Saltar al contenido principal
Cuando un auditor pregunta “prueba que tu tráfico de IA está gobernado”, no quieres capturar la pantalla de una consola. OrcaRouter convierte tu postura en vivo de guardrail y firewall en un reporte de evidencia firmado y verificable públicamente mapeado a un framework regulatorio — SOC 2, HIPAA, GDPR, la EU AI Act y más. Esta página es la superficie de la API para ese flujo: cómo explorar el catálogo, instalar un pack, generar un reporte y dejar que un auditor verifique la firma sin una cuenta de OrcaRouter. Compliance es el tercer plano en la pila de controles de OrcaRouter, junto a Guardrails (texto) y el Firewall (llamadas a herramienta). Un compliance pack es solo un paquete pre-autorado de esos dos — instalar uno materializa una política de guardrail y firewall real y editable en tu espacio de trabajo.
Todas las rutas /api/compliance/* se autentican con tu token de sesión / acceso de consola (el mismo login que usas para el dashboard), no una clave de relay sk-orca-…. Configura todo desde la consola; la superficie REST de abajo es para automatizar la recolección de evidencia en CI.

1. Qué cubre la referencia de la api de compliance

Dos grupos de rutas, dos audiencias:
GrupoAutenticaciónAudiencia
/api/compliance/*Sesión de consolaTú + tus auditores (dentro del espacio de trabajo)
/api/public/compliance/*Ninguna (token / firma)Cualquiera que verifique un reporte
Las lecturas del primer grupo — explorar el catálogo, packs instalados, preparación, residencia y metadatos de reportes — están abiertas a cada miembro del espacio de trabajo y son gratuitas. Cada escritura (instalar un pack, ponerlo en vivo, generar o descargar reportes, cambiar la residencia, compartir) requiere Admin del espacio de trabajo (aplicado en el servidor). Un plan de pago se requiere adicionalmente para instalar un pack, ponerlo en vivo y exportar CSV/JSON o generar más del único reporte gratuito — pero no para cambiar la residencia o generar tu primer PDF.

2. Explora el catálogo y verifica la preparación

Empieza en modo solo lectura. Estos tres endpoints no necesitan rol especial y no cuestan nada:
Devuelve el registro de frameworks. OrcaRouter trae packs para los principales regímenes de seguridad, privacidad y gobierno de IA — incluyendo soc2, hipaa, gdpr, uk_gdpr, eu_ai_act, iso_27001, iso_42001, nist_ai_rmf, nist_800_53, pci_dss, glba, ccpa, y una larga cola de leyes regionales de privacidad (PIPL, APPI, PIPA, LGPD, PIPEDA, DPDP y las leyes estatales de EE. UU.). OWASP Top 10 para Aplicaciones LLM (owasp_llm) también viene como un pack de primera clase — materializa controles reales de guardrail y firewall (inyección de prompts, salida insegura, divulgación sensible, exceso de agencia) igual que cualquier otro framework.
Lista los packs ya materializados en este espacio de trabajo, cada uno con su modo de ciclo de vida (observe o enforce) y la política de guardrail + firewall que creó.
Puntúa tu postura actual contra la checklist de cada framework: qué controles satisfacen ya tus guardrails y reglas de firewall en vivo, y cuáles siguen siendo huecos organizativos que debes cerrar tú mismo. Lee esto antes de instalar nada.

3. Instala un pack

Instalar un pack es el momento de valor: escribe un Guardrail real (plano de texto/datos) y una WorkspaceFirewallPolicy más reglas (plano de llamada a herramienta) en tu espacio de trabajo, etiquetados al framework. Ambos son completamente editables después — el pack es un punto de partida, no una plantilla bloqueada. 
# Admin + plan de pago. Instala primero en modo observe.
curl -X POST https://api.orcarouter.ai/api/compliance/packs/soc2/install \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN"
Los packs nuevos aterrizan en modo observe — acciones de guardrail forzadas a flag, firewall en shadow/solo-registro — para que puedas observar la cobertura antes de que algo bloquee tráfico en vivo. Cuando estés listo, promociónalo: 
curl -X POST https://api.orcarouter.ai/api/compliance/packs/soc2/golive \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN"
golive cambia la política de guardrail y firewall materializada a aplicación. Ejecútalo tras revisar los modos de aplicación para que sepas exactamente qué harán deny y mask al tráfico en vivo.
Otras escrituras de pack (todas Admin): POST …/packs/:key/controls para conectar un único control, POST …/packs/:key/update para re-sincronizar tras un cambio del catálogo, y DELETE …/packs/:key para desinstalar.

