메인 콘텐츠로 건너뛰기
대부분의 AI 컴플라이언스 작업은 증거 작업입니다: 프레임워크가 요구하는 컨트롤이 에이전트가 사용하는 경로에서 실제로 실행되고 있음을 증명하고, 감사인이 당신의 말을 그대로 믿지 않고도 검증할 수 있는 무언가를 건네는 일입니다. OrcaRouter는 프레임워크를 작동하는 컨트롤 세트와 서명된 보고서로 몇 단계 만에 바꿉니다 — 팩을 설치하고, 관찰 모드에서 지켜본 다음, 강제를 켜고 증거를 생성합니다. 이 페이지는 허브입니다. 작동하는 구성 요소를 설명하고 각각에 대한 집중 페이지로 연결합니다.

1. 게이트웨이에서 AI 컴플라이언스가 의미하는 것

컴플라이언스 은 컨트롤로 표현된 프레임워크입니다. 팩을 설치하면 워크스페이스에 실제로 편집 가능한 두 개의 객체가 구체화됩니다:
  • 하나의 Guardrail — 프레임워크가 요청과 응답에 기대하는 콘텐츠 평면 컨트롤(PII, 시크릿, 안전하지 않은 출력);
  • 하나의 Firewall 정책과 그 규칙 — 액션 평면 컨트롤(어떤 툴 호출, MCP 디스패치, egress 목적지가 허용되는지).
객체가 실제이기 때문에, 팩은 체크박스가 아닙니다 — 그것은 워크스페이스의 나머지가 사용하는 것과 동일한 guardrail 및 firewall 기계 장치이며, 보고서가 그 상태를 읽을 수 있도록 프레임워크에 태그됩니다.
카탈로그, 설치된 팩, 준비 상태 탐색은 모든 워크스페이스 Member에게 열려 있으며 무료입니다. 팩을 설치하고 라이브로 전환하는 것은 워크스페이스 Admin유료 플랜을 요구합니다. 보고서 생성도 Admin입니다 — 무료 플랜은 PDF 보고서 1건을 포함합니다; CSV/JSON 내보내기와 추가 보고서는 유료 플랜이 필요합니다. 레지던시 설정은 Admin 권한이 필요합니다. 플랜 게이팅을 참조하세요.

2. 강제하기 전에 관찰하세요

갓 설치된 팩은 관찰 모드로 도착합니다: guardrail 액션은 flag(차단하지 않고 주석)로 강제되고 firewall 정책은 shadow에서 실행됩니다(거부 대신 [shadow] would …를 로깅). 컨트롤이 무엇을 잡았을지 배우는 동안 에이전트가 하는 어떤 것도 중단되지 않습니다. 매치 및 이벤트 피드가 깨끗해 보이면, 라이브로 전환합니다 — 동일한 객체가 실제 강제로 전환됩니다. 이 관찰-후-강제 호는 컴플라이언스 롤아웃에서 가장 중요한 단 하나의 습관이며, 자체 페이지를 가집니다.

관찰 vs 강제

전체 롤아웃 호 — 관찰 모드가 무엇을 로깅하는지, 라이브 전환이 그것을 어떻게 뒤집는지, 그리고 커밋하기 전에 신호를 읽는 방법.

팩에 담긴 것

팩이 구체화하는 정확한 guardrail 및 firewall 객체, 그리고 그것들이 프레임워크의 컨트롤에 어떻게 매핑되는지.

3. 프레임워크 선택

카탈로그는 일반 보안 및 AI 거버넌스 프레임워크(soc2, iso_27001, iso_42001, nist_ai_rmf, eu_ai_act, owasp_llm), 섹터 체제(hipaa, pci_dss, glba, nist_800_53), 그리고 광범위한 지역 프라이버시 법규(gdpr, uk_gdpr, ccpa 등)를 다룹니다. 하드코딩하지 말고 라이브 목록을 탐색하세요.

SOC 2

HIPAA

GDPR

EU AI Act

ISO 27001

ISO 42001

NIST AI RMF

OWASP LLM Top 10

PCI DSS

CCPA

모든 프레임워크

컨트롤 매트릭스

4. 팩 설치 (하나의 구체적 흐름)

설치는 콘솔의 Compliance → Catalog에서 워크스페이스 Admin으로 실행됩니다. 액션은 서버에서 유료 플랜으로 게이트됩니다; 그것은 guardrail과 firewall 객체를 관찰 모드로 구체화합니다. 콘솔이 이 관리 라우트를 대신 구동합니다(릴레이 키가 아니라 당신의 세션을 사용): 
POST /api/compliance/packs/soc2/install
Authorization: Bearer <your console session>
설치 후 Readiness를 열어 어떤 컨트롤이 충족되었는지 확인하고, 일주일 동안 피드를 지켜본 다음, 라이브로 전환하세요. 팩 설치 페이지가 전체 시퀀스를 안내합니다; 증거 내보내기는 반대편에서 무엇이 나오는지 다룹니다.
읽기는 Member에게 열려 있으므로 보안 및 감사 검토자가 쓰기 접근 없이 준비 상태를 지켜볼 수 있습니다. 롤아웃을 소유한 Admin만 설치 및 라이브 전환 기능이 필요합니다.

