Vai al contenuto principale
Quando un auditor chiede evidenze, non vuole un login a una dashboard — vuole un file. OrcaRouter permette a un Admin del workspace di generare un report di compliance in CSV, JSON o PDF, dove il CSV è uno stream di righe piatto e taggato per sezione che qualsiasi auditor può aprire in un foglio di calcolo, ordinare e greppare. Un solo file porta coverage, conteggi di applicazione, consenso, change history e accesso admin per un singolo framework su un periodo scelto. Questa pagina copre specificamente l’export di evidenze in CSV: chi può generarlo, cosa significano le colonne, e come si lega al report firmato e verificabile. Per il flusso più ampio dal catalogo al go-live, parti dalla panoramica sulla compliance.

1. Perché esportare le evidenze di audit AI come CSV

Un PDF firmato è l’artefatto che consegni a un revisore; un CSV è l’artefatto in cui un revisore lavora davvero. Lo stesso bundle di evidenze si rende in entrambi — il CSV si limita ad appiattire ogni sezione in un’unica tabella a larghezza fissa così un auditor può filtrare per section, ordinare per at_utc, o greppare un id di controllo senza aprire la tua console.

PDF

L’artefatto presentabile. Il primo PDF è gratis da dimostrare su qualsiasi piano.

CSV

La tabella piatta e taggata per sezione che un auditor apre in un foglio di calcolo. A pagamento.

JSON

Le stesse evidenze come record strutturati per la tua pipeline. A pagamento.
Ogni formato è costruito dallo stesso bundle di evidenze e dallo stesso hash di contenuto — il CSV è un rendering, non un report diverso. Cambiare formato non cambia ciò che dicono le evidenze, solo come si leggono.

2. Chi può esportare, e quanto costa

Sfogliare e leggere la tua postura di readiness è gratis per ogni membro. Generare un report è un’azione da Admin: il piano gratuito include un report PDF, mentre l’export CSV/JSON e i report aggiuntivi richiedono un piano a pagamento. Il controllo è applicato lato server, così una chiamata API diretta non può aggirarlo.
AzioneRuoloPiano
Sfoglia catalogo / readinessMemberGratis
Genera il primo PDFAdminGratis
Genera CSV / JSONAdminA pagamento
I piani gratuiti includono un report PDF per dimostrare l’artefatto. L’export CSV e JSON, più qualsiasi report aggiuntivo, richiede un piano a pagamento — altrimenti il server restituisce un prompt di upgrade, a prescindere da come viene fatta la chiamata. Vedi plan gating per la mappa completa gratis/a pagamento.

3. Un export concreto

L’export è un flusso a due chiamate dalla console: un Admin genera il report (async — restituisce pending immediatamente), poi scarica l’artefatto una volta che è ready. Entrambe le rotte usano la tua sessione di console (UserAuth), non una chiave di relay.
1

Genera il report come CSV (Admin, a pagamento)

Scegli un framework e un periodo, scegli CSV, e genera. Il report viene messo in coda e renderizzato lato server dai tuoi dati di applicazione reali per quella finestra.
# Session-authenticated (UserAuth), Admin + paid plan. Driven from the console.
POST /api/compliance/reports
{
  "framework": "soc2",
  "format": "csv",
  "period_start": 1717200000,
  "period_end": 1719792000
}
Le PII (email dei membri e degli attori) sono mascherate di default in ogni export. Opta per email non redatte solo quando il tuo auditor lo richiede — la privacy è il default, non l’eccezione.
2

Scarica l'artefatto (Admin)

Una volta che il report è ready, scaricalo. Il file viene servito con un header di attachment così atterra come un .csv pronto da aprire in un foglio di calcolo.
GET /api/compliance/reports/{id}/download
# → text/csv attachment
Un report è marcato con la regione di data-residency del tuo workspace al momento della generazione. Se in seguito cambi la regione, il vecchio artefatto viene trattenuto e devi rigenerarlo — le letture cross-region non vengono servite.

