Saltar al contenido principal
Cuando un auditor pide evidencia, no quiere un inicio de sesión a un dashboard — quiere un archivo. OrcaRouter deja a un Admin del espacio de trabajo generar un reporte de cumplimiento en CSV, JSON o PDF, donde el CSV es un flujo de filas plano y etiquetado por sección que cualquier auditor puede abrir en una hoja de cálculo, ordenar y grepear. Un archivo lleva cobertura, conteos de aplicación, consentimiento, historial de cambios y acceso de admin para un solo framework sobre un período elegido. Esta página cubre la exportación de evidencia CSV específicamente: quién puede generarla, qué significan las columnas y cómo se ata de vuelta al reporte firmado y verificable. Para el flujo más amplio de catálogo-a-activación, empieza en la visión general de cumplimiento.

1. Por qué exportar evidencia de auditoría de ia como CSV

Un PDF firmado es el artefacto que entregas a un revisor; un CSV es el artefacto en el que un revisor realmente trabaja. El mismo paquete de evidencia se renderiza a cualquiera de los dos — el CSV solo aplana cada sección en una sola tabla de ancho fijo para que un auditor pueda filtrar por section, ordenar por at_utc o grepear un id de control sin abrir tu consola.

PDF

El artefacto presentable. El primer PDF es gratis para demostrar en cualquier plan.

CSV

La tabla plana y etiquetada por sección que un auditor abre en una hoja de cálculo. De pago.

JSON

La misma evidencia como registros estructurados para tu propio pipeline. De pago.
Cada formato se construye desde el mismo paquete de evidencia y el mismo hash de contenido — el CSV es una renderización, no un reporte distinto. Cambiar de formato no cambia lo que dice la evidencia, solo cómo se lee.

2. Quién puede exportar, y qué cuesta

Navegar y leer tu postura de preparación es gratis para cada miembro. Generar un reporte es una acción de Admin: el plan gratuito incluye un reporte PDF, mientras que la exportación CSV/JSON y los reportes adicionales requieren un plan de pago. La verificación se aplica del lado del servidor, así que una llamada directa a la API no puede saltársela.
AcciónRolPlan
Navegar catálogo / preparaciónMemberGratis
Generar el primer PDFAdminGratis
Generar CSV / JSONAdminDe pago
Los planes gratuitos incluyen un reporte PDF para demostrar el artefacto. La exportación CSV y JSON, más cualquier reporte adicional, requieren un plan de pago — el servidor devuelve un aviso de upgrade en caso contrario, independientemente de cómo se haga la llamada. Ver restricciones por plan para el mapa completo gratis/de-pago.

3. Una exportación concreta

La exportación es un flujo de dos llamadas desde la consola: un Admin genera el reporte (async — devuelve pending de inmediato), luego descarga el artefacto una vez que está ready. Ambas rutas usan tu sesión de consola (UserAuth), no una clave de relay.
1

Genera el reporte como CSV (Admin, de pago)

Elige un framework y un período, escoge CSV y genera. El reporte se encola y se renderiza del lado del servidor desde tus datos reales de aplicación para esa ventana.
# Autenticado por sesión (UserAuth), Admin + plan de pago. Conducido desde la consola.
POST /api/compliance/reports
{
  "framework": "soc2",
  "format": "csv",
  "period_start": 1717200000,
  "period_end": 1719792000
}
La PII (correos de miembros y actores) se enmascara por defecto en cada exportación. Opta por correos sin redactar solo cuando tu auditor lo requiera — la privacidad es el valor por defecto, no la excepción.
2

Descarga el artefacto (Admin)

Una vez que el reporte está ready, descárgalo. El archivo se transmite con una cabecera de adjunto para que aterrice como un .csv listo para abrir en una hoja de cálculo.
GET /api/compliance/reports/{id}/download
# → text/csv attachment
Un reporte se estampa con la región de residencia de datos de tu espacio de trabajo en el momento de la generación. Si más tarde cambias la región, el artefacto antiguo se retiene y debes regenerarlo — las lecturas entre regiones no se sirven.

