메인 콘텐츠로 건너뛰기
고객 데이터 앞에 AI 에이전트를 두고 있고 감사인이 실제로 어떤 Trust Services 조항을 증거로 제시할 수 있는지 알고 싶어 합니다. 호스팅된 게이트웨이에서 정직한 답은: 요청 경로에서 실행되는 컨트롤에 매핑되는 조항 — 논리적 접근, 모니터링, 툴 호출 감사 — 더하기 프록시가 결코 강제할 수 없어 갭으로 공개해야 하는 조직적 조항. 이 페이지는 SOC 2 AI 워크스루입니다: SOC 2 팩이 어떤 TSC 조항을 커버하는지, 기밀성을 위해 구체화하는 하나의 컨트롤, 그리고 그 결과 증거가 어떻게 서명되는지. 설치 흐름과 보고서 형식 심층은 끝의 링크를 따라가세요 — 이 페이지는 전체 Compliance 레퍼런스가 아니라 SOC 2 특화 지도입니다.

1. SOC 2 AI 팩이 커버하는 것

SOC 2 팩은 AICPA Trust Services Criteria를 모든 게이트웨이 가로지르는 요청에서 실행되는 컨트롤에 매핑합니다. 세 조항이 라이브 강제에 매핑됩니다; 두 개는 조직적이며 주장되는 대신 갭으로 공개됩니다.
TSC 조항평면컨트롤
CC6.1 논리적 접근 컨트롤guardrail프롬프트에서 기밀 PII 차단
CC7.2 시스템 모니터링guardrail모든 guardrail 결정을 증거로 기록
CC7.2 이상 탐지firewall모든 툴 디스패치 감사
CC8.1 변경 관리와 CC3.1 위험 평가는 사람-과-프로세스 조항입니다. 프록시는 그것들을 강제할 수 없으므로, 팩은 그것들을 콘솔과 보고서 양쪽에서 공개된 (또는 소유자 증명 행)으로 표면화합니다 — 결코 자동화된 커버리지로가 아닙니다. 정직한 갭이 나머지 증거를 신뢰할 수 있게 만드는 것입니다. 컨트롤 매트릭스를 참조하세요.
두 강제 평면은 당신이 손으로 구성하는 동일한 GuardrailsFirewall 기계 장치입니다. 팩은 어떤 기존 컨트롤이 어떤 조항을 충족하는지 말하는 작성된 매핑입니다 — 그것은 새로운 런타임 엔진을 출하하지 않습니다. 전체 해부는 팩 내용을 참조하세요.

2. 팩 설치 — 하나의 구체적 예시

설치는 매핑을 워크스페이스의 하나의 guardrail 정책과 하나의 firewall 정책으로 구체화하며, 각각 팩의 출처로 태그됩니다. 릴레이 키가 아니라 콘솔에서 이것을 합니다: Compliance → Catalog → SOC 2 → Install 그것은 유료 플랜의 워크스페이스-Admin 액션이며, 서버가 둘 다 강제합니다. 내부적으로 당신의 콘솔 세션이 호출합니다: 
POST /api/compliance/packs/soc2/install
구성 라우트에 릴레이 sk-orca-… 키를 결코 건네지 마세요. /api/compliance/* 라우트는 릴레이 키가 아니라 당신의 콘솔 세션으로 인증합니다 — /v1/* 모델 호출만 sk-orca-…를 사용합니다. 카탈로그, 설치된 팩, 준비 상태 탐색은 무료이며 모든 워크스페이스 멤버에게 열려 있습니다; 설치, 라이브 전환, 보고서, 레지던시는 게이트된 Admin 액션입니다.
설치 후, CC6.1 행은 산문이기를 멈춥니다. 기밀성 컨트롤은 실제 pii guardrail 규칙 — 액션 block, 스테이지 input — 이 되며, 다른 어떤 규칙처럼 열고, 읽고, 튜닝할 수 있습니다. CC7.2 모니터링 컨트롤은 각 guardrail 결정을 증거로 기록하고, firewall 컨트롤은 모든 툴 디스패치를 audit 판정으로 설정합니다.
이 컨트롤은 요청에 작용합니다: 기밀 PII는 모델이 보기 전에 입력 단계에서 차단됩니다. 라이브 출력 / 스트리밍 PII 처리는 로드맵에 있으므로, 출력 측에서는 모니터링 증거가 감사인이 보고 기간 동안 CC7.2를 위해 읽는 것입니다.

