Saltar al contenido principal
Cuando un auditor pregunta cómo tu gateway de IA aplica un Trust Services Criterion, las capturas de pantalla de un dashboard no bastan. Esta receta convierte los controles que ya ejecutas en OrcaRouter en evidencia SOC 2 de IA que los auditores pueden verificar independientemente: instala el pack SOC 2, vigílalo en modo observe, cambia a aplicar, luego exporta un informe de disposición firmado criptográficamente y comparte un enlace de solo lectura. Todo lo de abajo es configuración del espacio de trabajo en la consola — tu app sigue llamando a /v1/chat/completions sin cambios.
Navegar el catálogo y leer la disposición están abiertos a cualquier Member y son gratis. Instalar un pack, generar un informe, ir en vivo y establecer la residencia son acciones de Admin del espacio de trabajo y requieren un plan de pago — el gateway aplica ambos en el servidor. Las rutas de gestión de cumplimiento bajo /api/compliance/* usan tu sesión de consola, no una clave de relay.

1. El flujo de evidencia SOC 2 de IA en cuatro movimientos

Un rastro de evidencia SOC 2 en OrcaRouter son cuatro pasos que ejecutas una vez, luego re-ejecutas el informe cuando el auditor quiere un snapshot fresco:

Instala el pack

El pack soc2 materializa un guardrail y una política de firewall mapeados a Trust Services Criteria — instalados primero en modo observe.

Observa, luego aplica

Observe reúne evidencia de “se-habría-bloqueado” con cero radio de explosión; go-live cambia los mismos controles a aplicación.

Genera un informe firmado

Exporta un informe de disposición firmado con Ed25519 y con hash SHA-256 como PDF, JSON o CSV.

Comparte con el auditor

Entrega un enlace de compartición de solo lectura; el auditor verifica la firma contra la clave pública de OrcaRouter — sin necesidad de cuenta.
El resto de esta página recorre los cuatro con un ejemplo SOC 2 concreto.

2. Instala el pack SOC 2

Abre Compliance en la consola y navega el catálogo (GET /api/compliance/catalog, Member). El pack soc2 mapea a los AICPA SOC 2 Trust Services Criteria. Sus controles aplicados por el gateway son el manejo de datos confidenciales (TSC CC6.1), la monitorización del sistema (TSC CC7.2) y un rastro de auditoría de llamadas a herramienta (TSC CC7.2). Instálalo (Admin del espacio de trabajo, plan de pago): 
POST /api/compliance/packs/soc2/install
Instalar materializa dos objetos de aplicación en una transacción atómica:
  • un guardrail de espacio de trabajo — el plano de política de contenido (PII, secretos, y el resto de los criterios que criban el texto de solicitud/respuesta), y
  • una política de firewall de espacio de trabajo — el plano de acción (llamadas a herramienta, despachos MCP y egress que mapean a criterios de acceso y gestión de cambios).
El pack aterriza en modo observe por defecto. En observe, las acciones de guardrail se coercen a flag y la política de firewall se ejecuta en shadow — cada control registra lo que habría hecho sin tocar una sola solicitud en vivo. Ese es tu primer lote de evidencia.
Algunas cláusulas de Trust Services son organizacionales — formación del personal, acuerdos con proveedores — y un gateway no puede aplicarlas. El informe las divulga honestamente como huecos en vez de reclamar cobertura que no puede producir. Ver modos de aplicación para cómo difieren observe, shadow y enforce.

3. Lee tu disposición en vivo

Con el pack instalado, Compliance → Readiness (GET /api/compliance/readiness, Member) muestra tu postura por marco: cuántos controles están enforcing, cuántos siguen en observe y cuántos permanecen como gaps. Cada cláusula mapea al control de guardrail o firewall que la satisface, con un estado de cobertura en el que puedes profundizar.
Ejecuta una semana en observe antes de aplicar. La vista de disposición más el feed de Matches del guardrail y el feed de Events del firewall te dicen exactamente qué se habría bloqueado — así afinas los falsos positivos antes de que cualquier solicitud real sea gobernada.