5. 서명되고 검증 가능한 보고서

컴플라이언스 보고서는 감사인이 당신을 신뢰하지 않고도 신뢰할 수 있는 증거입니다. 모든 보고서는 SHA-256 콘텐츠 해시와 그 해시에 대한 Ed25519 서명을 담고 있으며, CSV, JSON, 또는 PDF로 내보낼 수 있습니다. 서명은 공개적으로 검증 가능합니다 — 보고서와 OrcaRouter의 공개 키를 가진 누구나 그것이 변경되지 않았음을 확인할 수 있습니다.
워크스페이스 Admin이 보고서를 생성합니다; 그것은 생성 시점에 해시되고 서명됩니다. 서명된 보고서를 참조하세요.
GET /api/public/compliance/pubkey에서 공개 키를 가져오고 보고서를 POST /api/public/compliance/verify하세요 — 계정 불필요. 보고서 검증을 참조하세요.
감사인이 GET /api/public/compliance/share/:token에서 여는 읽기 전용 링크를 발행하세요 — 하나의 보고서로 범위 지정됨, 로그인 없음. 증거 내보내기를 참조하세요.

6. 증거를 위한 데이터 레지던시

게이트웨이의 레지던시는 서명된 컴플라이언스 보고서가 어디에 저장되고 제공되는지를 관장합니다 — 추론이 실행되는 곳이 아닙니다. 각 보고서는 당신이 선언한 리전으로 스탬프되며, 보고서는 일치하는 선언된 리전 하에서만 제공됩니다; 크로스 리전 읽기는 보류됩니다. 리전은 us, eu, uk, ap, cn, 또는 global 중 하나이며, 워크스페이스 Admin이 설정할 수 있습니다: 
PUT /api/compliance/residency
Authorization: Bearer <your console session>

{ "region": "eu" }
레지던시는 보고서 아티팩트의 속성이며, 모델 트래픽이 지리적으로 고정된다는 보장이 아닙니다. 규정이 추론을 한 리전에 머무르도록 요구한다면, 그것은 증거가 사는 곳과는 별개인 업스트림 라우팅 결정입니다.

데이터 레지던시

증거가 저장되고 제공되는 리전을 설정하고 변경하세요.

크로스 리전 읽기

한 리전으로 스탬프된 보고서가 다른 리전에서 제공되지 않는 이유와, 멀티 리전 프로그램을 처리하는 방법.

7. 보존과 삭제

AI 컴플라이언스에 두 개의 시계가 중요하며, 둘 다 고객이 관측 가능한 기본값을 가집니다:
대상기본값하드 한도
요청 로그 보존30일180일(서버 클램프)
사용자 삭제 유예30일, 그 후 PII 스크럽
삭제권은 내장되어 있습니다: 자기 삭제는 30일 유예 기간을 시작하고, 그 후 PII가 스크럽되며 캐스케이드가 guardrail 매치, 요청 로그, firewall 이벤트를 퍼지합니다. 보존, 삭제권, 그리고 동의 페이지가 DSAR 메커니즘을 다룹니다.

8. 이것이 어디에 맞는가

컴플라이언스는 보안 모델의 나머지가 구성하는 것과 동일한 컨트롤을 읽습니다. 여기에 처음 도착했다면 개념부터 시작하세요:

책임 범위

게이트웨이가 보호하는 것과 당신의 몫으로 남는 것 — 모든 컴플라이언스 주장을 위한 정직한 경계 지도.

강제 모드

관찰, 감사, 강제 — 라이브 전환 뒤의 공유 어휘.

제어 스택

키, guardrail, firewall, 감사를 하나의 그림으로.

용어집

팩, 준비 상태, 레지던시, 증명, 그리고 나머지 용어들.
OrcaRouter의 컴플라이언스 프로그램은 매번 동일한 루프입니다: 팩을 설치하고, 그것이 잡는 것을 관찰하고, 라이브로 전환하고, 감사인에게 그들이 직접 검증할 수 있는 서명된 보고서를 건넵니다.