Zum Hauptinhalt springen
Sie wählen kein Framework, um eine Marketing-Checkliste zu lesen. Sie wählen eines, um — einem Auditor, einem Kunden, einem Regulierer — zu beweisen, dass die Kontrolle, die es verlangt, tatsächlich auf dem Pfad läuft, den Ihre Agenten nutzen. OrcaRouter liefert einen Katalog von Frameworks als installierbare Packs aus, und jedes Framework in diesem Katalog bildet auf dieselbe Guardrail- und Firewall-Maschinerie ab, auf der der Rest Ihres Workspaces läuft, plus einen signierten Report, der schnappschusst, was abgefangen wurde. Diese Seite listet das echte Framework-Register auf und zeigt, wie jedes zu Nachweisen wird. Für den Install-und-Go-Live-Bogen beginnen Sie beim Compliance-Überblick.

1. Die KI-Compliance-Frameworks im Katalog

Der Katalog ist das Live-Register — durchsuchen Sie es unter Compliance → Catalog, statt eine Anzahl fest zu codieren, da Packs im Laufe der Zeit hinzugefügt werden. Zum Zeitpunkt dieses Schreibens umspannt er allgemeine Sicherheits- und KI-Governance-Standards, Branchenregimes und eine breite Auswahl regionaler Datenschutzgesetze. Die Konsole gruppiert sie in fünf Kategorie-Tabs: ai, privacy, security, financial und healthcare.
eu_ai_act · nist_ai_rmf · iso_42001 · owasp_llm · colorado_ai. OWASP LLM Top 10 wird als echtes installierbares Pack (owasp_llm) ausgeliefert, nicht nur als Control-Mapping-Ansicht — siehe OWASP LLM Top 10.
soc2 · iso_27001 · nist_800_53 · cmmc. Allgemeine Trust- und Informationssicherheits-Standards, gemappt auf die Content- und Aktionsebenen.
pci_dss · glba · dora_eu. Payment-, Banking- und Betriebsresilienz-Regimes — PAN-Maskierung, Secret-Hygiene, Gefährliche-Tool-Kontrollen und Egress-Nachweis.
hipaa · hitrust. PHI-Redaktion, De-Identifizierung und Transmission-Security-Egress-Guards.
gdpr · uk_gdpr · ccpa · china_pipl · appi_jp · pipa_kr · lgpd_br · pipeda_ca · dpdp_in · privacy_au · pdpa_sg · vcdpa_va · cpa_co · ctdpa_ct · ucpa_ut · tdpsa_tx · ferpa · coppa. Jedes trägt Datenminimierungs-, Sonderkategorie-Handhabungs- und Verarbeitungsverzeichnis-Kontrollen, abgestimmt auf die Jurisdiktion.
Jedes Pack trägt ein Wirksamkeitsdatum und den Monat, in dem sein Control-Mapping zuletzt überprüft wurde, beide im Katalog und im Report aufgeführt — sodass ein Auditor sehen kann, wie aktuell das Mapping ist, nicht nur, dass es existiert.

2. Was „Nachweis” für ein Framework bedeutet

Die Installation eines Packs materialisiert zwei echte, editierbare Objekte in Ihrem Workspace, und sie sind das, was der Report liest:
  • ein Guardrail — die Content-Ebenen-Kontrollen (PII, PHI, Secrets, unsichere Ausgaben), die das Framework auf Requests und Responses erwartet;
  • eine oder mehrere Firewall-Policy-Regeln — die Aktionsebenen-Kontrollen (welche Tool-Calls, MCP-Dispatches und Egress-Ziele erlaubt oder auditiert sind).
Weil die Objekte echt sind, ist der Nachweis des Frameworks keine Selbstattestierung — er ist der Live-Zustand und die Match-History von Kontrollen, die Ihr Traffic bereits überquert. Ein Report schnappschusst diesen Zustand zum Erzeugungszeitpunkt über acht Nachweis-Abschnitte (Coverage, Enforcement, Consent, Change Log, Admin Access, Gaps, Subprozessoren und Access Reviews), sodass das Artefakt in sich geschlossen bleibt, selbst nachdem Logs gealtert sind.
Nachweis-AbschnittWas er erfasst
CoverageWelche in-scope-Kontrollen von einem installierten Pack erfüllt werden
EnforcementOb jede Kontrolle live oder noch im Observe-Mode ist
Change LogDie versionierte History der Policy-Bearbeitungen hinter den Kontrollen
Reports schnappschussen auch Consent-, Admin-Access- und Gaps-Abschnitte; siehe Pack-Inhalte für die vollständige Karte der Kontrollen, die ein Pack ablegt.
Die in-scope-Checkliste eines Frameworks ist die Vereinigung von pack-abgedeckten Kontrollen und den organisatorischen Klauseln (Mitarbeiterschulung, BAAs, DPIAs, physischer Zugang), die niemals am Gateway automatisiert werden können. Diese organisatorischen Punkte rendern immer als offengelegte ⚠ Gap mit Anleitung — sodass die Vollständigkeit ehrlich ist, niemals stillschweigend 100 %.