4. Cambia de observe a enforce

Una vez que la evidencia de se-habría-bloqueado se vea limpia, lleva el pack en vivo (Admin): 
POST /api/compliance/packs/soc2/golive
Go-live restaura las acciones declaradas del guardrail (flag se convierte en block/mask según el diseño) y saca la política de firewall del modo shadow, así que los mismos controles ahora aplican en la ruta de relay. Opcionalmente promociona el guardrail del pack al valor por defecto del espacio de trabajo en la misma llamada, para que cada clave lo herede.
Enforce es un cambio de postura real: un prompt bloqueado ahora devuelve HTTP 400 guardrail_blocked y una llamada a herramienta denegada devuelve HTTP 400 firewall_blocked. Un bloqueo no cuesta cuota — los bloqueos de entrada son pre-medición y los bloqueos de salida se reembolsan — pero detendrá tráfico que viole un control. Ese es el punto; solo confirma tu evidencia de observe primero.

5. Genera un informe firmado

Este es el artefacto que entregas al auditor. Genéralo (Admin): 
POST /api/compliance/reports
{
  "framework": "soc2",
  "format": "pdf"
}
format es uno de pdf, json o csv. Cada informe está firmado con Ed25519 sobre el hash de evidencia canónico y lleva un hash de contenido SHA-256, así que es a prueba de manipulación y verificable independientemente — el auditor no tiene que confiar en tu captura de pantalla, verifica la firma.
La matriz de cobertura de cada marco instalado: cláusula → control → estado (enforcing / observe / gap), más la evidencia de se-habría-bloqueado capturada durante observe. Las cláusulas organizacionales se listan como huecos divulgados, no silenciosamente descartadas.
La firma vincula el hash de evidencia del informe a la clave de firma de OrcaRouter. Cualquiera — incluido un auditor sin cuenta de OrcaRouter — puede confirmar que el informe no fue alterado tras la generación verificándolo contra la clave pública.

6. Compártelo con tu auditor

Crea un enlace de compartición de solo lectura para el informe (Admin): 
POST /api/compliance/reports/:id/share
El auditor abre el endpoint público de compartición — sin login: 
GET /api/public/compliance/share/:token
Luego verifican la firma ellos mismos contra la clave publicada de OrcaRouter:
EndpointPropósito
GET /api/public/compliance/pubkeyObtener la clave pública Ed25519.
POST /api/public/compliance/verifyConfirmar la firma + hash de un informe.
Un enlace de compartición es revocable. Emite uno por compromiso de auditoría, y revócalo (DELETE /api/compliance/share/:shareId, Admin) cuando el compromiso cierre — el informe mismo permanece en el historial de tu espacio de trabajo.

7. Fija dónde vive el informe

A los auditores y reguladores a menudo les importa dónde se almacena la evidencia. Establece la región a la que están fijados tus artefactos de informe de cumplimiento (us, eu, uk, ap, cn, global) vía PUT /api/compliance/residency (Admin). Las lecturas inter-región de un informe se retienen.
La residencia fija la región del artefacto de informe solamente — no es geofijación de datos de inferencia. Controla dónde vive tu evidencia firmada, no dónde se enrutan las solicitudes.

8. Verifica antes de la auditoría

Demuestra que el rastro es real antes de que alguien lo revise:
1

Confirma la cobertura

Abre Readiness y confirma que los controles SOC 2 que esperas muestran enforcing, no observe, sin huecos sorpresa.
2

Ida y vuelta de la firma

Genera un informe, luego POST /api/public/compliance/verify contra la clave pública — confirma que valida antes de compartir.
3

Abre el enlace de compartición sin sesión

Accede a GET /api/public/compliance/share/:token en una sesión de navegador limpia para ver exactamente lo que tu auditor verá.

Relacionado

Referencia de Guardrails

El plano de política de contenido que el pack SOC 2 materializa.

Referencia de Firewall

El plano de acción detrás de los controles de acceso y cambio del pack.

Modos de aplicación

Cómo difieren observe, shadow y enforce — y por qué observe primero.

Despliegue HIPAA

El mismo flujo de pack-e-informe para un marco de salud.

Registro seguro de PII

Mantén la PII en bruto fuera de los registros de los que se nutre tu evidencia.

Lista de verificación de go-live

Activa zero trust antes de cambiar los controles a aplicar.