Saltar al contenido principal
Si tu app de IA toca a consumidores de California, tres deberes de CCPA / CPRA aterrizan en la ruta misma de la solicitud: no filtrar información personal de consumidores a un modelo que no la necesita (§1798.100), dar a la información personal sensible un manejo reforzado (§1798.140), y mantener registros que puedas mostrar a un regulador (§1798.130). El pack de CCPA / CPRA convierte esos en controles aplicados que instalas en una llamada — sin autorar políticas desde cero. Esta página es el aterrizaje de ccpa ai: qué materializa realmente instalar el pack, un flujo de instalación concreto, y dónde encaja el derecho de exclusión del consumidor. Para la referencia completa de la capa de contenido, sigue los enlaces en vez de releerlas aquí.

1. Qué instala el pack de CCPA / CPRA

Navegar el catálogo es gratis para cualquier Member del espacio de trabajo; instalar es una acción de plan de pago, de Admin del espacio de trabajo (la misma compuerta que poner en marcha — ver Restricciones por plan). Una instalación materializa filas reales y editables de Guardrail mapeadas a secciones del Código Civil de California:
Un guardrail de PII estricto que bloquea la solicitud en la etapa input cuando hay información personal de consumidor (correo, teléfono, SSN, tarjeta de crédito, IP) presente — así que nunca llega al proveedor. Este es un control de rechazo duro, no un redactor.
Un guardrail de PII que enmascara los identificadores sensibles — SSN, tarjeta de crédito e IBAN — en ambas etapas. Las entidades enmascaradas se renderizan como etiquetas tipadas como [SSN] y [CREDIT_CARD], así que la categoría SPI obtiene un manejo reforzado y redactado.
Un guardrail de registro que marca las apariciones de PII y registra cada decisión de guardrail como evidencia de mantenimiento de registros — sin bloquear ni modificar el tráfico — alimentando el reporte firmado que lee tu auditor.
El pack es un punto de partida que posees, no una caja negra. Cada regla que escribe es una fila ordinaria de guardrail que puedes editar, reordenar, redirigir (input / output / both) o deshabilitar en la consola después. El conjunto de entidades incluido y las anulaciones de acción por entidad viven en la referencia de Guardrails.

2. Instala el pack de CCPA / CPRA (un flujo concreto)

Instala desde la consola en Compliance → Packs, con sesión iniciada como Admin del espacio de trabajo en un plan de pago. La consola conduce la ruta de gestión por ti usando tu sesión — esta es una ruta UserAuth, nunca una clave de relay (sk-orca-…): 
POST /api/compliance/packs/ccpa/install
Authorization: Bearer <your console session>
Antes de comprometerte, abre el catálogo como Member para confirmar exactamente a qué framework estás mapeando: 
GET /api/compliance/catalog
Authorization: Bearer <your console session>

{
  "key": "ccpa",
  "name": "CCPA/CPRA",
  "framework": "California Consumer Privacy Act (as amended by CPRA)",
  "jurisdiction": "US-CA"
}
Instala en observe primero si prefieres observar antes de aplicar. El control §1798.100 es un bloqueo duro — ejecutar la regla materializada en modo audit durante una semana te muestra exactamente qué tráfico habría rechazado antes de que se detenga realmente cualquier solicitud de consumidor. Ver Observar vs aplicar.

3. El control de PII de consumidor en la solicitud

El control CCPA que soporta la carga es mantener la información personal de consumidor fuera del modelo, y en el gateway eso es un guardrail de PII evaluado antes de que la solicitud llegue al proveedor. El pack envía dos posturas complementarias:
ControlAcciónQué cubre
Información personalblock (input)correo, teléfono, SSN, tarjeta de crédito, IP
PI sensiblemask (both)SSN, tarjeta de crédito, IBAN
El bloqueo rechaza la solicitud de plano; el enmascarado la deja pasar con los identificadores sensibles intercambiados por etiquetas tipadas. Tú decides qué postura encaja con qué tráfico — ambas son filas ordinarias de guardrail tras la instalación, así que puedes cambiar una entidad de block a mask, estrechar el conjunto de entidades, o agregar tus propios patrones de entidad personalizada (regex, verificación Luhn opcional) para identificadores específicos de tu producto.
Los controles de etapa de entrada están totalmente en vivo. El enmascarado en vivo de la salida en streaming está en la hoja de ruta — hoy, el enmascarado de etapa de salida es solo sin streaming, mientras que un block de salida se aplica tanto en respuestas en streaming como sin streaming. Planifica tu minimización de PII de consumidor en torno a la etapa input, donde está totalmente aplicada.

