Vai al contenuto principale
Non scegli un framework per leggere una checklist di marketing. Ne scegli uno per dimostrare — a un auditor, a un cliente, a un regolatore — che il controllo che richiede è effettivamente in esecuzione sul percorso usato dai tuoi agent. OrcaRouter offre un catalogo di framework come pack installabili, e ogni framework in quel catalogo mappa sulla stessa macchina di guardrail e firewall su cui gira il resto del tuo workspace, più un report firmato che snapshotta cosa è stato intercettato. Questa pagina elenca il registro reale dei framework e mostra come ciascuno si trasforma in evidenze. Per l’arco install-and-go-live, parti dalla Panoramica sulla compliance. Il catalogo è il registro live — sfoglialo sotto Compliance → Catalog anziché codificare a mano un conteggio, dato che i pack vengono aggiunti nel tempo. Al momento della scrittura abbraccia standard generali di sicurezza e di governance dell’AI, regimi settoriali, e un’ampia serie di leggi regionali sulla privacy. La console li raggruppa in cinque tab di categoria: ai, privacy, security, financial e healthcare.
eu_ai_act · nist_ai_rmf · iso_42001 · owasp_llm · colorado_ai. L’OWASP LLM Top 10 è offerto come un pack installabile reale (owasp_llm), non solo una vista di mapping dei controlli — vedi OWASP LLM Top 10.
soc2 · iso_27001 · nist_800_53 · cmmc. Standard generali di trust e di sicurezza delle informazioni mappati sui piani dei contenuti e delle azioni.
pci_dss · glba · dora_eu. Regimi di pagamento, banking e resilienza operativa — masking dei PAN, igiene dei segreti, controlli sui tool pericolosi, ed evidenze di egress.
hipaa · hitrust. Redazione delle PHI, de-identificazione, e guard di egress per la sicurezza della trasmissione.
gdpr · uk_gdpr · ccpa · china_pipl · appi_jp · pipa_kr · lgpd_br · pipeda_ca · dpdp_in · privacy_au · pdpa_sg · vcdpa_va · cpa_co · ctdpa_ct · ucpa_ut · tdpsa_tx · ferpa · coppa. Ciascuno porta controlli di minimizzazione dei dati, gestione delle categorie speciali, e registro dei trattamenti calibrati sulla giurisdizione.
Ogni pack porta una data di efficacia e il mese in cui il suo mapping dei controlli è stato rivisto l’ultima volta, entrambi mostrati sul catalogo e sul report — così un auditor può vedere quanto è aggiornato il mapping, non solo che esiste.

2. Cosa significa “evidenza” per un framework

Installare un pack materializza due oggetti reali e modificabili nel tuo workspace, e sono ciò che il report legge:
  • un Guardrail — i controlli del piano dei contenuti (PII, PHI, segreti, output non sicuro) che il framework si aspetta su richieste e risposte;
  • una o più regole di policy Firewall — i controlli del piano delle azioni (quali chiamate a tool, dispatch MCP e destinazioni egress sono consentite o auditate).
Poiché gli oggetti sono reali, le evidenze del framework non sono un’auto-attestazione — sono lo stato live e la history di match dei controlli che il tuo traffico già attraversa. Un report snapshotta quello stato al momento della generazione attraverso otto sezioni di evidenza (coverage, enforcement, consent, change log, admin access, gaps, subprocessor e access review), così l’artefatto resta autocontenuto anche dopo che i log invecchiano ed escono.
Sezione di evidenzaCosa cattura
CoverageQuali controlli in scope sono soddisfatti da un pack installato
EnforcementSe ogni controllo è live o ancora in observe mode
Change logLa history versionata delle modifiche di policy dietro i controlli
I report snapshottano anche le sezioni consent, admin-access e gaps; vedi Contenuti del pack per la mappa completa dei controlli che un pack posa.
La checklist in scope di un framework è l’unione dei controlli coperti dal pack e delle clausole organizzative (formazione del personale, BAA, DPIA, accesso fisico) che non possono mai essere automatizzate dal gateway. Quegli item organizzativi rendono sempre come un ⚠ Gap dichiarato con indicazioni — così la completezza è onesta, mai silenziosamente al 100%.

