Saltar al contenido principal
Estás poniendo el alcance de tu SGSI alrededor de un agente de IA y tu auditor quiere saber qué controles del Anexo A puedes evidenciar realmente en la ruta de la solicitud. En un gateway alojado la respuesta honesta es estrecha y verificable: las cláusulas del Anexo A que se mapean a un control que se ejecuta en cada solicitud que cruza el gateway — acceso, criptografía y registro de eventos — más las cláusulas organizativas que un proxy nunca puede aplicar y debe divulgar como huecos. Esta página es el recorrido de iso 27001 ai: qué cláusulas del Anexo A cubre el pack de ISO/IEC 27001, los controles que materializa, y cómo se firma la evidencia. Para el flujo de instalación y el formato del reporte en profundidad, sigue los enlaces al final — este es el mapa específico de 27001, no la referencia completa de Cumplimiento.

1. Qué cubre el pack de iso 27001 ai

El pack de ISO/IEC 27001 mapea los controles del Anexo A de 2022 a guardrails que se ejecutan en cada solicitud que cruza el gateway. Tres cláusulas se mapean a aplicación en vivo; dos son organizativas y se divulgan como huecos en vez de afirmarse.
Cláusula del Anexo APlanoControl
A.9 Control de accesoguardrailMantener la PII fuera del proveedor upstream, consistente con la necesidad de conocer
A.10 CriptografíaguardrailBloquear claves privadas y secretos en tránsito
A.12.4 Registro y monitoreoguardrailRegistrar cada decisión de guardrail como evidencia
A.5 Controles organizativos y A.6 Controles de personas son cláusulas de gobernanza — propiedad de políticas, escrutinio y dirección de la gestión. Un proxy no puede aplicarlas, así que el pack las expone como huecos divulgados (o filas atestadas por el dueño) tanto en la consola como en el reporte, nunca como cobertura automatizada. Los huecos honestos son lo que hace confiables las filas aplicadas. Ver la matriz de controles.
Los tres controles que aplican se ejecutan sobre la misma maquinaria de Guardrails que configuras a mano. El pack es el mapeo autorado que dice qué guardrail existente satisface qué cláusula del Anexo A — no incluye ningún motor de runtime nuevo. Ver Contenido del pack para la anatomía completa.

2. Instala el pack — un ejemplo concreto

Instalar materializa el mapeo en políticas reales de guardrail en tu espacio de trabajo, cada una etiquetada con la procedencia del pack. Haces esto desde la consola, no una clave de relay: Compliance → Catalog → ISO/IEC 27001 → Install Esa es una acción de Admin del espacio de trabajo en un plan de pago, y el servidor aplica ambas. Bajo el capó tu sesión de consola llama: 
POST /api/compliance/packs/iso_27001/install
Nunca entregues una clave de relay sk-orca-… a una ruta de configuración. Las rutas /api/compliance/* se autentican con tu sesión de consola, no la clave de relay — solo las llamadas a modelo /v1/* usan sk-orca-…. Navegar el catálogo, los packs instalados y la preparación es gratis y está abierto a cada miembro del espacio de trabajo; instalar, poner en marcha, reportar y la residencia son las acciones restringidas de Admin.
Tras la instalación, las filas del Anexo A dejan de ser prosa:
Una regla de guardrail pii_block real rechaza de forma dura las solicitudes que portan datos personales (correos, números de teléfono, SSNs, números de tarjeta, IPs) en la etapa de solicitud, así que nunca llega al proveedor upstream — consistente con el acceso de necesidad-de-conocer. Puedes abrirla, leerla y ajustar el conjunto de entidades como cualquier otra regla.
Reglas regex que bloquean claves privadas PEM y tokens de nube, en capas con el Secrets Blocker, así que el material criptográfico nunca transita el gateway en un prompt.
Una regla de acción flag registra cada decisión de guardrail como evidencia sin bloquear el tráfico — la cláusula de registro-y-monitoreo se vuelve una línea de registro real por decisión.

