Saltar al contenido principal
La mayor parte del trabajo de cumplimiento de IA es trabajo de evidencia: demostrar que los controles que un framework pide están realmente ejecutándose en la ruta que usan tus agentes, y entregar a un auditor algo que pueda verificar sin tener que fiarse de tu palabra. OrcaRouter convierte un framework en un conjunto funcional de controles y un reporte firmado en unos pocos pasos — instalas un pack, lo observas en modo observe, luego activas la aplicación y generas evidencia. Esta página es el hub. Explica las piezas móviles y enlaza a la página enfocada de cada una.

1. Qué significa el cumplimiento de ia en el gateway

Un pack de cumplimiento es un framework expresado como controles. Instalar un pack materializa dos objetos reales y editables en tu espacio de trabajo:
  • un Guardrail — los controles del plano de contenido (PII, secretos, salida insegura) que el framework espera en las solicitudes y respuestas;
  • una política de Firewall y sus reglas — los controles del plano de acción (qué llamadas a herramienta, despachos MCP y destinos de egress se permiten).
Como los objetos son reales, el pack no es una casilla — es la misma maquinaria de guardrail y firewall que usa el resto de tu espacio de trabajo, etiquetada al framework para que los reportes puedan leer su estado.
Navegar el catálogo, los packs instalados y la preparación está abierto a cada Member del espacio de trabajo y es gratis. Instalar un pack y ponerlo en marcha requieren Admin del espacio de trabajo y un plan de pago. Generar un reporte también es Admin — el plan gratuito incluye un reporte PDF; las exportaciones CSV/JSON y los reportes adicionales requieren un plan de pago. Establecer la residencia está restringido a Admin. Ver Restricciones por plan.

2. Observa antes de aplicar

Un pack recién instalado aterriza en modo observe: las acciones del guardrail se fuerzan a flag (anotar, no bloquear) y la política de firewall se ejecuta en shadow (registra [shadow] would … en vez de denegar). Nada de lo que hacen tus agentes se interrumpe mientras aprendes qué habrían capturado los controles. Cuando los feeds de coincidencias y eventos se ven limpios, lo pones en marcha — los mismos objetos cambian a aplicación real. Este arco de observar-luego-aplicar es el hábito más importante de un despliegue de cumplimiento, y tiene su propia página.

Observar vs aplicar

El arco completo de despliegue — qué registra el modo observe, cómo lo cambia la activación y cómo leer la señal antes de comprometerte.

Qué contiene un pack

Los objetos exactos de guardrail y firewall que un pack materializa, y cómo se mapean a los controles del framework.

3. Elige un framework

El catálogo cubre frameworks generales de seguridad y de gobernanza de IA (soc2, iso_27001, iso_42001, nist_ai_rmf, eu_ai_act, owasp_llm), regímenes sectoriales (hipaa, pci_dss, glba, nist_800_53) y un amplio conjunto de leyes regionales de privacidad (gdpr, uk_gdpr, ccpa, y más). Navega la lista en vivo en vez de codificarla a mano.

SOC 2

HIPAA

GDPR

EU AI Act

ISO 27001

ISO 42001

NIST AI RMF

OWASP LLM Top 10

PCI DSS

CCPA

Todos los frameworks

Matriz de controles

4. Instala un pack (un flujo concreto)

La instalación se ejecuta desde la consola en Compliance → Catalog, como Admin del espacio de trabajo. La acción está restringida en el servidor a un plan de pago; materializa los objetos de guardrail y firewall en modo observe. La consola conduce esta ruta de gestión por ti (usa tu sesión, no una clave de relay): 
POST /api/compliance/packs/soc2/install
Authorization: Bearer <your console session>
Tras la instalación, abre Readiness para ver qué controles se satisfacen, observa los feeds durante una semana, luego ponlo en marcha. La página Instalar un pack recorre la secuencia completa; Exportar evidencia cubre lo que sale por el otro extremo.
Las lecturas siguen abiertas a los Members para que tus revisores de seguridad y auditoría puedan observar la preparación sin acceso de escritura. Solo el Admin que es dueño del despliegue necesita la capacidad de instalar y poner en marcha.

5. Reportes firmados y verificables

Un reporte de cumplimiento es evidencia en la que un auditor puede confiar sin confiar en ti. Cada reporte lleva un hash de contenido SHA-256 y una firma Ed25519 sobre ese hash, y es exportable como CSV, JSON o PDF. La firma es verificable públicamente — cualquiera con el reporte y la clave pública de OrcaRouter puede confirmar que no fue alterado.
Un Admin del espacio de trabajo genera el reporte; se hashea y se firma al crearse. Ver Reporte firmado.
Obtén la clave pública desde GET /api/public/compliance/pubkey y haz POST /api/public/compliance/verify del reporte — sin necesidad de cuenta. Ver Verificar un reporte.
Acuña un enlace de solo lectura que tu auditor abre en GET /api/public/compliance/share/:token — acotado a un reporte, sin inicio de sesión. Ver Exportar evidencia.

6. Residencia de datos para la evidencia

La residencia en el gateway gobierna dónde se almacenan y se sirven tus reportes de cumplimiento firmados — no dónde se ejecuta la inferencia. Cada reporte se estampa con tu región declarada, y un reporte solo se sirve bajo una región declarada coincidente; una lectura entre regiones se retiene. La región es una de us, eu, uk, ap, cn o global, configurable por un Admin del espacio de trabajo: 
PUT /api/compliance/residency
Authorization: Bearer <your console session>

{ "region": "eu" }
La residencia es una propiedad del artefacto del reporte, no una garantía de que el tráfico de modelo esté geo-fijado. Si una regulación requiere que la inferencia permanezca en una región, esa es una decisión de enrutamiento upstream, separada de dónde vive la evidencia.

Residencia de datos

Establece y cambia la región bajo la que se almacena y sirve tu evidencia.

Lecturas entre regiones

Por qué un reporte estampado en una región no se sirve bajo otra, y cómo manejar programas multirregión.

7. Retención y borrado

Dos relojes importan para el cumplimiento de ia, y ambos tienen valores por defecto observables por el cliente:
SujetoPor defectoLímite estricto
Retención de registros de solicitud30 días180 días (recortado por el servidor)
Gracia de eliminación de usuario30 días, luego limpieza de PII
El derecho al borrado está integrado: una autoeliminación inicia una ventana de gracia de 30 días, tras la cual se limpia la PII y la cascada purga las coincidencias de guardrail, los registros de solicitud y los eventos de firewall. Las páginas Retención, Derecho al borrado y Consentimiento cubren la mecánica de DSAR.

8. Dónde encaja esto

El cumplimiento lee los mismos controles que configura el resto del modelo de seguridad. Si aterrizas aquí primero, empieza por los conceptos:

Responsabilidad compartida

Qué asegura el gateway frente a qué sigue siendo tuyo — el mapa honesto de la frontera para cualquier afirmación de cumplimiento.

Modos de aplicación

Observar, auditar y aplicar — el vocabulario compartido detrás de la activación.

La pila de controles

Claves, guardrails, firewall y auditoría como una sola imagen.

Glosario

Pack, preparación, residencia, atestación y el resto de los términos.
Un programa de cumplimiento en OrcaRouter es el mismo bucle cada vez: instala el pack, observa qué captura, ponlo en marcha y entrega a tu auditor un reporte firmado que pueda verificar él mismo.