Zum Hauptinhalt springen
Wenn ein Auditor fragt, wie Ihr KI-Gateway ein Trust Services Criterion durchsetzt, reichen Screenshots eines Dashboards nicht aus. Dieses Rezept verwandelt die Kontrollen, die Sie bereits auf OrcaRouter betreiben, in SOC-2-Evidenz, die KI-Auditoren unabhängig verifizieren können: das SOC-2-Pack installieren, es im Observe-Mode beobachten, auf Enforce flippen, dann einen kryptografisch signierten Readiness-Report exportieren und einen schreibgeschützten Link teilen. Alles unten ist Workspace-Konfiguration in der Konsole — Ihre App ruft weiterhin unverändert /v1/chat/completions auf.
Das Durchsuchen des Katalogs und das Lesen der Readiness sind für jedes Mitglied offen und kostenlos. Ein Pack zu installieren, einen Report zu generieren, live zu gehen und Residency zu setzen sind Workspace-Admin- Aktionen und erfordern einen kostenpflichtigen Plan — das Gateway setzt beides serverseitig durch. Die Compliance-Management-Routen unter /api/compliance/* verwenden Ihre Konsolen-Session, nicht einen Relay-Schlüssel.

1. Der SOC-2-Evidenz-Workflow in vier Schritten

Ein SOC-2-Evidenz-Trail auf OrcaRouter sind vier Schritte, die Sie einmal ausführen, dann den Report erneut ausführen, wann immer der Auditor einen frischen Snapshot will:

Das Pack installieren

Das soc2-Pack materialisiert ein Guardrail und eine Firewall-Policy, abgebildet auf die Trust Services Criteria — zuerst im Observe-Mode installiert.

Beobachten, dann durchsetzen

Observe sammelt „would-have-blocked”-Evidenz mit null Blast-Radius; Go-live flippt dieselben Kontrollen auf durchsetzend.

Einen signierten Report generieren

Exportieren Sie einen Ed25519-signierten, SHA-256-gehashten Readiness-Report als PDF, JSON oder CSV.

Mit dem Auditor teilen

Übergeben Sie einen schreibgeschützten Share-Link; der Auditor verifiziert die Signatur gegen den öffentlichen Schlüssel von OrcaRouter — kein Konto nötig.
Der Rest dieser Seite durchläuft alle vier mit einem konkreten SOC-2-Beispiel.

2. Das SOC-2-Pack installieren

Öffnen Sie Compliance in der Konsole und durchsuchen Sie den Katalog (GET /api/compliance/catalog, Member). Das soc2-Pack bildet auf die AICPA SOC 2 Trust Services Criteria ab. Seine gateway-durchgesetzten Kontrollen sind die Handhabung vertraulicher Daten (TSC CC6.1), Systemüberwachung (TSC CC7.2) und ein Tool-Call-Audit-Trail (TSC CC7.2). Installieren Sie es (Workspace-Admin, kostenpflichtiger Plan): 
POST /api/compliance/packs/soc2/install
Das Installieren materialisiert zwei Enforcement-Objekte in einer atomaren Transaktion:
  • ein Workspace-Guardrail — die Content-Policy-Ebene (PII, Secrets und der Rest der Kriterien, die Request-/Response-Text prüfen), und
  • eine Workspace-Firewall-Policy — die Aktionsebene (Tool-Calls, MCP-Dispatches und Egress, die auf Zugriffs- und Change-Management-Kriterien abbilden).
Das Pack landet per Default im Observe-Mode. Im Observe werden Guardrail-Aktionen zu flag gezwungen und die Firewall-Policy läuft im Shadow — jede Kontrolle zeichnet auf, was sie getan hätte, ohne einen einzigen Live-Request zu berühren. Das ist Ihre erste Charge Evidenz.
Manche Trust-Services-Klauseln sind organisatorisch — Mitarbeiterschulung, Lieferantenvereinbarungen — und ein Gateway kann sie nicht durchsetzen. Der Report offenbart diese ehrlich als Lücken, statt eine Abdeckung zu behaupten, die er nicht produzieren kann. Siehe Enforcement-Modi dafür, wie sich Observe, Shadow und Enforce unterscheiden.

3. Ihre Live-Readiness lesen

Mit installiertem Pack zeigt Compliance → Readiness (GET /api/compliance/readiness, Member) Ihre Haltung pro Framework: wie viele Kontrollen durchsetzend sind, wie viele noch im Observe sind und wie viele Lücken bleiben. Jede Klausel bildet auf die Guardrail- oder Firewall-Kontrolle ab, die sie erfüllt, mit einem Abdeckungszustand, in den Sie hineinbohren können.
Lassen Sie eine Woche im Observe laufen, bevor Sie durchsetzen. Die Readiness-Ansicht plus der Guardrail-Matches-Feed und der Firewall-Events-Feed sagen Ihnen genau, was blockiert worden wäre — sodass Sie False Positives tunen, bevor irgendein echter Request gesteuert wird.

