Vai al contenuto principale
Un compliance pack è un framework — SOC 2, HIPAA, GDPR, ISO 27001, l’OWASP LLM Top 10 — mappato sui controlli del gateway che lo soddisfano. Quando installi un compliance pack, OrcaRouter non si limita a segnare il framework tra i preferiti: materializza i controlli del pack in un Guardrail reale e modificabile (il piano dei contenuti) e in una policy Firewall reale (il piano delle chiamate a tool), taggati con la provenienza del pack così ogni applicazione, attachment e percorso di history esistente funziona invariato. Le installazioni atterrano in observe mode — il guardrail segnala anziché bloccare, il firewall gira in shadow — così raccogli evidenze “avrebbe-bloccato” prima che qualcosa tocchi il traffico live. Lo porti live più tardi, deliberatamente, dalla console.
Sfogliare il catalogo e controllare la readiness sono gratis per qualsiasi membro del workspace. Installare un pack è un’azione da Admin del workspace e richiede un piano a pagamento — il gateway applica entrambi lato server, così una chiamata API diretta non può aggirare il gate.

1. Cosa fa davvero “installare un compliance pack”

Una sola chiamata di installazione scrive tre cose atomicamente nel tuo workspace:
I controlli del piano contenuti del pack si fondono in un guardrail con nome — <Pack> (Compliance) (es. SOC 2 (Compliance)). In observe mode ogni azione (e ogni azione per-entità) è forzata a flag, così annota i match senza bloccare o mascherare il traffico reale.
I controlli sulle chiamate a tool del pack si fondono in una policy firewall con nome — <Pack> (Compliance — tools) (es. SOC 2 (Compliance — tools)) — creata con shadow_mode attivo, così valuta e logga ogni chiamata coperta come [shadow] would … ma non nega mai.
Una riga compliance-pack del workspace collega le due policy materializzate, fissa la versione del catalogo, registra quali controlli hai selezionato, e marca chi l’ha installato — più una voce nell’audit log.
Poiché l’installazione produce oggetti guardrail e firewall standard, puoi aprirli nella console dopo, leggere ogni regola, regolarli, e collegare la policy firewall a una chiave tramite firewall_policy_id — proprio come qualsiasi policy che hai autorato a mano.

2. Installa un compliance pack dalla console

La configurazione di compliance usa la tua sessione di console (UserAuth), non una chiave di relay. Fallo nella console:
1

Apri il catalogo di compliance

Vai su Compliance nella console del workspace. Sfoglia il catalogo e apri il framework che ti serve — per esempio SOC 2 (soc2) o l’OWASP LLM Top-10 (owasp_llm). Ogni pack elenca i suoi controlli, su quale piano atterra ciascun controllo, e il riferimento ufficiale.
2

Scegli i controlli (o prendili tutti)

Installa l’intero framework, o seleziona un sottoinsieme di controlli. Una selezione vuota installa ogni controllo del pack.
3

Installa

Come Admin del workspace su un piano a pagamento, clicca Install. Il pack si materializza in observe mode immediatamente. Re-installare un pack già installato è idempotente — restituisce il record esistente, non un duplicato.
4

Osserva le evidenze, poi vai live

Lascia che il guardrail e il firewall in shadow accumulino match avrebbe-bloccato. Quando la postura sembra giusta, porta il pack live per attivare le azioni dichiarate e (opzionalmente) promuovere le policy a default del workspace. Vedi Observe vs enforce.
Installa per primo il pack OWASP LLM Top-10 se non sai da dove cominciare — mappa direttamente sulle minacce che questa sezione dei docs copre (injection, gestione insicura dell’output, disclosure di informazioni sensibili, leakage del system prompt ed eccessiva agency) e ti dà una postura concreta da osservare.

3. La chiamata sottostante

La console guida un solo endpoint. È documentato qui così puoi vederne la forma, auditarlo, o scriptare un flusso di provisioning interno — ma il gateway richiede un token di sessione da Admin del workspace e un piano a pagamento per raggiungerlo: 
POST /api/compliance/packs/{key}/install
Authorization: Bearer <your-console-session-token>
Content-Type: application/json

{ "controls": ["owasp.llm01_injection", "owasp.llm08_excessive_agency"] }
Un body vuoto installa tutti i controlli del pack: 
POST /api/compliance/packs/owasp_llm/install
La risposta è il record di installazione — la chiave del pack, la versione fissata, mode: observe, e gli id del guardrail_id e del firewall_policy_id materializzati così puoi aprirli subito.
Un body malformato (non vuoto ma non parsabile) viene rifiutato, non trattato silenziosamente come “installa tutto” — così un bug di serializzazione del client non può mai allargare silenziosamente un’installazione parziale all’intero framework. Invia JSON valido, o non inviare nulla affatto.

4. Dopo l’installazione

PoiDove
Vedi cosa c’è nel packContenuti del pack
Portalo liveObserve vs enforce
Genera evidenze firmateReport firmato
Installare è la prima mossa economica e reversibile: non costa traffico live, è idempotente, e disinstallare rimuove pulitamente entrambi i piani materializzati. Il passo deliberato è andare live — è lì che le azioni dichiarate block/mask/deny si attivano.
Perché un piano a pagamento per installare e non solo per applicare? Materializzare un framework in policy modificabile live è il momento di valore — il gateway lo gestisce all’installazione e di nuovo al go-live così il confine di upgrade è esplicito, mai un 403 a sorpresa a metà rollout.

5. Correlati

Plan gating

Esattamente quali azioni di compliance sono gratis, e quali richiedono un piano a pagamento.

Observe vs enforce

Come l’observe mode raccoglie evidenze e cosa cambia al go-live.

Matrice dei controlli

Come ogni controllo di framework mappa sui guardrail e le regole firewall del gateway.

OWASP LLM Top 10

Il pack che mappa sulle minacce di sicurezza degli agent in questa sezione.

Riferimento Guardrails

Il piano dei contenuti che un’installazione materializza — regole, PII, azioni.

Riferimento Agent Firewall

Il piano delle chiamate a tool che un’installazione materializza — verdetti e superfici.
Per il quadro più ampio di quale lato della linea possiedi rispetto al gateway, vedi Responsabilità condivisa; per il catalogo dei framework, vedi Framework.