Saltar al contenido principal
Cada plano de control en OrcaRouter tiene dos posturas: observe, donde el gateway evalúa y registra lo que una política haría pero nunca cambia una respuesta, y enforce, donde la misma política realmente bloquea, enmascara o retiene la llamada. La división te deja observar un framework contra tu tráfico real durante una semana antes de que una sola solicitud falle — luego lo activas cuando los números se ven bien. Esta página es el mapa de cara al cliente de esa frontera: qué postura es gratis, cuál es de pago, quién puede cambiarla y cómo leer la brecha entre las dos antes de comprometerte.

1. Por qué cumplimiento observar aplicar es una compuerta de dos pasos

Un framework de cumplimiento que bloquea el primer día es un framework que apagas el segundo día. La secuencia honesta es: instalar en observe, leer los números de lo-que-bloquearía contra tu propio tráfico, arreglar las brechas que no sabías que tenías, luego ponerlo en marcha. OrcaRouter incorpora esa secuencia al modelo de postura para que nunca tengas que adivinar. (Instalar un pack es un paso de pago, de Admin, en todos los planes — observe y enforce son dos posturas del mismo pack de pago, no un nivel gratis y un nivel de pago. La ruta de observe gratuita vive en los planos de Firewall y Guardrails, que no tienen restricción de plan.)

Observe — gratis en Firewall y Guardrails

Pon una política de Firewall en shadow_mode o un Guardrail en audit, y el gateway la evalúa contra el tráfico en vivo y registra lo que habría hecho — sin cambiar nunca una respuesta. No se requiere plan; las escrituras están restringidas a Developer+. Navegar el catálogo de cumplimiento y leer los resúmenes de preparación también son gratis para cualquier miembro del espacio de trabajo.

Packs de cumplimiento — de pago, solo Admin

El plano del pack de cumplimiento — instalar un pack (incluso en observe), configurar controles y ponerlo en marcha — requiere un plan de pago y el rol Admin del espacio de trabajo. La activación es donde las reglas materializadas del pack empiezan a bloquear, enmascarar y retener llamadas de verdad.
Observe no es una prueba aguada. Ejecuta el mismo motor de evaluación que enforce contra el mismo tráfico en vivo — solo suprime el efecto del veredicto. Los números que ves en observe son los números que obtendrás cuando acciones el interruptor.

2. Cómo se ve cada postura en los distintos planos

La compuerta de dos pasos no es exclusiva de los packs de cumplimiento — cada plano expone un equivalente de observe. Misma idea en todas partes: evaluar y registrar, no actuar.
PlanoPostura observePostura enforce
Pack de cumplimiento (de pago)Instalado en modo observe — las reglas materializadas solo registrangolive cambia el pack a enforce
Política de Firewallshadow_mode — veredictos registrados como [shadow] would …deny / sanitize / pending_approval en vivo
Espacio de trabajo de Firewallfirewall_observe_mode — registra llamadas no cubiertas como huecosLas políticas evalúan y actúan sobre las superficies cubiertas
Nivel de Autonomíapermissive — solo observe, sin política de aplicaciónbalanced / tight — filas reales de audit y deny
Instalar un pack de cumplimiento escribe políticas reales y editables de Guardrails y Firewall en tu espacio de trabajo en postura observe (las políticas de firewall aterrizan en shadow_mode). Ponerlo en marcha es solo un cambio de postura sobre filas que ya existen — no una reinstalación.

3. Un recorrido concreto

Aquí está el bucle completo de observe-a-enforce para un solo framework. Navegar el catálogo y leer los resúmenes son gratis; instalar el pack (incluso en observe) y el golive final requieren ambos un plan de pago y Admin.
1

Navega el catálogo (gratis, cualquier miembro)

Abre Compliance en la consola y revisa los frameworks disponibles. Cualquier miembro del espacio de trabajo puede leer el catálogo, la lista de packs instalados y el resumen de preparación — sin plan requerido.
# Solo lectura, autenticado por sesión (UserAuth) — hecho desde la consola.
GET /api/compliance/catalog
GET /api/compliance/readiness
2

Instala en observe (plan de pago, Admin)

Desde la tarjeta del framework, elige Install. Instalar un pack de cumplimiento requiere un plan de pago — el servidor rechaza una instalación de plan gratuito. El pack materializa sus reglas de guardrail y firewall en postura observe (reglas de firewall en shadow_mode, acciones de guardrail forzadas a solo registro), así que el gateway las evalúa contra tu tráfico en vivo de inmediato y registra cada lo-que-bloquearía sin cambiar una sola respuesta.
# De pago + Admin, restringido en el servidor. Hecho desde la consola.
POST /api/compliance/packs/{key}/install
3

