Saltar al contenido principal
La primera pregunta de un auditor nunca es “¿tienes una política?” — es “muéstrame, cláusula por cláusula, qué control la satisface, y demuestra que se ejecutó.” Una matriz de controles responde exactamente eso: una fila por cláusula en alcance, el plano al que se mapea, el objeto de política vivo que la aplica, y si ese control está covered, aún en observe, es un gap divulgado, o está attested por el dueño. OrcaRouter construye esta matriz por ti a partir de los packs que instalas — el mismo mapeo que alimenta el reporte firmado, así que la vista de preparación y la evidencia nunca pueden divergir. Esta página muestra cómo leer y ensamblar la matriz de controles de cumplimiento de ia para tu espacio de trabajo, con una cláusula concreta recorrida de principio a fin. Para qué contiene realmente un pack, sigue los enlaces al final.

1. Qué es aquí una matriz de controles de cumplimiento de ia

La matriz es la unión de dos listas por framework:
  • las cláusulas que un pack instalado cubre — cada una unida al guardrail o política de firewall exacta que la instalación materializó;
  • las cláusulas que nunca pueden automatizarse en el gateway — capacitación del personal, Acuerdos de Asociado Comercial, acceso físico — autoradas como huecos honestos para que la matriz las divulgue en vez de implicar un falso 100%.
La matriz es una vista, no un segundo motor. Cada fila cubierta apunta a una regla de guardrail o política de firewall real y editable que ya posees — ábrela, léela, ajústala. La matriz solo registra cuál responde a qué cláusula.
Cada cláusula se mapea a exactamente uno de dos planos:

Plano de guardrail

Las cláusulas de contenido — PII confidencial, secretos, divulgaciones requeridas — se mapean a una regla de guardrail con una acción block, mask o flag.

Plano de firewall

Las cláusulas de acción — agencia excesiva, llamadas a herramienta peligrosas, egress — se mapean a una regla de firewall con un veredicto allow / audit / deny en la superficie inbound, response, mcp o egress.

2. Los estados de preparación que puede llevar una fila

Cada fila de la matriz lleva un estado. Estas son las palabras que lee un auditor, así que significan exactamente lo que dicen:
EstadoQué significa
coveredUn control del pack está instalado y aplicando la cláusula.
observeInstalado pero solo registro — recopilando evidencia de lo-habría-bloqueado, no aplicando todavía.
gapNingún control instalado cubre la cláusula (o es organizativa y no puede serlo).
attestedUna cláusula organizativa que un Admin ha atestado como dueño en vez de automatizar.
Un gap no es un fallo — es honestidad. Una cláusula organizativa como la capacitación del personal de HIPAA 45 CFR §164.308(a)(5) nunca puede ser aplicada por un proxy, así que la matriz la expone como un hueco divulgado (o, una vez que un Admin atesta la propiedad, como attested) en vez de pretender que el gateway la cubre.
También hay una superposición de drift: si el mapeo de un pack instalado va por detrás de la versión actual del catálogo, sus filas se renderizan como drift para que sepas que debes reinstalar antes de fiarte de la evidencia.

3. Lee la matriz (una llamada concreta)

El endpoint de preparación devuelve toda la matriz — porcentajes de cobertura por framework, los principales riesgos clasificados sobre la ventana, y una entrada coverage_rows por cláusula. Navegar la preparación está abierto a cada Member del espacio de trabajo y es gratis, así que tus revisores de seguridad y auditoría pueden observar la matriz sin acceso de escritura. La consola conduce esta ruta de gestión bajo tu sesión — nunca entregas una clave de relay sk-orca-… a una ruta de cumplimiento: 
GET /api/compliance/readiness?window=30d
Authorization: Bearer <your console session>
Una sola fila cubierta se ve así — cláusula, plano, estado y el id de política vivo al que se une: 
{
  "framework": "soc2",
  "control_id": "soc2.confidentiality",
  "clause": "TSC CC6.1 Logical access controls",
  "reference": "https://www.aicpa-cima.com/resources/...",
  "plane": "guardrail",
  "state": "covered",
  "guardrail_id": 41,
  "observe_count": 0,
  "organizational": false
}
El guardrail_id (o firewall_policy_id en el plano de firewall) es el campo que soporta la carga: ata la cláusula directamente a un objeto que puedes abrir en la consola y editar como cualquier otro. Ese es el linaje que recorre un auditor — cláusula → id de control → política que la aplica → las coincidencias que produjo.
Leer la matriz es una capacidad Member gratuita. Construirla — instalar un pack para que sus controles poblen las filas — es una acción de Admin del espacio de trabajo en un plan de pago, y el servidor aplica ambas. Un visor o un espacio de trabajo gratuito no puede materializar cobertura llamando a la API directamente. Ver Restricciones por plan.

