا مسارات، جمهوران:
المجموعةالمصادقةالجمهور
/api/compliance/*جلسة وحدة التحكمأنت + مدقّقوك (داخل مساحة العمل)
/api/public/compliance/*لا شيء (رمز / توقيع)أي شخص يتحقّق من تقرير
القراءات في المجموعة الأولى — تصفّح الكتالوج، والحزم المثبّتة، والجاهزية، والإقامة، وبيانات تعريف التقارير — مفتوحة لكل عضو مساحة عمل ومجانية. كل كتابة (تثبيت حزمة، الانتقال للبثّ المباشر، إنشاء أو تنزيل تقارير، تغيير الإقامة، المشاركة) تتطلب Admin لمساحة العمل (مفروض على الخادم). تُطلب إضافةً خطة مدفوعة لتثبيت حزمة، وأخذها للبثّ المباشر، وتصدير CSV/JSON أو إنشاء أكثر من التقرير المجاني الواحد — لكن ليس لتغيير الإقامة أو إنشاء أول PDF لك.

2. تصفّح الكتالوج وافحص الجاهزية

ابدأ للقراءة فقط. هذه نقاط النهاية الثلاث لا تحتاج دوراً خاصاً ولا تكلّف شيئاً:
تعيد سجلّ الأطر. يشحن OrcaRouter حزماً لأنظمة الأمان والخصوصية وحوكمة الذكاء الاصطناعي الكبرى — بما فيها soc2، hipaa، gdpr، uk_gdpr، eu_ai_act، iso_27001، iso_42001، nist_ai_rmf، nist_800_53، pci_dss، glba، ccpa، وذيل طويل من قوانين الخصوصية الإقليمية (PIPL، APPI، PIPA، LGPD، PIPEDA، DPDP، وقوانين الولايات الأمريكية). OWASP Top 10 لتطبيقات LLM (owasp_llm) يُشحن كحزمة من الدرجة الأولى أيضاً — يجسّد تحكّمات حاجز حماية وجدار حماية حقيقية (حقن المطالبة، الإخراج غير الآمن، الكشف الحساس، الاستقلالية المفرطة) تماماً مثل كل إطار آخر.
يسرد الحزم المُجسَّدة بالفعل في مساحة العمل هذه، كلٌّ بوضع دورة حياته (observe أو enforce) وسياسة حاجز الحماية + جدار الحماية التي أنشأها.
يسجّل نقاطاً لموقفك الحالي مقابل قائمة فحص كل إطار: أي التحكّمات تستوفيها حواجز حمايتك وقواعد جدار حمايتك الحيّة بالفعل، وأيّها لا يزال ثغرات تنظيمية يجب أن تغلقها بنفسك. اقرأ هذا قبل أن تثبّت أي شيء.

3. ثبّت حزمة

تثبيت حزمة هو لحظة القيمة: يكتب Guardrail حقيقياً (مستوى النص/البيانات) وWorkspaceFirewallPolicy مع قواعد (مستوى استدعاء الأداة) في مساحة عملك، موسومةً بالإطار. كلاهما قابل للتحرير بالكامل بعد ذلك — الحزمة نقطة بداية، لا قالب مقفل. 
# Admin + خطة مدفوعة. يثبّت في وضع observe أولاً.
curl -X POST https://api.orcarouter.ai/api/compliance/packs/soc2/install \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN"
تهبط الحزم الجديدة في وضع observe — إجراءات حاجز الحماية مُكرَهة إلى flag، وجدار الحماية في وضع الظل/السجل فقط — حتى تراقب التغطية قبل أن يحجب أي شيء حركة المرور الحيّة. عندما تكون مستعداً، رقِّها: 
curl -X POST https://api.orcarouter.ai/api/compliance/packs/soc2/golive \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN"
golive تقلب سياسة حاجز الحماية وجدار الحماية المُجسَّدة إلى الفرض. شغّلها بعد مراجعة أوضاع الفرض حتى تعرف بالضبط ما الذي ستفعله deny وmask بحركة المرور الحيّة.
كتابات الحزم الأخرى (كلها Admin): POST …/packs/:key/controls لتوصيل تحكّم واحد، POST …/packs/:key/update لإعادة المزامنة بعد تغيّر الكتالوج، وDELETE …/packs/:key لإلغاء التثبيت.