3. Un flusso concreto: SOC 2

Supponi di aver bisogno di evidenze SOC 2. Come Admin del workspace su un piano a pagamento, installa il pack dalla console sotto Compliance → Catalog. La console guida la rotta di management per te usando la tua sessione (non una chiave di relay): 
POST /api/compliance/packs/soc2/install
Authorization: Bearer <your console session>
Il pack soc2 materializza un guardrail che maschera le PII confidenziali e registra le decisioni del guardrail, più una regola di firewall che audita ogni dispatch di tool — mappati su TSC CC6.1, CC7.2. Atterra in observe mode, così nulla di ciò che fanno i tuoi agent viene interrotto mentre osservi i feed di match ed eventi. Quando i feed appaiono puliti, vai live e genera il report: 
POST /api/compliance/packs/soc2/golive
Il report esce firmato Ed25519 e hashato SHA-256, esportabile come CSV, JSON o PDF, e verificabile pubblicamente — il tuo auditor lo conferma con la chiave pubblica di OrcaRouter, nessun account necessario. Le clausole organizzative SOC 2 (change management, risk assessment) appaiono come gap dichiarati con indicazioni, perché vivono nel tuo processo, non nel gateway.
Sfogliare il catalogo, i pack installati e la readiness è aperto a ogni Member del workspace ed è gratuito. Solo l’Admin che possiede il rollout ha bisogno di install, go-live e residency — così i tuoi revisori di audit possono osservare la readiness senza accesso in scrittura.

4. Leggere il registro programmaticamente

Le letture del catalogo e della readiness sono aperte ai Member, così un revisore o un job CI può estrarre l’elenco corrente dei framework e lo status per-controllo senza accesso in scrittura. La console usa la tua sessione per queste rotte di management: 
GET /api/compliance/catalog      # the live framework registry
GET /api/compliance/readiness    # per-control satisfied / gap status
Non codificare a mano un conteggio o un elenco di framework nel tuo tooling. Il catalogo è la fonte di verità e cresce nel tempo. Leggi /api/compliance/catalog e basati sulla key del framework (soc2, hipaa, eu_ai_act, …) anziché su una stringa di nome.

5. Dal framework ai controlli sottostanti

Un framework è una vista di controlli che puoi anche configurare direttamente. Se vuoi capire o regolare ciò che un pack posa — o costruire la stessa copertura a mano — i riferimenti approfonditi sono:

Guardrails

Il riferimento del piano dei contenuti — entità PII e PHI, segreti, output non sicuro, e le azioni block / mask / flag che un pack usa.

Agent Firewall

Il riferimento del piano delle azioni — regole su tool, MCP ed egress e i verdetti audit / deny / sanitize dietro la policy firewall di un pack.

Cosa contiene un pack

Gli esatti oggetti guardrail e firewall che ogni framework materializza.

Matrice dei controlli

Ogni controllo mappato attraverso i framework in un’unica griglia.

6. Pagine per-framework

I framework con una propria pagina dedicata:

SOC 2

HIPAA

GDPR

EU AI Act

ISO 27001

ISO 42001

NIST AI RMF

OWASP LLM Top 10

PCI DSS

CCPA

7. Dove si colloca

Observe vs enforce

Fai atterrare ogni pack prima in observe mode; leggi il segnale prima del go-live.

Report firmato

Come un report è hashato e firmato, e cosa verifica un auditor.

Responsabilità condivisa

Cosa protegge il gateway rispetto a ciò che resta tuo — il confine onesto dietro qualsiasi rivendicazione di framework.

Modalità di applicazione

Observe, audit ed enforce — il vocabolario condiviso dietro il go-live.
Il catalogo cresce, ma la forma non cambia mai: scegli un framework, installa il suo pack, osserva cosa intercetta, vai live, e consegna al tuo auditor un report firmato mappato clausola-per-clausola su controlli che il tuo traffico ha effettivamente attraversato.