Lee la brecha (gratis, cualquier miembro)

La vista de preparación ahora muestra un conteo de lo-que-bloquearía por framework: cuántas solicitudes reales en tu ventana móvil habría detenido el framework (atribuidas a las filas del plano de guardrail del pack). Un número alto es tu señal para arreglar un flujo de trabajo antes de aplicar, no después.
4

Ponlo en marcha (plan de pago, Admin)

Cuando los números se ven bien, un Admin en un plan de pago cambia el pack a enforce. Las mismas reglas que registraban ahora bloquean, enmascaran y retienen — y la política de firewall del pack abandona shadow_mode.
# De pago + Admin, restringido en el servidor. Hecho desde la consola.
POST /api/compliance/packs/{key}/golive
Las rutas de configuración (/api/compliance/*, /api/guardrail/*, /api/workspace/firewall/*) se autentican con tu sesión de consola, no una clave de relay. Solo las llamadas a modelo /v1/* usan una clave sk-orca-…. Los ejemplos anteriores se muestran como rutas para mayor claridad, pero las conduces todas desde la consola.

4. La frontera gratis / de pago, con precisión

En el plano de cumplimiento, solo leer tu postura es gratis; en el momento en que materializas un pack estás en una ruta de pago. La verificación de plan se aplica del lado del servidor — una llamada directa a la API no puede saltársela.
Navegar el catálogo de frameworks, listar packs instalados, leer el resumen de preparación, leer la residencia de datos configurada y listar los metadatos de reportes están abiertos a cada miembro sin coste. Generar el primer reporte de cumplimiento de tu espacio de trabajo como PDF también es gratis.
Instalar un pack (incluso en observe), configurar controles, poner un pack en marcha (golive), generar reportes firmados adicionales más allá del primero, y exportar evidencia como CSV/JSON requieren todos un plan de pago y el rol Admin. El plano de cumplimiento no tiene un nivel de observe gratuito — la instalación misma es el muro de pago.
Establecer la residencia de datos está restringido al rol Admin del espacio de trabajo pero no está detrás de un plan de pago — cualquier Admin puede establecer la región.
Los reportes son verificables públicamente una vez generados — cualquiera con el artefacto puede confirmar su firma sin una cuenta vía verificación de reporte. Cada reporte está firmado (PDF, CSV y JSON por igual); la verificación está abierta al mundo.

5. Lee los números de lo-que-bloquearía antes de accionar

Observe existe para que puedas responder una pregunta con datos en vez de con nervios: ¿qué se rompe cuando esto se pone en marcha? Dos superficies te dan la respuesta.
  • Resumen de preparación — conteos de lo-que-bloquearía por framework para los packs de cumplimiento instalados (atribuidos a las filas del plano de guardrail del pack), así que puedes ver qué frameworks muerden más fuerte contra tu tráfico móvil antes de aplicarlos. Legible por cualquier miembro del espacio de trabajo.
  • Eventos de Firewall — registran lo que cada política en shadow_mode habría hecho; una línea [shadow] would deny es una denegación que aún no ocurrió. El feed de Events está restringido a Developer+ (las filas llevan procedencia de llamada a herramienta). Las políticas de firewall, la configuración, la vista de herramientas descubiertas, el simulador de autonomía y el feed de anomalías siguen siendo legibles por cualquier miembro.
  • Coincidencias de Guardrails — el feed de coincidencias registra lo que cada guardrail en modo audit habría marcado. Legible por cualquier miembro.
El mismo despliegue por etapas funciona a nivel de autonomía. Aplica permissive (solo observe) primero, observa el feed de eventos, luego sube a balanced y tight para las superficies que lo ameriten — con deshacer de un clic desde el snapshot de auditoría. Ver la línea base de agentes seguros.

6. Dónde ir a continuación

Restricciones por plan

Exactamente qué acciones de cumplimiento requieren un plan de pago, y qué se mantiene gratis en cada nivel.

Instalar un pack

Materializa las reglas de guardrail y firewall de un framework en observe — un primer paso de pago, de Admin, antes de ponerlo en marcha.

Modos de aplicación

El vocabulario de postura completo — observe, shadow, audit y enforce — en cada plano.

Responsabilidad compartida

Qué aplica el gateway frente a qué sigue siendo tu decisión.
Observe es donde aprendes lo que te costará enforce. En los planos de Firewall y Guardrails puedes observar gratis; en el plano del pack de cumplimiento, instalar y poner en marcha son los pasos de pago, de Admin — lee los números de lo-que-bloquearía primero, luego actívalo en tus propios términos.