4. Qué contiene el CSV

El CSV es una sola tabla coherente: un encabezado fijo de siete columnas, y una etiqueta section en cada fila para que un solo archivo lleve todas sus secciones. El orden de las filas es determinista — dos renderizaciones de la misma evidencia producen un CSV idéntico byte a byte. 
section, id, name, clause_or_action, status_or_value, detail, at_utc
Framework, jurisdicción, el período de reporte, quién mapeó los controles, un descargo y la región de residencia de datos estampada.
Una fila por control mapeado: su id, nombre, cláusula, estado y el plano (guardrails o firewall) que lo aplica.
Totales del período: violaciones de guardrail, y conteos de firewall permitidos / bloqueados / auditados — el registro real de aplicación, no una afirmación.
Cambios de versión de guardrail (operación + autor) y cambios del registro de auditoría, cada uno con marca de tiempo — el historial a prueba de manipulaciones de tus ediciones de política.
Actor admin, acción y el recurso tocado — el rastro de acceso privilegiado que buscan los auditores.
Controles sin cobertura, etiquetados gateway-enforceable u organizational para que sepas qué huecos cierras en política frente a proceso.
Tus subprocesadores de IA, una revisión de acceso de claves (estado + expiración) y el listado de usuarios admin.
Cada celda de texto libre está blindada contra inyección de fórmulas de hoja de cálculo — un valor que comienza con =, +, - o @ se prefija con una comilla literal para que abrir el archivo nunca ejecute un payload que viajó en una subcadena coincidente.

5. El CSV es evidencia firmada, no una hoja de cálculo suelta

Un reporte de cumplimiento — en cualquier formato — está firmado con Ed25519 y lleva un hash de contenido SHA-256 sobre su evidencia canónica. Eso hace al artefacto verificable públicamente: cualquiera al que se lo entregues puede confirmar que vino de tu espacio de trabajo y no ha sido alterado, sin una cuenta de OrcaRouter.

Verificar un reporte

Cómo un destinatario verifica la firma contra la clave pública — sin inicio de sesión requerido.

Reportes firmados

Qué se firma, el hash de contenido y el enlace de compartición para el auditor.
¿Necesitas enviar evidencia a un auditor externo sin exportar un archivo en absoluto? Emite un enlace de compartición para el auditor con límite de tiempo en su lugar — sirve el mismo reporte firmado de solo lectura. Ver reportes firmados.

6. Exportar coincidencias crudas de guardrail

El CSV de cumplimiento es la evidencia curada y mapeada al framework. Si un auditor quiere el feed de coincidencias crudas — cada acierto individual de guardrail detrás de los conteos — puedes transmitirlo por separado como CSV o JSON, filtrado a tu vista actual. 
# Autenticado por sesión (UserAuth). Transmite tus coincidencias filtradas como CSV.
GET /api/guardrail/match/export?format=csv
Cada fila es una coincidencia: tiempo, guardrail, tipo y etiqueta de regla, etapa, acción, modelo, token, detalle, la subcadena coincidente, id de solicitud e IP. Las exportaciones están limitadas por solicitud y la subcadena coincidente solo aparece cuando Log raw content está habilitado en el guardrail (apagado por defecto).
Esta exportación es evidencia operativa fila-por-coincidencia, no un artefacto de cumplimiento firmado. Para evidencia firmada y mapeada al framework, genera un reporte de cumplimiento (Sección 3). Para qué alimenta los registros de coincidencias, ver Guardrails.

7. Dónde ir a continuación

Instalar un pack

Materializa las reglas de guardrail y firewall de un framework antes de reportar sobre ellas.

Restricciones por plan

Exactamente qué acciones de cumplimiento son gratis frente a de pago y restringidas a Admin.

Residencia de datos

La región bajo la que se estampa y sirve la evidencia de un reporte.

Frameworks

Para qué frameworks puedes generar evidencia.
Un CSV es el formato en el que viven los auditores. Genera uno como Admin, entrega un archivo firmado y verificable, y deja que grepeen la evidencia en sus propios términos.