Saltar al contenido principal
Cuando activas la captura de registros de solicitud para diagnóstico, estás almacenando cuerpos de prompt y respuesta — exactamente los datos que una regulación de privacidad te pide no conservar más de lo necesario. OrcaRouter te da una sola perilla por espacio de trabajo para eso: una ventana de retención con un valor por defecto sensato y un techo estricto que el servidor aplica, así que una captura que olvidas caduca en vez de acumularse para siempre. Esta página cubre cómo funciona esa perilla y cómo se ata al borrado. Para la historia más amplia de evidencia, empieza en la Visión general de cumplimiento.

1. Por qué importa la retención de registros de llm en un gateway

La captura de registros de solicitud es opt-in, apagada hasta que la habilitas explícitamente, y restringida detrás de un reconocimiento de consentimiento registrado — porque activarla persiste el texto completo de prompt y respuesta. Una vez encendida, la pregunta que hacen los auditores no es si registras, sino cuánto tiempo lo conservas. Un valor por defecto de 30 días mantiene un rastro de diagnóstico útil; un techo de 180 días aplicado por el servidor significa que ninguna solicitud de cliente, por más manipulada que esté, puede conservar cuerpos más allá de tu límite de cumplimiento.
La retención aplica a los registros de solicitud capturados (los cuerpos de prompt/respuesta opt-in). Los registros de medición y facturación, y los reportes de cumplimiento firmados descritos en Reporte firmado, siguen sus propios ciclos de vida — esta página es sobre el reloj de los registros capturados.

2. Los dos números

Por defecto: 30 días

Una captura recién habilitada conserva los cuerpos durante 30 días. Deja el campo de retención sin establecer y cada espacio de trabajo hereda esto.

Máx estricto: 180 días

El servidor recorta cualquier retención solicitada a 180 días. Pide más y el valor se reduce silenciosamente al límite — no es un error, es un techo.
El techo estricto es de 180 días: un valor por encima de 180 se limita a 180, y un valor de 0 (o sin establecer) significa heredar el valor por defecto — que se resuelve a 30 días. Los valores por defecto y el techo vigente son legibles desde el payload público de estado para que un panel de configuración pueda renderizar los límites correctos: 
GET /api/status
La respuesta lleva request_log_default_retention_days, request_log_max_retention_days y request_log_default_enabled — los límites efectivos que tu consola lee antes de mostrar el campo de entrada.

3. Establecer la retención (un flujo concreto)

La retención es un ajuste de espacio de trabajo, configurado desde la consola en Settings → Privacy. Cualquier miembro puede leerlo; cambiarlo requiere el rol Admin del espacio de trabajo. La consola conduce esta ruta de gestión con tu sesión (una ruta UserAuth — no una clave de relay), así que nunca pones una clave sk-orca-... en una llamada de configuración: 
PUT /api/workspaces/:id/request-log-settings
Authorization: Bearer <your console session>

{
  "request_log_enabled": true,
  "request_log_retention_days": 60
}
Algunas reglas que el servidor aplica en esta llamada:
request_log_enabled es un interruptor de puntero. Omítelo y el valor almacenado se deja intacto; envía true/false para hacerlo transicionar. Activar la captura on requiere un reconocimiento de consentimiento actual y no revocado — el registro de consentimiento es autoritativo en el servidor y nunca se lee del JSON del cliente. Ver Consentimiento.
request_log_retention_days es un entero de días completos, recortado a [1, 180]. Un 0 significa “deja el valor existente” (o hereda el valor por defecto del sistema más abajo); 200 se vuelve 180.
No hay nada que ejecutar en un horario. Los cuerpos capturados más allá de la ventana de retención son eliminados por el gateway; tú configuras la ventana, el gateway la aplica.
La postura de menor riesgo es la obvia: deja la captura apagada a menos que estés diagnosticando activamente, y cuando la habilites, establece la retención más corta que aún cubra tu bucle de depuración. El valor por defecto de 30 días ya es conservador.

4. Retención vs. borrado

La retención hace caducar los registros capturados en el curso ordinario. El borrado es la ruta bajo demanda para una solicitud de sujeto de datos (DSAR) o un cierre de cuenta — y alcanza más lejos que el reloj de registros:
DesencadenanteVentanaLuego
Registro capturado más allá de la retenciónhasta 180 díasregistro eliminado
Autoeliminación de cuentagracia de 30 díaslimpieza de PII + purga en cascada
Una autoeliminación elimina suavemente la cuenta de inmediato y programa una limpieza irreversible de PII para 30 días después. Durante esa ventana de gracia la cuenta aún puede restaurarse y exportar sus datos; una vez que la ventana se cierra, la limpieza se ejecuta y la cascada purga los registros de solicitud, las coincidencias de guardrail, los eventos de firewall y los nodos de traza de agente atados al sujeto. El derecho al borrado no es por tanto un ajuste de retención separado — es una purga más fuerte, iniciada por el sujeto, que reemplaza a la ventana basada en tiempo.
La gracia de eliminación de 30 días es una ventana de recuperación, no retención extra de registros. Los datos dentro de ella están eliminados suavemente y son exportables, pero están en una ruta de un solo sentido hacia la limpieza. Planifica las exportaciones antes de que la ventana se cierre.
Ver Derecho al borrado para la mecánica completa de DSAR — gracia, limpieza y qué toca la cascada.

5. Cómo satisface esto a un framework

La mayoría de los regímenes de privacidad piden dos cosas demostrables: un período de retención definido y una ruta de borrado funcional. La perilla de retención y la cascada de eliminación son exactamente esos dos controles, y un pack de cumplimiento los mapea a la evidencia del framework para que un reporte pueda leer su estado. Instala un pack y el mismo comportamiento de retención y borrado se referencia en tu vista de preparación — sin configuración separada.

Instalar un pack

Materializa los controles de un framework; la retención y el borrado son parte de la historia de privacidad que espera.

Frameworks

El catálogo en vivo — GDPR, CCPA, HIPAA y los regímenes regionales de privacidad que fijan la retención.

6. Dónde encaja esto

Derecho al borrado

Autoeliminación, la gracia de 30 días, la limpieza de PII y la cascada de purga.

Consentimiento

El reconocimiento registrado requerido antes de que se active la captura de registros de solicitud.

Residencia de datos

Dónde se almacena y sirve la evidencia de cumplimiento firmada — un control de región separado de la retención.

Responsabilidad compartida

El gateway aplica la retención que estableces; elegir la ventana y la cadencia de borrado sigue siendo tuyo.
La retención en OrcaRouter es una perilla honesta con un valor por defecto y un techo estricto: habilita la captura solo cuando la necesitas, mantén la ventana corta, y deja que el gateway haga caducar los cuerpos — con el borrado en espera para el momento en que un sujeto te pida olvidarlo por completo.