Zum Hauptinhalt springen
Der Großteil der KI-Compliance-Arbeit ist Nachweisarbeit: zu belegen, dass die Kontrollen, die ein Framework verlangt, tatsächlich auf dem Pfad laufen, den Ihre Agenten nutzen, und einem Auditor etwas in die Hand zu geben, das er verifizieren kann, ohne Ihnen aufs Wort zu glauben. OrcaRouter verwandelt ein Framework in wenigen Schritten in einen funktionierenden Satz von Kontrollen und einen signierten Report — Sie installieren ein Pack, beobachten es im Observe-Mode, schalten dann die Durchsetzung ein und erzeugen Nachweise. Diese Seite ist der Knotenpunkt. Sie erklärt die beweglichen Teile und verlinkt für jeden auf die fokussierte Seite.

1. Was KI-Compliance am Gateway bedeutet

Ein Compliance-Pack ist ein Framework, ausgedrückt als Kontrollen. Die Installation eines Packs materialisiert zwei echte, editierbare Objekte in Ihrem Workspace:
  • ein Guardrail — die Content-Ebenen-Kontrollen (PII, Secrets, unsichere Ausgaben), die das Framework auf Requests und Responses erwartet;
  • eine Firewall-Policy und ihre Regeln — die Aktionsebenen-Kontrollen (welche Tool-Calls, MCP-Dispatches und Egress-Ziele erlaubt sind).
Weil die Objekte echt sind, ist das Pack kein Häkchen — es ist dieselbe Guardrail- und Firewall-Maschinerie, die der Rest Ihres Workspaces nutzt, dem Framework zugeordnet, sodass Reports ihren Zustand lesen können.
Das Durchsuchen des Katalogs, der installierten Packs und der Readiness ist für jedes Workspace-Member offen und kostenlos. Ein Pack zu installieren und live zu gehen erfordert Workspace-Admin und einen kostenpflichtigen Plan. Einen Report zu erzeugen ist ebenfalls Admin — der kostenlose Plan enthält einen PDF-Report; CSV-/JSON-Exporte und weitere Reports erfordern einen kostenpflichtigen Plan. Das Setzen der Residency ist Admin-gated. Siehe Plan-Gating.

2. Beobachten, bevor Sie durchsetzen

Ein frisch installiertes Pack landet im Observe-Mode: Guardrail-Aktionen werden auf flag (annotieren, nicht blockieren) gezwungen und die Firewall-Policy läuft im Shadow (sie loggt [shadow] would … statt abzulehnen). Nichts, was Ihre Agenten tun, wird unterbrochen, während Sie lernen, was die Kontrollen abgefangen hätten. Wenn die Match- und Event-Feeds sauber aussehen, gehen Sie live — dieselben Objekte wechseln zur echten Durchsetzung. Dieser Observe-dann-Enforce-Bogen ist die wichtigste Gewohnheit beim Compliance-Rollout und hat seine eigene Seite.

Observe vs. Enforce

Der vollständige Rollout-Bogen — was der Observe-Mode loggt, wie Go-Live ihn umlegt und wie Sie das Signal lesen, bevor Sie sich festlegen.

Was ein Pack enthält

Die exakten Guardrail- und Firewall-Objekte, die ein Pack materialisiert, und wie sie auf die Kontrollen des Frameworks abbilden.

3. Ein Framework wählen

Der Katalog deckt allgemeine Sicherheits- und KI-Governance-Frameworks ab (soc2, iso_27001, iso_42001, nist_ai_rmf, eu_ai_act, owasp_llm), Branchenregimes (hipaa, pci_dss, glba, nist_800_53) sowie eine breite Auswahl regionaler Datenschutzgesetze (gdpr, uk_gdpr, ccpa und mehr). Durchsuchen Sie die Live-Liste, statt sie fest zu codieren.

SOC 2

HIPAA

GDPR

EU AI Act

ISO 27001

ISO 42001

NIST AI RMF

OWASP LLM Top 10

PCI DSS

CCPA

Alle Frameworks

Control-Matrix

4. Ein Pack installieren (ein konkreter Ablauf)

Die Installation läuft aus der Konsole unter Compliance → Catalog, als Workspace-Admin. Die Aktion ist serverseitig auf einen kostenpflichtigen Plan gegated; sie materialisiert die Guardrail- und Firewall-Objekte im Observe-Mode. Die Konsole steuert diese Management-Route für Sie (sie nutzt Ihre Session, keinen Relay-Key): 
POST /api/compliance/packs/soc2/install
Authorization: Bearer <your console session>
Öffnen Sie nach der Installation Readiness, um zu sehen, welche Kontrollen erfüllt sind, beobachten Sie die Feeds eine Woche lang und gehen Sie dann live. Die Seite Ein Pack installieren durchläuft die vollständige Sequenz; Nachweise exportieren behandelt, was am anderen Ende herauskommt.
Lesezugriffe bleiben für Members offen, sodass Ihre Sicherheits- und Audit-Prüfer die Readiness ohne Schreibzugriff beobachten können. Nur der Admin, dem der Rollout gehört, benötigt die Install- und Go-Live-Fähigkeit.