4. Cosa contiene il CSV

Il CSV è un’unica tabella coerente: un header fisso a sette colonne, e un tag section su ogni riga così un singolo file porta tutte le sue sezioni. L’ordine delle righe è deterministico — due render della stessa evidenza producono CSV byte-identico. 
section, id, name, clause_or_action, status_or_value, detail, at_utc
Framework, giurisdizione, il periodo di rendicontazione, chi ha mappato i controlli, un disclaimer, e la regione di data-residency marcata.
Una riga per controllo mappato: il suo id, nome, clausola, status, e il piano (guardrails o firewall) che lo applica.
Totali del periodo: violazioni dei guardrail, e conteggi del firewall allowed / blocked / audited — il record di applicazione reale, non una rivendicazione.
Cambi di versione dei guardrail (operazione + autore) e cambi nell’audit-log, ciascuno con timestamp — la history tamper-evident delle tue modifiche di policy.
Attore admin, azione, e la risorsa toccata — la traccia di accesso privilegiato che gli auditor cercano.
Controlli senza copertura, taggati gateway-enforceable o organizational così sai quali gap chiudi in policy rispetto a processo.
I tuoi subprocessor AI, una access review delle chiavi (status + scadenza), e l’elenco degli utenti admin.
Ogni cella di testo libero è neutralizzata contro la formula injection dei fogli di calcolo — un valore che inizia con =, +, - o @ è prefissato con un apice letterale così aprire il file non esegue mai un payload che ha viaggiato dentro una sottostringa intercettata.

5. Il CSV è evidenza firmata, non un foglio di calcolo sciolto

Un report di compliance — in qualsiasi formato — è firmato Ed25519 e porta un hash di contenuto SHA-256 sulla sua evidenza canonica. Questo rende l’artefatto verificabile pubblicamente: chiunque tu lo consegni può confermare che proviene dal tuo workspace e non è stato alterato, senza un account OrcaRouter.

Verifica un report

Come un destinatario controlla la firma contro la chiave pubblica — nessun login richiesto.

Report firmati

Cosa viene firmato, l’hash di contenuto, e il link di condivisione per auditor.
Hai bisogno di inviare le evidenze a un auditor esterno senza esportare affatto un file? Emetti invece un link di condivisione per auditor limitato nel tempo — serve lo stesso report firmato in sola lettura. Vedi report firmati.

6. Esportare i match grezzi dei guardrail

Il CSV di compliance è l’evidenza curata e mappata sul framework. Se un auditor vuole il feed grezzo dei match — ogni singolo hit di guardrail dietro i conteggi — puoi farlo uscire separatamente come CSV o JSON, filtrato sulla tua vista corrente. 
# Session-authenticated (UserAuth). Streams your filtered matches as CSV.
GET /api/guardrail/match/export?format=csv
Ogni riga è un match: ora, guardrail, tipo e label della regola, stage, azione, modello, token, dettaglio, la sottostringa intercettata, request id e IP. Gli export sono limitati per richiesta e la sottostringa intercettata appare solo quando Log raw content è abilitato sul guardrail (disattivato di default).
Questo export è evidenza operativa riga-per-match, non un artefatto di compliance firmato. Per evidenze firmate e mappate sul framework, genera un report di compliance (Sezione 3). Per cosa alimenta i record di match, vedi Guardrails.

7. Dove andare dopo

Installa un pack

Materializza le regole di guardrail e firewall di un framework prima di rendicontarci sopra.

Plan gating

Esattamente quali azioni di compliance sono gratis rispetto a pagamento e Admin-gated.

Data residency

La regione sotto cui le evidenze di un report sono marcate e servite.

Framework

Per quali framework puoi generare evidenze.
Un CSV è il formato in cui gli auditor vivono. Generane uno come Admin, consegna un file firmato e verificabile, e lascia che greppino le evidenze alle loro condizioni.