4. Ensambla la matriz para tus frameworks

Construyes la matriz instalando packs. Cada instalación fusiona sus controles en un guardrail y una política de firewall etiquetados con la procedencia del pack, y sus cláusulas empiezan a poblar coverage_rows:
  1. Elige tus frameworks. La instalación se ejecuta desde la consola en Compliance → Catalog, como Admin del espacio de trabajo. El catálogo cubre regímenes de seguridad y gobernanza de IA (soc2, iso_27001, iso_42001, nist_ai_rmf, eu_ai_act, owasp_llm), regímenes sectoriales (hipaa, pci_dss, glba, nist_800_53) y un amplio conjunto de leyes regionales de privacidad (gdpr, uk_gdpr, ccpa, y más). Navega el conjunto en vivo en Frameworks.
  2. Instala en observe primero. Una instalación fresca aterriza en modo observe — acciones de guardrail forzadas a flag, la política de firewall en shadow — así que cada fila nueva empieza como observe y produce evidencia de lo-habría-bloqueado antes de aplicar.
  3. Observa cómo se llenan las filas. Vuelve a obtener la preparación sobre una ventana real. Las filas cubiertas muestran su observe_count; los huecos siguen divulgados; las cláusulas organizativas esperan atestación.
  4. Ponlo en marcha. Cuando las filas se leen limpias, un Admin del espacio de trabajo lo pone en marcha y las filas observe cambian a aplicación covered.
El OWASP Top 10 para Aplicaciones LLM está en el catálogo como el pack owasp_llm — sus cláusulas (por ejemplo LLM05:2025 Supply Chain) aterrizan en la matriz igual que las de cualquier otro framework, mapeadas a controles vivos o divulgadas como huecos. Ver OWASP LLM Top 10.

5. De la matriz a la evidencia firmada

La matriz que lees en la consola son los mismos datos de cobertura que serializa el reporte — así que cuando generas evidencia, el auditor ve los estados idénticos por cláusula, más los conteos de aplicación que cada control produjo durante el período. Una cláusula que bloqueó 4.000 solicitudes y una cláusula con cero coincidencias se leen muy diferente, y el reporte muestra ambas. Los reportes están hasheados con SHA-256, firmados con Ed25519 y son verificables públicamente.
Los objetos exactos de guardrail y firewall que un pack materializa, y cómo se une cada cláusula a su política que la aplica — ver Contenido del pack.
Por qué cada fila empieza en observe, qué registra y cómo la activación la cambia — ver Observar vs aplicar.
Cómo se renderiza la matriz para un auditor, con estados por cláusula y conteos de aplicación — ver Reporte firmado.

6. Dónde ir a continuación

Instalar un pack

El flujo de instalación completo que puebla la matriz — selección de controles, modo observe y activación.

Todos los frameworks

El catálogo en vivo de frameworks cuyas cláusulas puedes construir en la matriz.

Guardrails vs Firewall

Los dos planos a los que puede mapearse una fila de la matriz, y cómo el resolutor los ejecuta juntos.

Responsabilidad compartida

Por qué algunas cláusulas son aplicables por el gateway y otras siguen siendo tuyas — la frontera que refleja cada fila de hueco.
Una matriz de controles es el puente entre la lista de verificación de un regulador y tu gateway en ejecución: una fila por cláusula, unida al control vivo que la aplica, honesta sobre lo que un proxy no puede cubrir, e idéntica a la evidencia firmada que entregas a un auditor.