4. El derecho de exclusión (el lado humano)

El derecho de consumidor distintivo de CCPA — excluirse de la venta o el intercambio de información personal (§1798.120) — y el deber de aviso en la recolección (§1798.130) son controles organizativos en la lista de verificación de preparación, no reglas que el gateway pueda autorar por ti. Dependen de tus procesos de negocio, no de la ruta de la solicitud.
OrcaRouter rastrea estos como elementos de preparación para que tu auditor vea la imagen completa de CCPA, pero el flujo de No-Vender y tus divulgaciones de política de privacidad son tuyos para operar. El gateway evidencia lo que aplica (los controles de PII y mantenimiento de registros anteriores); tú atestas lo que no puede ver. La división está mapeada en la página de Responsabilidad compartida.

5. Residencia, retención y eliminación de consumidor

Tres ajustes a nivel de espacio de trabajo completan una postura de CCPA:

Residencia para tu evidencia

Estampa los reportes firmados con una región (us / eu / uk / ap / cn / global) para que un auditor de California lea evidencia residente en EE. UU. Establécela antes de generar reportes — gobierna el artefacto, no dónde se ejecuta la inferencia.

Retención de registros

La retención de registros de solicitud por defecto es de 30 días, recortada en el servidor a un máximo de 180 días. Bajarla reduce la ventana en que los datos del consumidor residen en los registros en absoluto.
Una solicitud de eliminación del consumidor (§1798.105) se mapea a la autoeliminación de cuenta de OrcaRouter: un flujo de gracia-luego-limpieza — eliminación suave y bloqueo de inicio de sesión en la solicitud, una ventana cancelable de 30 días, luego una limpieza irreversible de PII que cascada una purga a través de los registros de solicitud, las coincidencias de guardrail y los eventos de firewall. El flujo completo está en la página de Derecho al borrado. Establece la residencia como Admin del espacio de trabajo — una ruta UserAuth, conducida desde la consola: 
PUT /api/compliance/residency
Authorization: Bearer <your console session>
Content-Type: application/json

{ "region": "us" }

6. Demuéstralo con un reporte firmado

Una vez que el pack está en marcha, genera un reporte de cumplimiento: está hasheado con SHA-256 y firmado con Ed25519, así que un auditor puede verificar que fue producido por OrcaRouter y no alterado — públicamente, sin un inicio de sesión. 
POST /api/compliance/reports
Authorization: Bearer <your console session>
Content-Type: application/json

{ "framework": "ccpa" }
Cualquiera puede verificar la firma contra la clave pública, y puedes entregar a un auditor un enlace de compartición acotado y con límite de tiempo. La mecánica vive en Reporte firmado y Verificar un reporte.

7. Dónde encaja esto

CCPA / CPRA es un framework en el bucle de cumplimiento más amplio — instala un pack, obsérvalo, aplica, declara la residencia, luego entrega evidencia firmada.

Visión general de cumplimiento

El bucle completo — instalar, observar, aplicar y entregar evidencia firmada.

Qué instala un pack

Cómo un pack materializa filas de guardrail y firewall que posees.

GDPR

El framework de privacidad de la UE — minimización, transferencias y borrado.

Guardrails

La referencia de la capa de contenido — entidades de PII, enmascarado y anulaciones.
Para la frontera entre lo que el gateway aplica bajo CCPA y lo que sigue siendo tuyo — el flujo de exclusión, tus divulgaciones, desencadenar eliminaciones — el mapa de Responsabilidad compartida pone el pack de CCPA / CPRA en contexto.