Saltar al contenido principal
Una lista de verificación de framework es una lista de cláusulas. Un pack de cumplimiento es la misma lista con cada cláusula conectada a un control que realmente se ejecuta en el gateway. Cuando instalas un pack, OrcaRouter lee su mapeo de cláusula-a-control y materializa objetos de política reales y editables en tu espacio de trabajo — así que “SOC 2 CC6.1” deja de ser una línea en una hoja de cálculo y se convierte en un guardrail que bloquea PII confidencial antes de que llegue al modelo. Esta página explica qué contiene un pack de cumplimiento de ia, cómo sus dos planos de aplicación se mapean de vuelta a las cláusulas, y el linaje de procedencia que deja a un auditor rastrear cualquier cláusula hasta la política exacta que la aplica. Para el flujo de instalación y el reporte firmado, sigue los enlaces al final.

1. Un pack es un mapeo de cláusula-a-control, no una nueva aplicación

Un pack no incluye ningún motor de runtime nuevo. Cada control que lleva reutiliza la misma maquinaria de Guardrails y Firewall que ya configuras a mano — un pack es el mapeo autorado que dice qué control existente satisface qué cláusula. Cada pack abarca dos planos de aplicación:

Plano de guardrail

Los controles de texto / datos — las cláusulas sobre datos confidenciales, divulgación de PII, defensa contra inyección o divulgaciones requeridas se mapean a reglas de guardrail (pii, regex, llm_judge, y compañía) con una acción block, mask o flag.

Plano de firewall

Los controles de llamada a herramienta — las cláusulas sobre agencia excesiva, acciones peligrosas o egress se mapean a reglas de firewall con un veredicto allow / audit / deny en la superficie inbound, response, mcp o egress.
Instalar el pack fusiona sus controles seleccionados en un guardrail y una política de firewall, etiquetados con la procedencia del pack, así que co-aplican a través del resolutor normal y cada ruta de adjunto e historial existente sigue funcionando.
Un pack cubre solo controles aplicables por el gateway. Las cláusulas organizativas — capacitación del personal, Acuerdos de Asociado Comercial, acceso físico — nunca pueden ser aplicadas por un proxy, así que el reporte las divulga como huecos (o como atestadas por el dueño) en vez de afirmar una cobertura falsa. Ver la matriz de controles.

2. Una cláusula, de principio a fin — un ejemplo concreto

Toma el pack de SOC 2. Mapea tres cláusulas de los Trust Services a tres controles vivos:
CláusulaPlanoControl
CC6.1 Acceso lógicoguardrailbloquear PII confidencial en los prompts
CC7.2 Monitoreo del sistemaguardrailregistrar cada decisión de guardrail como evidencia
CC7.2 Detección de anomalíasfirewallauditar cada despacho de herramienta
Lo instalas desde la consola — Compliance → Catalog → SOC 2 → Install — que es solo para Admin del espacio de trabajo y llama POST /api/compliance/packs/soc2/install por ti bajo tu sesión de consola. Nunca entregas una clave de relay sk-orca-… a una ruta de configuración; el contenido y la política viven enteramente detrás de tu inicio de sesión de consola. Tras la instalación, la fila CC6.1 ya no es prosa — es una regla de guardrail que puedes abrir, leer y ajustar como cualquier otra.

