메인 콘텐츠로 건너뛰기
감사인이 “이 컨트롤이 실제로 강제되었음을 증명하라”고 요청할 때, 콘솔 스크린샷은 검토를 견디지 못합니다 — 서명되지 않았고, 당신의 것이며, 편집 가능합니다. OrcaRouter는 서명된 컴플라이언스 보고서를 생성합니다: 라이브 게이트웨이 컨트롤에서 스냅샷한 자기 완결적 증거 팩으로, SHA256으로 해시되고 Ed25519로 서명되어 보고서를 가진 누구나 그것이 OrcaRouter에 의해 생성되었고 그 이후 변경되지 않았음을 검증할 수 있습니다. 이 페이지는 유스케이스를 처음부터 끝까지 안내합니다 — 보고서를 생성하고, 넘기고, 감사인이 독립적으로 검증하게 합니다. 프레임워크 카탈로그와 각 팩이 무엇에 매핑되는지에 대해서는 프레임워크팩 내용을 참조하세요.

1. 서명된 AI 컴플라이언스 보고서가 담는 것

보고서는 당신이 선택한 시간 윈도우에 대해 프레임워크별로 생성되며, 생성 시점에 여덟 개의 증거 섹션을 스냅샷하므로 보존 정책 하에서 기저 로그가 만료된 후에도 아티팩트가 유효하게 유지됩니다.
정규 증거 JSON은 SHA256(소문자 hex)으로 해시됩니다. 그 콘텐츠 해시가 Ed25519로 서명되고, 서명과 짧은 키 id(예: orca-…)가 아티팩트에 임베드됩니다. 증거의 한 바이트를 바꾸면 해시가 더 이상 일치하지 않습니다; 해시를 위조하면 서명이 더 이상 OrcaRouter의 공개 키에 대해 검증되지 않습니다.
  • PDF — 사람이 읽을 수 있는 감사인 인수인계, 서명과 키 id가 그 위에 인쇄됨.
  • JSON — 기계가 읽을 수 있는 증거 내보내기. (서명은 원시 파일 바이트가 아니라 증거의 정규 형식에 대해 계산되므로, 아티팩트를 직접 다시 해시하지 말고 공개 verify 엔드포인트를 통해 검증하세요 — 보고서 검증을 참조하세요.)
  • CSV — 스프레드시트와 GRC 도구를 위한 플랫 표 형식 내보내기.
기본적으로 멤버와 행위자 이메일은 모든 내보내기에서 마스킹됩니다. 감사인이 필요로 할 때 보고서별로 명시적으로 비편집 PII를 선택하세요.
보고서는 리전 스탬프됩니다. 각 아티팩트는 워크스페이스의 선언된 데이터 레지던시 리전 (us / eu / uk / ap / cn / global) 하에서 저장되고 제공됩니다; 한 리전을 위해 생성된 보고서는 다른 리전에서 제공되지 않습니다. 당신의 의무에 중요하다면 생성 전에 레지던시를 설정하세요.

2. 누가 생성할 수 있는가

프레임워크 카탈로그, 설치된 팩, 준비 상태 탐색은 모든 워크스페이스 멤버에게 열려 있으며 무료입니다. 보고서를 생성하는 것은 워크스페이스 Admin을 요구하며, 내보내기는 플랜 게이트됩니다:
  • 무료 플랜은 PDF 1건 보고서를 포함하므로, 아티팩트를 데모할 수 있습니다.
  • CSV / JSON 내보내기와 추가 보고서는 유료 플랜을 요구합니다.
두 규칙 모두 서버 측에서 강제됩니다 — 클라이언트 전용 우회가 없습니다.
콘솔에서 생성하세요: Compliance → Reports를 열고, 프레임워크와 시간 윈도우를 선택하고, 형식을 고른 다음, 생성을 클릭하세요. 생성은 비동기입니다 — 보고서 행이 pending으로 나타나고, generating으로 걸어가, ready(또는 failed, 부분 아티팩트 없음)에 도착합니다. 이 모든 것은 당신의 콘솔 세션 하에서 /api/compliance/* 라우트에 대해 실행됩니다 — 릴레이(sk-orca-…) 키는 관여하지 않습니다.