3. Observa primero, luego ponlo en marcha

Una instalación de ISO/IEC 27001 no empieza a bloquear tráfico el primer día. Las instalaciones aterrizan en modo observe: las acciones de guardrail que aplican se fuerzan a flag, así que recopilas evidencia de “lo-habría-bloqueado” contra el tráfico real antes de que nada rechace una solicitud. Cuando la evidencia se ve bien, un Admin del espacio de trabajo promueve el pack a la activación, que restaura las acciones declaradas — los controles A.9 y A.10 empiezan a aplicar, el control A.12.4 sigue registrando — y opcionalmente promueve la política materializada a valor por defecto del espacio de trabajo. Esta es la misma disciplina descrita en Observar vs aplicar.
La aplicación en la etapa de solicitud está en vivo hoy: una solicitud que porta PII se rechaza antes de que el modelo la vea, y el registrador A.12.4 marca cada decisión en la solicitud. El escaneo en vivo de respuesta / streaming está en la hoja de ruta, así que para el lado de salida la evidencia de monitoreo A.12.4 es lo que un auditor lee durante el período del reporte.

4. Evidencia firmada que tu auditor puede verificar

El punto del pack es el reporte. La evidencia de ISO/IEC 27001 se genera como un reporte firmado con Ed25519 con un hash de contenido SHA256, exportable como CSV, JSON o PDF, y verificable públicamente — tu auditor verifica la firma sin un inicio de sesión de OrcaRouter.
Cada fila del Anexo A lleva su estado — covered, observe, gap o attested — y cuántas veces el control realmente se disparó durante el período. Un control A.9 que enmascaró miles de solicitudes se lee diferente para un auditor que uno con cero coincidencias, y el reporte muestra ambos.
Cada control materializado registra su control_id (p. ej. iso27001.access), la cláusula literal (ISO/IEC 27001 A.9 Access control), el plano y el id de la política viva que la aplica — así que el auditor recorre cláusula → control → política que la aplica → coincidencias sin paso inferido.
Obtén la clave pública de firma en GET /api/public/compliance/pubkey, envía el reporte a POST /api/public/compliance/verify, o abre un enlace de compartición para el auditor acotado en GET /api/public/compliance/share/:token. Sin cuenta requerida.
Ver el reporte firmado para el diseño de portada-a-pie y Verificar un reporte para el recorrido de verificación.

5. Estampa por región tu evidencia de ISO 27001

Los reportes de ISO/IEC 27001 se almacenan y se sirven bajo tu región de residencia declarada — us / eu / uk / ap / cn / global — y un reporte solo se sirve bajo una región coincidente; las lecturas entre regiones se retienen. Un Admin del espacio de trabajo la establece vía PUT /api/compliance/residency.
La residencia aquí es la región del artefacto de evidencia — dónde viven y se sirven los reportes firmados. No es geo-fijación de datos de inferencia. Ver Residencia de datos y Entre regiones para la frontera.
Los registros de solicitud por defecto tienen una retención de 30 días (recortada en el servidor a un máximo estricto de 180 días), y una eliminación de usuario ejecuta una ventana de gracia de 30 días luego una limpieza de PII — ambas relevantes cuando un auditor sondea tu postura de retención A.12.4. Ver Retención y Derecho al borrado.

6. Dónde ir a continuación

ISO/IEC 42001

El compañero de sistema de gestión de IA — combina el alcance SGSI de 27001 con los controles AIMS de 42001.

Contenido del pack

La anatomía completa de un pack — plano, estados y procedencia.

Instalar un pack

El flujo de instalación de principio a fin, modo observe y activación.

Reporte firmado

Qué contiene el reporte de evidencia firmado con Ed25519.

Guardrails

El plano de contenido al que escribe el pack de 27001 — PII, secretos y registro.

Frameworks

El catálogo completo — SOC 2, HIPAA, GDPR, el EU AI Act y más.
ISO/IEC 27001 en un gateway alojado es la disciplina de ser preciso: mapea los controles del Anexo A que un proxy puede aplicar a guardrails vivos, divulga los organizativos que no puede, y firma la evidencia para que la línea entre las dos resista la auditoría.