5. Signierte, verifizierbare Reports

Ein Compliance-Report ist ein Nachweis, dem ein Auditor vertrauen kann, ohne Ihnen zu vertrauen. Jeder Report trägt einen SHA-256-Content-Hash und eine Ed25519-Signatur über diesen Hash und ist als CSV, JSON oder PDF exportierbar. Die Signatur ist öffentlich verifizierbar — jeder mit dem Report und OrcaRouters öffentlichem Schlüssel kann bestätigen, dass er nicht verändert wurde.
Ein Workspace-Admin erzeugt den Report; er wird bei der Erstellung gehasht und signiert. Siehe Signierter Report.
Holen Sie den öffentlichen Schlüssel von GET /api/public/compliance/pubkey und führen Sie POST /api/public/compliance/verify über den Report aus — kein Konto erforderlich. Siehe Einen Report verifizieren.
Prägen Sie einen Read-only-Link, den Ihr Auditor unter GET /api/public/compliance/share/:token öffnet — auf einen Report beschränkt, kein Login. Siehe Nachweise exportieren.

6. Datenresidenz für Nachweise

Die Residency am Gateway regelt, wo Ihre signierten Compliance-Reports gespeichert und ausgeliefert werden — nicht, wo die Inferenz läuft. Jeder Report wird mit Ihrer deklarierten Region gestempelt, und ein Report wird nur unter einer übereinstimmenden deklarierten Region ausgeliefert; ein regionsübergreifender Lesezugriff wird zurückgehalten. Die Region ist eine von us, eu, uk, ap, cn oder global, setzbar durch einen Workspace-Admin: 
PUT /api/compliance/residency
Authorization: Bearer <your console session>

{ "region": "eu" }
Die Residency ist eine Eigenschaft des Report-Artefakts, keine Garantie, dass Modell-Traffic geo-gepinnt ist. Wenn eine Regulierung verlangt, dass die Inferenz in einer Region bleibt, ist das eine Upstream-Routing-Entscheidung, getrennt davon, wo der Nachweis liegt.

Datenresidenz

Setzen und ändern Sie die Region, unter der Ihre Nachweise gespeichert und ausgeliefert werden.

Regionsübergreifende Lesezugriffe

Warum ein mit einer Region gestempelter Report nicht unter einer anderen ausgeliefert wird und wie Sie Multi-Region-Programme handhaben.

7. Aufbewahrung und Löschung

Zwei Uhren zählen für die KI-Compliance, und beide haben für den Kunden beobachtbare Defaults:
GegenstandDefaultHartes Limit
Request-Log-Aufbewahrung30 Tage180 Tage (serverseitig geklemmt)
Nutzer-Löschungsfrist30 Tage, dann PII-Bereinigung
Das Recht auf Löschung ist eingebaut: Eine Selbstlöschung startet ein 30-Tage- Gnadenfenster, nach dem PII bereinigt wird und der Cascade Guardrail-Matches, Request-Logs und Firewall-Events löscht. Die Seiten Aufbewahrung, Recht auf Löschung und Einwilligung behandeln die DSAR-Mechanik.

8. Wo dies hineinpasst

Compliance liest dieselben Kontrollen, die der Rest des Sicherheitsmodells konfiguriert. Wenn Sie hier zuerst landen, beginnen Sie mit den Konzepten:

Geteilte Verantwortung

Was das Gateway absichert versus was Ihnen bleibt — die ehrliche Grenzkarte für jede Compliance-Aussage.

Enforcement-Modi

Observe, Audit und Enforce — das gemeinsame Vokabular hinter dem Go-Live.

Der Control-Stack

Keys, Guardrails, Firewall und Audit als ein Bild.

Glossar

Pack, Readiness, Residency, Attestation und der Rest der Begriffe.
Ein Compliance-Programm auf OrcaRouter ist jedes Mal dieselbe Schleife: Installieren Sie das Pack, beobachten Sie, was es abfängt, gehen Sie live und übergeben Sie Ihrem Auditor einen signierten Report, den er selbst verifizieren kann.