4. أنشئ تقرير أدلة مُوقَّعاً

التقرير هو الأثر الذي تسلّمه مدقّقاً. كل واحد مُصيَّر من موقفك الحيّ، ومُجزّأ محتواه بـ SHA-256، ومُوقَّع بـ Ed25519 حتى لا يمكن تحريره صامتاً بعد الواقعة. 
curl -X POST https://api.orcarouter.ai/api/compliance/reports \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"framework":"soc2","format":"pdf"}'
الصيغ هي pdf وjson وcsv.
أول تقرير PDF لك مجاني حتى تعرض الأثر. تصدير CSV/JSON والتقارير الإضافية جزء من الخطة المدفوعة — التقرير هو الدليل القابل للبيع، فتعيد البوابة رسالة ترقية ودّية بدلاً من خطأ صلب عندما تصطدم بالسقف المجاني.
اسرد التقارير واجلبها بـ GET …/reports وGET …/reports/:id؛ نزّل الملف المُصيَّر بـ GET …/reports/:id/download (Admin).

5. دع مدقّقاً يتحقّق منه — لا حساب مطلوب

ثلاث نقاط نهاية عامة تجعل تقريراً قابلاً للفحص بشكل مستقل من أي شخص يحمل الملف:

احصل على المفتاح العام

GET /api/public/compliance/pubkey يعيد مفتاح Ed25519 العام الذي توقَّع به تقاريرك.

تحقّق من توقيع

POST /api/public/compliance/verify يفحص توقيع التقرير وتجزئة محتواه ويخبر المستدعي ما إذا عُبث به.

شارك مع مدقّق

اسكُك رابطاً للقراءة فقط من POST …/reports/:id/share (Admin)؛ يفتح المدقّق GET /api/public/compliance/share/:token — لا تسجيل دخول.
لأن التحقّق عام وقابل للفحص دون اتصال، لا يلمس مدقّق أبداً مساحة عملك أو حركة مرورك — يؤكّد التشفير ويقرأ الدليل.

6. إقامة البيانات

الإقامة هنا هي المنطقة التي يُختَم تحتها دليل امتثالك ويُخزَّنus أو eu أو uk أو ap أو cn أو global. تحكم أين تعيش التقارير ومن أي منطقة يجوز تقديمها؛ يُحجَب تقرير إذا قُرئ من منطقة غير مطابقة. (هذا تحكّم في أثر الدليل، وليس تثبيتاً جغرافياً لحركة استدلالك.) 
curl -X PUT https://api.orcarouter.ai/api/compliance/residency \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"region":"eu"}'
اقرأ الإعداد الحالي بـ GET …/residency (أي عضو)؛ تغييره Admin.

7. الاحتفاظ والمحو والتدقيق

مستوى الامتثال مدعوم بنفس ضمانات دورة حياة البيانات التي تنطبق عبر البوابة:
تُحفظ سجلّات الطلبات 30 يوماً افتراضياً و180 يوماً كحد أقصى — تشبك البوابة أي شيء أطول. يغذّي الاحتفاظ مباشرة نقاط جاهزيتك.
يفتح طلب حذف حساب فترة سماح 30 يوماً (الافتراضي)، تُمحى بعدها معلومات PII للحساب بلا رجعة: يُنقّح التسلسل المعرّفات على سجلّات الطلبات المحتفظ بها ويطهّر تطابقات حاجز الحماية، وأحداث جدار الحماية، وسجلّات تتبّع الوكيل ضمن نطاق المستخدم.
قسم سجلّ التغييرات في تقرير امتثال مستمدّ من سجلّ تدقيق مساحة العمل، ضمن نطاق فترة التقرير. تُخفى عناوين بريد الأعضاء والمسؤولين افتراضياً في التقرير المُصدَّر (مثل j•••@acme.com) ما لم تُطلب PII الكاملة صراحةً وقت الإنشاء. انظر كتالوج إجراءات التدقيق.

إلى أين تذهب بعد ذلك

Guardrail API

سياسة مستوى النص/البيانات التي تجسّدها حزمة امتثال.

Firewall API

مستوى سياسة استدعاء الأداة الذي تكتبه الحزمة إلى جانبها.

مجموعة التحكم

كيف تتألّف حواجز الحماية وجدار الحماية والامتثال في موقف واحد.

رموز الأخطاء

كل حالة يمكن للبوابة إعادتها، بما فيها جدار الدفع وبوابات الأدوار.
لتعريفات المصطلحات — حزمة امتثال، تقرير مُوقَّع، إقامة بيانات، الحق في المحو — انظر مسرد المفاهيم.