3. Ein konkreter Ablauf: SOC 2

Angenommen, Sie brauchen SOC-2-Nachweise. Installieren Sie als Workspace-Admin auf einem kostenpflichtigen Plan das Pack aus der Konsole unter Compliance → Catalog. Die Konsole steuert die Management-Route für Sie mit Ihrer Session (keinem Relay-Key): 
POST /api/compliance/packs/soc2/install
Authorization: Bearer <your console session>
Das soc2-Pack materialisiert ein Guardrail, das vertrauliche PII maskiert und Guardrail-Entscheidungen aufzeichnet, plus eine Firewall-Regel, die jeden Tool-Dispatch auditiert — gemappt auf TSC CC6.1, CC7.2. Es landet im Observe-Mode, sodass nichts, was Ihre Agenten tun, unterbrochen wird, während Sie die Match- und Event-Feeds beobachten. Wenn die Feeds sauber aussehen, gehen Sie live und erzeugen den Report: 
POST /api/compliance/packs/soc2/golive
Der Report kommt Ed25519-signiert und SHA-256-gehasht heraus, exportierbar als CSV, JSON oder PDF, und öffentlich verifizierbar — Ihr Auditor bestätigt ihn mit OrcaRouters öffentlichem Schlüssel, kein Konto erforderlich. Die organisatorischen SOC-2-Klauseln (Change Management, Risikobewertung) erscheinen als offengelegte gaps mit Anleitung, weil sie in Ihrem Prozess leben, nicht im Gateway.
Das Durchsuchen des Katalogs, der installierten Packs und der Readiness ist für jedes Workspace-Mitglied offen und kostenlos. Nur der Admin, dem der Rollout gehört, benötigt Install, Go-Live und Residency — sodass Ihre Audit-Prüfer die Readiness ohne Schreibzugriff beobachten können.

4. Das Register programmatisch lesen

Die Katalog- und Readiness-Lesezugriffe sind für Members offen, sodass ein Prüfer oder ein CI-Job die aktuelle Framework-Liste und den Pro-Kontrolle-Status ohne Schreibzugriff ziehen kann. Die Konsole nutzt Ihre Session für diese Management-Routen: 
GET /api/compliance/catalog      # the live framework registry
GET /api/compliance/readiness    # per-control satisfied / gap status
Codieren Sie keine Framework-Anzahl oder -Liste fest in Ihr eigenes Tooling. Der Katalog ist die Quelle der Wahrheit und wächst im Laufe der Zeit. Lesen Sie /api/compliance/catalog und greifen Sie auf den Framework-key (soc2, hipaa, eu_ai_act, …) zu, statt auf einen Namens-String.

5. Vom Framework zu den Kontrollen darunter

Ein Framework ist eine Ansicht von Kontrollen, die Sie auch direkt konfigurieren können. Wenn Sie verstehen oder tunen wollen, was ein Pack ablegt — oder dieselbe Abdeckung von Hand bauen —, sind die tiefen Referenzen:

Guardrails

Die Content-Ebenen-Referenz — PII- und PHI-Entitäten, Secrets, unsichere Ausgaben und die block / mask / flag-Aktionen, die ein Pack nutzt.

Agent-Firewall

Die Aktionsebenen-Referenz — Tool-, MCP- und Egress-Regeln und die audit / deny / sanitize-Verdikte hinter der Firewall-Policy eines Packs.

Was ein Pack enthält

Die exakten Guardrail- und Firewall-Objekte, die jedes Framework materialisiert.

Control-Matrix

Jede Kontrolle über Frameworks hinweg in einem Raster gemappt.

6. Pro-Framework-Seiten

Die Frameworks mit ihrer eigenen fokussierten Seite:

SOC 2

HIPAA

GDPR

EU AI Act

ISO 27001

ISO 42001

NIST AI RMF

OWASP LLM Top 10

PCI DSS

CCPA

7. Wo dies hineinpasst

Observe vs. Enforce

Landen Sie jedes Pack zuerst im Observe-Mode; lesen Sie das Signal vor dem Go-Live.

Signierter Report

Wie ein Report gehasht und signiert wird und was ein Auditor verifiziert.

Geteilte Verantwortung

Was das Gateway absichert versus was Ihnen bleibt — die ehrliche Grenze hinter jeder Framework-Aussage.

Enforcement-Modi

Observe, Audit und Enforce — das gemeinsame Vokabular hinter dem Go-Live.
Der Katalog wächst, aber die Form ändert sich nie: Wählen Sie ein Framework, installieren Sie sein Pack, beobachten Sie, was es abfängt, gehen Sie live und übergeben Sie Ihrem Auditor einen signierten Report, der Klausel für Klausel auf Kontrollen gemappt ist, die Ihr Traffic tatsächlich überquert hat.