Passer au contenu principal
Vous ne choisissez pas un framework pour lire une checklist marketing. Vous en choisissez un pour prouver — à un auditeur, un client, un régulateur — que le contrôle qu’il exige tourne réellement sur le chemin qu’empruntent vos agents. OrcaRouter livre un catalogue de frameworks sous forme de packs installables, et chaque framework de ce catalogue correspond à la même machinerie de guardrail et de firewall que le reste de votre espace de travail exécute, plus un rapport signé qui capture ce qui a été attrapé. Cette page liste le registre réel des frameworks et montre comment chacun se transforme en preuves. Pour l’arc installer-et-passer-en-production, commencez par la Vue d’ensemble de la conformité.

1. Les frameworks de conformité IA du catalogue

Le catalogue est le registre en direct — parcourez-le sous Compliance → Catalog plutôt que de coder en dur un nombre, puisque des packs sont ajoutés au fil du temps. À l’heure où ceci est écrit, il couvre les standards généraux de sécurité et de gouvernance de l’IA, les régimes sectoriels, et un large ensemble de lois régionales sur la vie privée. La console les regroupe en cinq onglets de catégorie : ai, privacy, security, financial, et healthcare.
eu_ai_act · nist_ai_rmf · iso_42001 · owasp_llm · colorado_ai. L’OWASP LLM Top 10 est livré comme un vrai pack installable (owasp_llm), pas seulement une vue de correspondance de contrôles — voir OWASP LLM Top 10.
soc2 · iso_27001 · nist_800_53 · cmmc. Standards généraux de confiance et de sécurité de l’information mis en correspondance avec les plans de contenu et d’action.
pci_dss · glba · dora_eu. Régimes de paiement, bancaires et de résilience opérationnelle — masquage de PAN, hygiène des secrets, contrôles d’outils dangereux, et preuves d’egress.
hipaa · hitrust. Rédaction de PHI, dé-identification, et garde-fous d’egress de sécurité de transmission.
gdpr · uk_gdpr · ccpa · china_pipl · appi_jp · pipa_kr · lgpd_br · pipeda_ca · dpdp_in · privacy_au · pdpa_sg · vcdpa_va · cpa_co · ctdpa_ct · ucpa_ut · tdpsa_tx · ferpa · coppa. Chacun porte la minimisation des données, le traitement des catégories spéciales, et des contrôles d’enregistrement de traitement ajustés à la juridiction.
Chaque pack porte une date d’effet et le mois où sa correspondance de contrôles a été revue pour la dernière fois, les deux remontées sur le catalogue et le rapport — de sorte qu’un auditeur puisse voir à quel point la correspondance est à jour, pas seulement qu’elle existe.

2. Ce que « preuves » signifie pour un framework

Installer un pack matérialise deux objets réels et éditables dans votre espace de travail, et ce sont eux que le rapport lit :
  • un Guardrail — les contrôles du plan de contenu (PII, PHI, secrets, sorties non sûres) que le framework attend sur les requêtes et les réponses ;
  • une ou plusieurs règles de politique Firewall — les contrôles du plan d’action (quels appels d’outils, dispatchs MCP et destinations d’egress sont autorisés ou audités).
Parce que les objets sont réels, les preuves du framework ne sont pas une auto-attestation — c’est l’état vivant et l’historique de correspondances des contrôles que votre trafic traverse déjà. Un rapport capture cet état au moment de la génération à travers huit sections de preuves (coverage, enforcement, consent, change log, admin access, gaps, subprocessors, et access reviews), de sorte que l’artefact reste autonome même après l’expiration des logs.
Section de preuvesCe qu’elle capture
CoverageQuels contrôles dans le périmètre sont satisfaits par un pack installé
EnforcementSi chaque contrôle est en direct ou encore en mode observe
Change logL’historique versionné des éditions de politique derrière les contrôles
Les rapports capturent aussi les sections consent, admin-access et gaps ; voir Contenu du pack pour la carte complète des contrôles qu’un pack pose.
La checklist dans le périmètre d’un framework est l’union des contrôles couverts par un pack et des clauses organisationnelles (formation du personnel, BAA, DPIA, accès physique) qui ne peuvent jamais être automatisées par la passerelle. Ces éléments organisationnels s’affichent toujours comme une ⚠ Gap divulguée avec des conseils — de sorte que la complétude est honnête, jamais silencieusement 100 %.