3. 먼저 관찰하고, 그다음 라이브 전환

SOC 2 설치는 첫날에 트래픽을 차단하기 시작하지 않습니다. 설치는 관찰 모드로 도착합니다: guardrail 액션이 flag로 강제되고 firewall 정책이 shadow(로깅 전용)에서 실행됩니다. 어떤 것이 강제하기 전에 실제 트래픽에 대해 “차단되었을” 증거를 얻습니다. 증거가 맞아 보이면, 워크스페이스 Admin이 팩을 라이브 전환으로 프로모트하며, 이는 선언된 액션을 복원합니다 — CC6.1 컨트롤이 차단을 시작하고, firewall 컨트롤이 감사를 계속함 — 그리고 선택적으로 구체화된 정책을 워크스페이스 기본값으로 프로모트합니다. 이는 관찰 vs 강제에 설명된 동일한 규율입니다.

4. 감사인이 검증할 수 있는 서명된 증거

팩의 요점은 보고서입니다. SOC 2 증거는 SHA256 콘텐츠 해시를 가진 Ed25519 서명 보고서로 생성되며, CSV, JSON, 또는 PDF로 내보낼 수 있고 공개적으로 검증 가능합니다 — 감사인이 OrcaRouter 로그인 없이 서명을 확인합니다.
각 TSC 행은 그 상태 — covered, observe, gap, 또는 attested — 와 컨트롤이 기간 동안 실제로 몇 번 발동했는지를 담습니다. 4,000건의 요청을 차단한 CC6.1 컨트롤은 매치가 0인 것과 감사인에게 다르게 읽히며, 보고서는 둘 다 보여줍니다.
모든 구체화된 컨트롤은 그 control_id(예: soc2.confidentiality), 축어적 조항(TSC CC6.1 Logical access controls), 평면, 그리고 그것을 강제하는 라이브 정책 객체의 id를 기록합니다 — 그래서 감사인이 조항 → 컨트롤 → 강제하는 정책 → 매치를 걷습니다, 추론된 단계 없이.
GET /api/public/compliance/pubkey에서 서명 공개 키를 가져오고, 보고서를 POST /api/public/compliance/verify에 제출하거나, 범위 지정된 감사인 공유 링크를 GET /api/public/compliance/share/:token에서 여세요. 계정 불필요.
전체 표지-에서-푸터 레이아웃은 서명된 보고서를, 검증 워크스루는 보고서 검증을 참조하세요.

5. SOC 2 증거를 리전 스탬프

SOC 2 보고서는 당신의 선언된 레지던시 리전 — us / eu / uk / ap / cn / global — 하에서 저장되고 제공되며, 보고서는 일치하는 리전 하에서만 제공됩니다; 크로스 리전 읽기는 보류됩니다. 워크스페이스 Admin이 PUT /api/compliance/residency로 설정합니다.
여기의 레지던시는 증거 아티팩트 리전입니다 — 서명된 보고서가 살고 제공되는 곳. 그것은 추론 데이터 지리적 고정이 아닙니다. 데이터 레지던시크로스 리전에서 경계를 참조하세요.
요청 로그는 기본 30일 보존(180일 하드 최댓값으로 서버 클램프)으로 설정되며, 사용자 삭제는 30일 유예 기간 그다음 PII 스크럽을 실행합니다 — 감사인이 당신의 보존 자세에 대해 물을 때 둘 다 관련됩니다. 보존삭제권을 참조하세요.

6. 다음으로 갈 곳

팩 내용

팩의 전체 해부 — 두 평면, 상태, 그리고 출처.

팩 설치

처음부터 끝까지 설치 흐름, 관찰 모드, 그리고 라이브 전환.

서명된 보고서

Ed25519 서명 증거 보고서가 무엇을 담는지.

컨트롤 매트릭스

모든 조항, 그것의 평면, 그리고 그것이 covered, observed, 또는 gap인지.

프레임워크

전체 카탈로그 — HIPAA, GDPR, EU AI Act, ISO 27001, 그리고 더 많이.

Guardrails vs Firewall

SOC 2 팩이 쓰는 두 평면, 하나의 리졸버가 실행함.
호스팅된 게이트웨이에서의 SOC 2는 정확함의 규율입니다: 프록시가 강제할 수 있는 조항을 라이브 컨트롤에 매핑하고, 할 수 없는 것은 공개하며, 둘 사이의 선이 감사를 견디도록 증거를 서명합니다.