3. 하나의 구체적 워크스루

SOC 2 감사인이 Q1에 대한 강제 증거를 원합니다. 워크플로:
1

프레임워크 설치 (한 번)

유료 플랜의 Admin으로, Compliance → Frameworks에서 SOC 2 팩을 설치하세요. 설치는 프레임워크의 컨트롤에 매핑되는 guardrail과 firewall 정책을 구체화합니다. 팩 설치를 참조하세요.
2

보고서 생성

Compliance → Reports에서 soc2를 선택하고, 기간을 Q1 윈도우로 설정하고, PDF를 고른 다음, 생성하세요. 행이 ready에 도달할 때까지 기다린 다음 다운로드하세요.
3

감사인에게 건네기

그들에게 PDF를 보내세요(또는 그들이 직접 가져갈 수 있도록 읽기 전용 감사인 공유 링크를 발행하세요). 서명과 키 id가 보고서에 인쇄되어 있습니다.
4

그들이 독립적으로 검증

감사인은 당신의 콘솔을 신뢰할 필요가 전혀 없습니다. 그들은 증거를 다시 해시하고, OrcaRouter의 공개 키를 가져오고, 서명을 확인합니다 — 모두 공개, 비인증 엔드포인트에 대해(다음 섹션).

4. 감사인이 그것을 검증하는 방법

검증은 계정도 릴레이 키도 필요하지 않습니다 — api.orcarouter.ai의 두 공개 엔드포인트에 대해 실행됩니다. 먼저, 활성 공개 키를 가져옵니다: 
curl https://api.orcarouter.ai/api/public/compliance/pubkey
# => { "algo": "ed25519", "key_id": "orca-…", "public_key": "<base64>" }
그런 다음, 보고서의 콘텐츠 해시, 서명, 키 id를 제출합니다: 
curl -X POST https://api.orcarouter.ai/api/public/compliance/verify \
  -H "Content-Type: application/json" \
  -d '{
    "content_hash": "<sha256-hex from the report>",
    "signature":    "<base64 Ed25519 signature>",
    "sig_key_id":   "orca-…"
  }'
# => { "valid": true, "key_id": "orca-…" }
valid: true는 증거 해시가 OrcaRouter에 의해 서명되었고 그 이후 변경되지 않았음을 의미합니다. 우리 엔드포인트를 전혀 호출하고 싶지 않은 감사인은 게시된 Ed25519 공개 키를 가져와 어떤 표준 암호 라이브러리로든 해시에 대한 서명을 검증할 수 있습니다 — 보고서는 오프라인으로 검증 가능합니다.
PDF를 첨부 파일로 보내고 싶지 않나요? 대신 읽기 전용 감사인 공유 링크를 발행하세요 — 보고서(그리고 그 서명)를 로그인 없이 직접 제공하는 토큰화된 URL입니다. 증거 내보내기를 참조하세요.

5. 이것이 어디에 맞는가

서명된 보고서는 컴플라이언스 흐름 끝의 아티팩트입니다. 그 주변의 조각들:

프레임워크

전체 카탈로그 — SOC 2, HIPAA, GDPR, EU AI Act, ISO 27001/42001, NIST AI RMF, PCI DSS, OWASP LLM Top 10, 그리고 지역 세트.

팩 설치

보고하기 전에 프레임워크의 guardrail과 firewall 정책을 구체화하세요.

데이터 레지던시

서명된 보고서가 저장되고 제공되는 리전을 스탬프하고 고정하세요.

보고서 검증

검증 흐름 심층 — 공개 키, 해시, 오프라인 검사.
보고서 안의 증거는 당신이 구성한 컨트롤에서 나옵니다. 보고되는 것을 강화하려면, GuardrailsFirewall을 튜닝하고, 게이트웨이가 무엇을 증명할 수 있고 없는지의 경계를 책임 범위에서 검토하세요.