4. Von Observe auf Enforce flippen

Sobald die Would-have-blocked-Evidenz sauber aussieht, nehmen Sie das Pack live (Admin): 
POST /api/compliance/packs/soc2/golive
Go-live stellt die deklarierten Aktionen des Guardrails wieder her (flag wird zu block/mask wie entworfen) und nimmt die Firewall-Policy aus dem Shadow-Mode, sodass dieselben Kontrollen nun auf dem Relay-Pfad durchsetzen. Promoten Sie optional das Guardrail des Packs im selben Aufruf zum Workspace-Default, sodass jeder Schlüssel es erbt.
Enforce ist eine echte Haltungsänderung: Ein blockierter Prompt gibt nun HTTP 400 guardrail_blocked zurück und ein abgelehnter Tool-Call gibt HTTP 400 firewall_blocked zurück. Ein Block kostet kein Kontingent — Input-Blocks sind pre-Metering und Output-Blocks werden erstattet — aber er wird Traffic stoppen, der eine Kontrolle verletzt. Das ist der Sinn; bestätigen Sie nur zuerst Ihre Observe-Evidenz.

5. Einen signierten Report generieren

Das ist das Artefakt, das Sie dem Auditor übergeben. Generieren Sie es (Admin): 
POST /api/compliance/reports
{
  "framework": "soc2",
  "format": "pdf"
}
format ist eines von pdf, json oder csv. Jeder Report ist mit Ed25519 signiert über den kanonischen Evidenz-Hash und trägt einen SHA-256-Content-Hash, sodass er manipulationssicher und unabhängig verifizierbar ist — der Auditor muss Ihrem Screenshot nicht vertrauen, er verifiziert die Signatur.
Die Abdeckungsmatrix jedes installierten Frameworks: Klausel → Kontrolle → Zustand (enforcing / observe / gap), plus die während Observe erfasste Would-have-blocked-Evidenz. Organisatorische Klauseln werden als offengelegte Lücken aufgeführt, nicht still fallengelassen.
Die Signatur bindet den Evidenz-Hash des Reports an den Signaturschlüssel von OrcaRouter. Jeder — einschließlich eines Auditors ohne OrcaRouter-Konto — kann bestätigen, dass der Report nach der Generierung nicht verändert wurde, indem er ihn gegen den öffentlichen Schlüssel prüft.

6. Mit Ihrem Auditor teilen

Erstellen Sie einen schreibgeschützten Share-Link für den Report (Admin): 
POST /api/compliance/reports/:id/share
Der Auditor öffnet den öffentlichen Share-Endpunkt — kein Login: 
GET /api/public/compliance/share/:token
Er verifiziert dann die Signatur selbst gegen den veröffentlichten Schlüssel von OrcaRouter:
EndpunktZweck
GET /api/public/compliance/pubkeyDen öffentlichen Ed25519-Schlüssel abrufen.
POST /api/public/compliance/verifySignatur + Hash eines Reports bestätigen.
Ein Share-Link ist widerrufbar. Stellen Sie einen pro Audit-Engagement aus und widerrufen Sie ihn (DELETE /api/compliance/share/:shareId, Admin), wenn das Engagement schließt — der Report selbst bleibt in Ihrem Workspace-Verlauf.

7. Festpinnen, wo der Report lebt

Auditoren und Regulierer kümmern sich oft darum, wo die Evidenz gespeichert ist. Setzen Sie die Region, an die Ihre Compliance-Report-Artefakte gepinnt werden (us, eu, uk, ap, cn, global), über PUT /api/compliance/residency (Admin). Cross-Region-Lesungen eines Reports werden zurückgehalten.
Residency pinnt nur die Region des Report-Artefakts — es ist kein Geo-Pinning von Inferenzdaten. Es steuert, wo Ihre signierte Evidenz lebt, nicht wohin Requests geroutet werden.

8. Verifizieren vor dem Audit

Beweisen Sie, dass der Trail echt ist, bevor jemand ihn prüft:
1

Abdeckung bestätigen

Öffnen Sie Readiness und bestätigen Sie, dass die erwarteten SOC-2-Kontrollen enforcing zeigen, nicht Observe, ohne überraschende Lücken.
2

Die Signatur durchspielen

Generieren Sie einen Report, dann POST /api/public/compliance/verify ihn gegen den öffentlichen Schlüssel — bestätigen Sie, dass er validiert, bevor Sie teilen.
3

Den Share-Link ausgeloggt öffnen

Rufen Sie GET /api/public/compliance/share/:token in einer sauberen Browser-Session auf, um genau zu sehen, was Ihr Auditor sehen wird.

Verwandt

Guardrails-Referenz

Die Content-Policy-Ebene, die das SOC-2-Pack materialisiert.

Firewall-Referenz

Die Aktionsebene hinter den Zugriffs- und Change-Kontrollen des Packs.

Enforcement-Modi

Wie sich Observe, Shadow und Enforce unterscheiden — und warum Observe-first.

HIPAA-Deployment

Derselbe Pack-und-Report-Workflow für ein Healthcare-Framework.

PII-sicheres Logging

Rohe PII aus den Logs heraushalten, aus denen Ihre Evidenz schöpft.

Go-live-Checkliste

Zero Trust einschalten, bevor Sie Kontrollen auf Enforce flippen.