メインコンテンツへスキップ
監査人が「あなたの AI トラフィックが統制されていることを証明せよ」と尋ねたとき、 コンソールのスクリーンショットを撮りたくはないでしょう。OrcaRouter は、あなたの ライブのガードレールとファイアウォールの姿勢を、規制フレームワーク — SOC 2、HIPAA、 GDPR、EU AI Act など — にマップされた署名付きで公開検証可能なエビデンスレポートに 変えます。このページは、そのワークフローのための API サーフェスです:カタログを 閲覧し、パックをインストールし、レポートを生成し、監査人が OrcaRouter アカウント なしで署名を検証できるようにする方法です。 コンプライアンスは、ガードレール(テキスト)と ファイアウォール(ツール呼び出し)と並ぶ、OrcaRouter の コントロールスタックの第 3 のプレーンです。コンプライアンスパックは、その 2 つを 事前にオーサリングしたバンドルにすぎません — ひとつインストールすると、あなたの ワークスペースに実在する編集可能なガードレールとファイアウォールポリシーが マテリアライズされます。
すべての /api/compliance/* ルートは、sk-orca-… リレーキーではなく、あなたの コンソールセッション / アクセストークン(ダッシュボードで使うのと同じログイン)で 認証します。すべてをコンソールから設定してください;下記の REST サーフェスは、CI で エビデンス収集を自動化するためのものです。

1. コンプライアンス API リファレンスがカバーするもの

2 つのルートグループ、2 つのオーディエンス:
グループ認証オーディエンス
/api/compliance/*コンソールセッションあなた + あなたの監査人(ワークスペース内)
/api/public/compliance/*なし(トークン / 署名)レポートを検証する誰でも
最初のグループの読み取り — カタログ、インストール済みパック、レディネス、レジデンシー、 レポートメタデータの閲覧 — は、すべてのワークスペースメンバーに開放され、無料です。 すべての書き込み(パックのインストール、本番化、レポートの生成またはダウンロード、 レジデンシーの変更、共有)には、ワークスペース Admin(サーバー強制)が必要です。 有料プランは、パックのインストール、本番化、CSV/JSON のエクスポート、または無料の 1 レポートを超えるレポートの生成に追加で必要です — ただし、レジデンシーの変更や 最初の PDF の生成には不要です。

2. カタログを閲覧しレディネスをチェックする

読み取り専用から始めましょう。これら 3 つのエンドポイントは特別なロールを必要とせず、 何のコストもかかりません:
フレームワークレジストリを返します。OrcaRouter は主要なセキュリティ、プライバシー、 AI ガバナンス体制のパックを出荷しています — soc2hipaagdpruk_gdpreu_ai_actiso_27001iso_42001nist_ai_rmfnist_800_53pci_dssglbaccpa、そして地域プライバシー法の長いテール(PIPL、APPI、PIPA、LGPD、 PIPEDA、DPDP、そして米国州法)を含みます。OWASP Top 10 for LLM Applicationsowasp_llm)もファーストクラスのパックとして出荷されます — 他のすべての フレームワークと同様に、実在するガードレールとファイアウォールのコントロール (プロンプトインジェクション、安全でない出力、機密情報の開示、過剰なエージェンシー)を マテリアライズします。
このワークスペースですでにマテリアライズされたパックを一覧します。それぞれの ライフサイクルモード(observe または enforce)と、それが作成したガードレール + ファイアウォールポリシーとともに。
現在の姿勢を各フレームワークのチェックリストに対してスコアリングします:あなたの ライブのガードレールとファイアウォールルールがすでに満たしているコントロールと、 まだ自分で閉じなければならない組織的ギャップ。何かをインストールする前にこれを 読んでください。

3. パックをインストールする

パックのインストールは価値の瞬間です:実在する Guardrail(テキスト/データプレーン)と WorkspaceFirewallPolicy + ルール(ツール呼び出しプレーン)を、フレームワークにタグ付け してワークスペースに書き込みます。両方とも後から完全に編集可能です — パックは 出発点であり、ロックされたテンプレートではありません。 
# Admin + 有料プラン。まず observe モードでインストールします。
curl -X POST https://api.orcarouter.ai/api/compliance/packs/soc2/install \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN"
新しいパックは observe モードで着地します — ガードレールアクションは flag に 強制され、ファイアウォールは shadow/ログのみ — そのため、何かがライブトラフィックを ブロックする前にカバレッジを観察できます。準備ができたら、プロモートします: 
curl -X POST https://api.orcarouter.ai/api/compliance/packs/soc2/golive \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN"
golive は、マテリアライズされたガードレールとファイアウォールポリシーを強制に 切り替えます。強制モードをレビューして、 denymask がライブトラフィックに何をするかを正確に知った後で実行してください。
その他のパック書き込み(すべて Admin):単一のコントロールを配線する POST …/packs/:key/controls、カタログ変更後に再同期する POST …/packs/:key/update、 そしてアンインストールする DELETE …/packs/:key