3. Un flux concret : SOC 2

Supposons que vous ayez besoin de preuves SOC 2. En tant qu’Admin de l’espace de travail sur un plan payant, installez le pack depuis la console sous Compliance → Catalog. La console pilote la route de gestion pour vous en utilisant votre session (pas une clé de relais) : 
POST /api/compliance/packs/soc2/install
Authorization: Bearer <your console session>
Le pack soc2 matérialise un guardrail qui masque les PII confidentielles et enregistre les décisions de guardrail, plus une règle firewall qui audite chaque dispatch d’outil — mis en correspondance avec TSC CC6.1, CC7.2. Il atterrit en mode observe, de sorte que rien de ce que font vos agents n’est interrompu pendant que vous surveillez les flux de correspondances et d’événements. Lorsque les flux semblent propres, passez en production et générez le rapport : 
POST /api/compliance/packs/soc2/golive
Le rapport sort signé Ed25519 et hashé SHA-256, exportable en CSV, JSON ou PDF, et publiquement vérifiable — votre auditeur le confirme avec la clé publique d’OrcaRouter, sans compte nécessaire. Les clauses SOC 2 organisationnelles (gestion du changement, évaluation des risques) apparaissent comme des lacunes divulguées avec des conseils, parce qu’elles vivent dans votre processus, pas dans la passerelle.
Parcourir le catalogue, les packs installés et la readiness est ouvert à chaque Member de l’espace de travail et est gratuit. Seul l’Admin qui pilote le déploiement a besoin de l’installation, du passage en production et de la résidence — de sorte que vos relecteurs d’audit puissent surveiller la readiness sans accès en écriture.

4. Lire le registre de façon programmatique

Les lectures du catalogue et de la readiness sont ouvertes aux Members, de sorte qu’un relecteur ou un job CI puisse récupérer la liste actuelle des frameworks et le statut par contrôle sans accès en écriture. La console utilise votre session pour ces routes de gestion : 
GET /api/compliance/catalog      # the live framework registry
GET /api/compliance/readiness    # per-control satisfied / gap status
Ne codez pas en dur un nombre ou une liste de frameworks dans votre propre outillage. Le catalogue est la source de vérité et grandit au fil du temps. Lisez /api/compliance/catalog et basez-vous sur la key du framework (soc2, hipaa, eu_ai_act, …) plutôt que sur une chaîne de nom.

5. Du framework aux contrôles en dessous

Un framework est une vue de contrôles que vous pouvez aussi configurer directement. Si vous voulez comprendre ou ajuster ce qu’un pack pose — ou construire la même couverture à la main — les références approfondies sont :

Guardrails

La référence du plan de contenu — entités PII et PHI, secrets, sorties non sûres, et les actions block / mask / flag qu’un pack utilise.

Agent Firewall

La référence du plan d’action — règles d’outils, MCP et egress et les verdicts audit / deny / sanitize derrière la politique firewall d’un pack.

Ce que contient un pack

Les objets guardrail et firewall exacts que chaque framework matérialise.

Matrice de contrôles

Chaque contrôle mis en correspondance à travers les frameworks dans une seule grille.

6. Pages par framework

Les frameworks avec leur propre page dédiée :

SOC 2

HIPAA

GDPR

EU AI Act

ISO 27001

ISO 42001

NIST AI RMF

OWASP LLM Top 10

PCI DSS

CCPA

7. Où cela s’inscrit

Observer vs appliquer

Faites d’abord atterrir chaque pack en mode observe ; lisez le signal avant le passage en production.

Rapport signé

Comment un rapport est hashé et signé, et ce qu’un auditeur vérifie.

Responsabilité partagée

Ce que la passerelle sécurise versus ce qui reste le vôtre — la frontière honnête derrière toute affirmation de framework.

Modes d'application

Observe, audit et enforce — le vocabulaire partagé derrière le passage en production.
Le catalogue grandit, mais la forme ne change jamais : choisissez un framework, installez son pack, observez ce qu’il attrape, passez en production, et remettez à votre auditeur un rapport signé mis en correspondance clause par clause avec des contrôles que votre trafic a réellement traversés.