3. Linaje de procedencia — cláusula a política que la aplica

La razón por la que un pack es auditable es que el vínculo entre una cláusula y la política que la aplica está registrado, no implícito. Cada control que el pack materializa lleva:
Un control_id estable (p. ej. soc2.confidentiality) y el texto literal de la cláusula (TSC CC6.1 Logical access controls), más un enlace de fuente oficial para que un auditor lea la regulación, no solo nuestra paráfrasis.
Si el control vive en el plano guardrail o firewall, y el id de la política exacta de guardrail o firewall que la instalación materializó. Ese id es lo que ata una fila del reporte de vuelta a un objeto vivo y editable en tu espacio de trabajo.
covered, observe, gap o attested — y, durante el período del reporte, cuántas veces ese control realmente se disparó. Una cláusula con cero coincidencias y una cláusula que bloqueó 4.000 solicitudes se leen de forma distinta para un auditor, y el reporte muestra ambas.
Cada pack lleva una línea MappedBy — quién autoró el mapeo de cláusula-a-control, su versión y el descargo honesto de que cubre solo controles aplicables por el gateway y no es en sí mismo una certificación. Esa línea se estampa en la portada del reporte firmado.
En conjunto, este es el linaje que recorre un auditor: cláusula → id de control → guardrail o política de firewall que la aplica → las coincidencias que produjo este período → quién autoró el mapeo. Ningún paso es inferido.
La misma matriz de cobertura alimenta tanto la consola como el reporte, así que las dos nunca pueden divergir silenciosamente. Una cláusula que el framework espera pero que ningún pack instalado cubre siempre se renderiza como un hueco divulgado en ambas superficies.

4. Observa primero, luego aplica

Un pack no empieza a bloquear tráfico en el momento en que lo instalas. Las instalaciones aterrizan en modo observe: las acciones de guardrail se fuerzan a flag y la política de firewall se ejecuta en shadow (solo registro). El pack produce evidencia de “lo-habría-bloqueado” para que veas exactamente qué haría contra el tráfico real antes de hacerlo. Cuando estés satisfecho, un Admin del espacio de trabajo llama a la activación, que restaura las acciones declaradas de los controles (mask / block / deny) y opcionalmente promueve las políticas materializadas a valor por defecto del espacio de trabajo. Esta es la misma disciplina de observar-luego-aplicar descrita en Observar vs aplicar.
Navegar el catálogo, los packs instalados y la preparación está abierto a cada miembro del espacio de trabajo y es gratis. Instalar un pack y ponerlo en marcha son acciones de Admin del espacio de trabajo que requieren un plan de pago — el servidor aplica ambas compuertas, así que un visor o un espacio de trabajo gratuito no puede materializar la aplicación llamando a la API directamente. Generar un reporte también es Admin: el plan gratuito incluye un reporte PDF, mientras que las exportaciones CSV/JSON y los reportes adicionales requieren un plan de pago. Establecer la residencia de datos también es de Admin del espacio de trabajo, pero no está en sí detrás de un muro de pago.

5. Qué NO contiene un pack

Para mantener la frontera honesta:
  • Sin certificación. Un pack mapea tus controles del gateway a las cláusulas de un framework y produce evidencia firmada. No es una auditoría, una atestación de toda tu organización ni asesoría legal.
  • Sin controles organizativos. Las cláusulas de personas-y-procesos se exponen como huecos divulgados o atestaciones del dueño, nunca como cobertura automatizada.
  • Sin catálogo mágico. Los frameworks en el catálogo son los que tienen un mapeo autorado — SOC 2, HIPAA, GDPR / UK GDPR, el EU AI Act, ISO 27001 / 42001, NIST AI RMF, PCI DSS, el OWASP LLM Top 10 y las leyes regionales de privacidad. Navega el conjunto en vivo en Frameworks.

6. Dónde ir a continuación

Instalar un pack

El flujo de instalación completo — selección de controles, modo observe y activación.

El reporte firmado

Qué contiene el reporte de evidencia firmado con Ed25519 y cómo se renderiza el linaje para un auditor.

Matriz de controles

Cada cláusula, su plano y si está cubierta, observada, es un hueco o está atestada.

Guardrails vs Firewall

Los dos planos a los que escribe un pack, y cómo el resolutor los ejecuta juntos.
Un pack de cumplimiento es el puente entre el lenguaje de un regulador y la aplicación del gateway: mapea cada cláusula a un control real, materializa ese control en una política que posees y puedes ajustar, y registra el linaje para que la evidencia resista la inspección.