4. 署名付きエビデンスレポートを生成する

レポートは、あなたが監査人に手渡すアーティファクトです。それぞれが、あなたのライブの 姿勢からレンダリングされ、SHA-256 でコンテンツハッシュされ、Ed25519 で署名 されるため、後からサイレントに編集することはできません。 
curl -X POST https://api.orcarouter.ai/api/compliance/reports \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"framework":"soc2","format":"pdf"}'
フォーマットは pdfjsoncsv です。
アーティファクトをデモできるよう、最初の PDF レポートは無料です。CSV/JSON の エクスポートと追加のレポートは有料プランの一部です — レポートが販売可能なエビデンス なので、無料上限に達したとき、ゲートウェイはハードエラーではなくフレンドリーな アップグレードメッセージを返します。
レポートの一覧と取得は GET …/reportsGET …/reports/:id で;レンダリングされた ファイルのダウンロードは GET …/reports/:id/download(Admin)で行います。

5. 監査人に検証してもらう — アカウント不要

3 つの公開エンドポイントが、ファイルを保持する誰でもレポートを独立して チェック可能にします:

公開鍵を取得する

GET /api/public/compliance/pubkey は、レポートが署名されている Ed25519 公開鍵を 返します。

署名を検証する

POST /api/public/compliance/verify は、レポートの署名とコンテンツハッシュを チェックし、改ざんされたかどうかを呼び出し元に伝えます。

監査人と共有する

POST …/reports/:id/share(Admin)から読み取り専用リンクを発行します;監査人は GET /api/public/compliance/share/:token を開きます — ログイン不要。
検証は公開かつオフラインでチェック可能なので、監査人はあなたのワークスペースや トラフィックに一度も触れません — 暗号を確認し、エビデンスを読むだけです。

6. データレジデンシー

ここでのレジデンシーは、あなたのコンプライアンスエビデンスがスタンプされ保存される リージョンuseuukapcn、または global — です。レポートがどこに 存在し、どのリージョンから提供されうるかを統制します;非一致リージョンから読まれた 場合、レポートは保留されます。(これはエビデンスアーティファクトのコントロールであり、 あなたの推論トラフィックの地理的ピン留めではありません。) 
curl -X PUT https://api.orcarouter.ai/api/compliance/residency \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"region":"eu"}'
現在の設定の読み取りは GET …/residency(任意のメンバー)で;変更は Admin です。

7. 保持、消去、監査

コンプライアンスプレーンは、ゲートウェイ全体に適用される同じデータライフサイクル 保証に支えられています:
リクエストログはデフォルトで 30 日最大 180 日保持されます — ゲートウェイは それより長いものをクランプします。保持はあなたのレディネススコアに直接反映されます。
アカウント削除リクエストは30 日間の猶予期間(デフォルト)を開き、その後アカウントの PII は不可逆にスクラブされます:カスケードは保持されたリクエストログ上の識別子を リダクトし、ユーザースコープのガードレールマッチ、ファイアウォールイベント、 エージェントトレースレコードをパージします。
コンプライアンスレポートの変更ログセクションは、レポート期間にスコープされた、 ワークスペース監査ログから引き出されます。メンバーと管理者のメールアドレスは、 生成時に完全な PII が明示的にリクエストされない限り、エクスポートされたレポートでは デフォルトでマスクされます(例:j•••@acme.com)。 監査アクションカタログを参照してください。

次に進む先

ガードレール API

コンプライアンスパックがマテリアライズするテキスト/データプレーンのポリシー。

ファイアウォール API

パックがそれと並んで書き込むツール呼び出しポリシープレーン。

コントロールスタック

ガードレール、ファイアウォール、コンプライアンスがどうひとつの姿勢に構成されるか。

エラーコード

ペイウォールとロールゲートを含む、ゲートウェイが返しうるすべてのステータス。
用語の定義 — コンプライアンスパック、署名付きレポート、データレジデンシー、消去の 権利 — については、コンセプト用語集を参照してください。