Saltar al contenido principal
Un pack de cumplimiento es un framework — SOC 2, HIPAA, GDPR, ISO 27001, el OWASP LLM Top 10 — mapeado a los controles del gateway que lo satisfacen. Cuando instalas un pack de cumplimiento, OrcaRouter no solo guarda un marcador del framework: materializa los controles del pack en un Guardrail real y editable (el plano de contenido) y una política de Firewall real (el plano de llamada a herramienta), etiquetados con la procedencia del pack para que cada ruta de aplicación, adjunto e historial existente funcione sin cambios. Las instalaciones aterrizan en modo observe — el guardrail marca en vez de bloquear, el firewall se ejecuta en shadow — así que recopilas evidencia de “lo-habría-bloqueado” antes de que nada afecte el tráfico en vivo. Lo pones en marcha más tarde, deliberadamente, desde la consola.
Navegar el catálogo y revisar la preparación son gratis para cualquier miembro del espacio de trabajo. Instalar un pack es una acción de Admin del espacio de trabajo y requiere un plan de pago — el gateway aplica ambos del lado del servidor, así que una llamada directa a la API no puede saltarse la compuerta.

1. Qué hace realmente “instalar un pack de cumplimiento”

Una llamada de instalación escribe tres cosas atómicamente en tu espacio de trabajo:
Los controles del plano de contenido del pack se fusionan en un guardrail nombrado — <Pack> (Compliance) (p. ej. SOC 2 (Compliance)). En modo observe cada acción (y cada acción por entidad) se fuerza a flag, así que anota las coincidencias sin bloquear ni enmascarar el tráfico real.
Los controles de llamada a herramienta del pack se fusionan en una política de firewall nombrada — <Pack> (Compliance — tools) (p. ej. SOC 2 (Compliance — tools)) — creada con shadow_mode activado, así que evalúa y registra cada llamada cubierta como [shadow] would … pero nunca deniega.
Una fila de pack de cumplimiento del espacio de trabajo enlaza las dos políticas materializadas, fija la versión del catálogo, registra qué controles seleccionaste y estampa quién lo instaló — más una entrada en el registro de auditoría.
Como la instalación produce objetos estándar de guardrail y firewall, puedes abrirlos en la consola después, leer cada regla, ajustarlos y adjuntar la política de firewall a una clave por firewall_policy_id — igual que cualquier política que hayas autorado a mano.

2. Instalar un pack de cumplimiento desde la consola

La configuración de cumplimiento usa tu sesión de consola (UserAuth), no una clave de relay. Hazlo en la consola:
1

Abre el catálogo de cumplimiento

Ve a Compliance en la consola del espacio de trabajo. Navega el catálogo y abre el framework que necesitas — por ejemplo SOC 2 (soc2) o el OWASP LLM Top-10 (owasp_llm). Cada pack lista sus controles, en qué plano aterriza cada control y la referencia oficial.
2

Elige controles (o tómalos todos)

Instala el framework completo, o selecciona un subconjunto de controles. Una selección vacía instala cada control del pack.
3

Instala

Como Admin del espacio de trabajo en un plan de pago, haz clic en Install. El pack se materializa en modo observe de inmediato. Reinstalar un pack ya instalado es idempotente — devuelve el registro existente, no un duplicado.
4

Observa la evidencia, luego ponlo en marcha

Deja que el guardrail y el firewall en shadow acumulen coincidencias de lo-habría-bloqueado. Cuando la postura se vea bien, pon el pack en marcha para activar las acciones declaradas y (opcionalmente) promover las políticas a valor por defecto de tu espacio de trabajo. Ver Observar vs aplicar.
Instala el pack OWASP LLM Top-10 primero si no estás seguro por dónde empezar — se mapea directamente sobre las amenazas que cubre esta sección de docs (inyección, manejo inseguro de salida, divulgación de información sensible, filtración del prompt de sistema y agencia excesiva) y te da una postura concreta que observar.

3. La llamada subyacente

La consola conduce un endpoint. Está documentado aquí para que veas la forma, lo audites o automatices un flujo interno de aprovisionamiento — pero el gateway requiere un token de sesión de Admin del espacio de trabajo y un plan de pago para alcanzarlo: 
POST /api/compliance/packs/{key}/install
Authorization: Bearer <your-console-session-token>
Content-Type: application/json

{ "controls": ["owasp.llm01_injection", "owasp.llm08_excessive_agency"] }
Un cuerpo vacío instala todos los controles del pack: 
POST /api/compliance/packs/owasp_llm/install
La respuesta es el registro de instalación — la clave del pack, la versión fijada, mode: observe, y los ids de los guardrail_id y firewall_policy_id materializados para que puedas abrirlos de inmediato.
Un cuerpo malformado (no vacío pero no parseable) es rechazado, no tratado silenciosamente como “instalar todo” — así que un bug de serialización del cliente nunca puede ampliar silenciosamente una instalación parcial al framework completo. Envía JSON válido, o no envíes nada.

4. Después de instalar

LuegoDónde
Ver qué hay en el packContenido del pack
Ponerlo en marchaObservar vs aplicar
Generar evidencia firmadaReporte firmado
Instalar es el primer movimiento barato y reversible: no cuesta tráfico en vivo, es idempotente, y desinstalar elimina ambos planos materializados limpiamente. El paso deliberado es ponerlo en marcha — ahí es donde se activan las acciones declaradas de block/mask/deny.
¿Por qué un plan de pago para instalar y no solo para aplicar? Materializar un framework en política editable en vivo es el momento de valor — el gateway lo restringe en la instalación y de nuevo en la activación para que la frontera de upgrade sea explícita, nunca un 403 sorpresa a mitad del despliegue.

5. Relacionado

Restricciones por plan

Exactamente qué acciones de cumplimiento son gratis, y cuáles necesitan un plan de pago.

Observar vs aplicar

Cómo el modo observe recopila evidencia y qué cambia en la activación.

Matriz de controles

Cómo cada control del framework se mapea a guardrails y reglas de firewall del gateway.

OWASP LLM Top 10

El pack que se mapea sobre las amenazas de seguridad de agentes de esta sección.

Referencia de Guardrails

El plano de contenido que una instalación materializa — reglas, PII, acciones.

Referencia de Agent Firewall

El plano de llamada a herramienta que una instalación materializa — veredictos y superficies.
Para el panorama más amplio de qué lado de la línea posees frente al gateway, ver Responsabilidad compartida; para el catálogo de frameworks, ver Frameworks.