4. Genera un reporte de evidencia firmado

El reporte es el artefacto que entregas a un auditor. Cada uno se renderiza desde tu postura en vivo, se hashea por contenido con SHA-256 y se firma con Ed25519 para que no pueda editarse silenciosamente después del hecho. 
curl -X POST https://api.orcarouter.ai/api/compliance/reports \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"framework":"soc2","format":"pdf"}'
Los formatos son pdf, json y csv.
Tu primer reporte PDF es gratis para que puedas demostrar el artefacto. La exportación CSV/JSON y los reportes adicionales son parte del plan de pago — el reporte es la evidencia vendible, así que el gateway devuelve un mensaje de actualización amable en vez de un error duro cuando alcanzas el tope gratuito.
Lista y obtén reportes con GET …/reports y GET …/reports/:id; descarga el archivo renderizado con GET …/reports/:id/download (Admin).

5. Deja que un auditor lo verifique — sin cuenta requerida

Tres endpoints públicos hacen que un reporte sea comprobable de forma independiente por cualquiera que tenga el archivo:

Obtén la clave pública

GET /api/public/compliance/pubkey devuelve la clave pública Ed25519 con la que se firman tus reportes.

Verifica una firma

POST /api/public/compliance/verify verifica la firma y el hash de contenido de un reporte y le dice al llamante si ha sido manipulado.

Comparte con un auditor

Acuña un enlace de solo lectura desde POST …/reports/:id/share (Admin); el auditor abre GET /api/public/compliance/share/:token — sin login.
Como la verificación es pública y comprobable sin conexión, un auditor nunca toca tu espacio de trabajo ni tu tráfico — confirma la criptografía y lee la evidencia.

6. Residencia de datos

La residencia aquí es la región bajo la que se estampa y almacena tu evidencia de cumplimientous, eu, uk, ap, cn o global. Gobierna dónde viven los reportes y desde qué región pueden servirse; un reporte se retiene si se lee desde una región que no coincide. (Este es un control de artefacto de evidencia, no geo-fijación de tu tráfico de inferencia.) 
curl -X PUT https://api.orcarouter.ai/api/compliance/residency \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"region":"eu"}'
Lee el ajuste actual con GET …/residency (cualquier miembro); cambiarlo es Admin.

7. Retención, borrado y auditoría

El plano de compliance está respaldado por las mismas garantías de ciclo de vida de datos que aplican a lo largo del gateway:
Los logs de solicitud se conservan 30 días por defecto y 180 días máximo — el gateway recorta cualquier cosa más larga. La retención alimenta directamente tu puntuación de preparación.
Una solicitud de eliminación de cuenta abre un periodo de gracia de 30 días (el valor por defecto), tras el cual la PII de la cuenta se depura de forma irreversible: la cascada redacta los identificadores en los logs de solicitud retenidos y purga las coincidencias de guardrail con alcance de usuario, los eventos de firewall y los registros de traza de agente.
La sección de change-log de un reporte de compliance se extrae del log de auditoría del espacio de trabajo, acotada al periodo del reporte. Los emails de miembros y admins se enmascaran por defecto en el reporte exportado (p. ej. j•••@acme.com) a menos que se solicite PII completa explícitamente en el momento de la generación. Ve el catálogo de acciones de auditoría.

A dónde ir a continuación

API de Guardrail

La política de plano de texto/datos que materializa un compliance pack.

API de Firewall

El plano de política de llamada a herramienta que el pack escribe junto a ella.

Pila de controles

Cómo guardrails, firewall y compliance se componen en una sola postura.

Códigos de error

Cada estado que el gateway puede devolver, incluyendo muros de pago y compuertas de rol.
Para definiciones de términos — compliance pack, reporte firmado, residencia de datos, derecho al borrado — ve el glosario de conceptos.