메인 콘텐츠로 건너뛰기
감사인이 여러분의 AI 게이트웨이가 Trust Services Criterion을 어떻게 강제하는지 물을 때, 대시보드 스크린샷으로는 부족합니다. 이 레시피는 여러분이 이미 OrcaRouter에서 실행하는 컨트롤을 감사인이 독립적으로 검증할 수 있는 SOC 2 증거로 전환합니다: SOC 2 팩을 설치하고, observe 모드에서 지켜보고, enforce로 뒤집은 다음, 암호학적으로 서명된 준비도 리포트를 내보내고 읽기 전용 링크를 공유하세요. 아래의 모든 것은 콘솔의 워크스페이스 구성입니다 — 여러분의 앱은 /v1/chat/completions를 변경 없이 계속 호출합니다.
카탈로그 탐색과 준비도 읽기는 모든 Member에게 개방되고 무료입니다. 팩 설치, 리포트 생성, go-live, 그리고 거주지 설정은 워크스페이스 Admin 작업이며 유료 플랜을 요구합니다 — 게이트웨이가 양쪽 다 서버 측에서 강제합니다. /api/compliance/* 아래의 컴플라이언스 관리 라우트는 릴레이 키가 아니라 여러분의 콘솔 세션을 사용합니다.

1. 네 가지 움직임의 SOC 2 증거 워크플로

OrcaRouter에서의 SOC 2 증거 추적은 한 번 실행하는 네 단계이며, 그런 다음 감사인이 새 스냅샷을 원할 때마다 리포트를 재실행합니다:

팩 설치

soc2 팩은 Trust Services Criteria에 매핑된 guardrail과 firewall 정책을 구체화합니다 — 먼저 observe 모드로 설치됨.

관찰한 다음, 강제

Observe는 폭발 반경 0으로 “차단되었을” 증거를 수집합니다; go-live는 동일한 컨트롤을 강제로 뒤집습니다.

서명된 리포트 생성

Ed25519 서명되고 SHA-256 해시된 준비도 리포트를 PDF, JSON, 또는 CSV로 내보내세요.

감사인과 공유

읽기 전용 공유 링크를 건네세요; 감사인은 OrcaRouter의 공개 키에 대해 서명을 검증합니다 — 계정 필요 없음.
이 페이지의 나머지는 하나의 구체적인 SOC 2 예제로 네 가지를 모두 안내합니다.

2. SOC 2 팩 설치하기

콘솔에서 Compliance를 열고 카탈로그(GET /api/compliance/catalog, Member)를 탐색하세요. soc2 팩은 AICPA SOC 2 Trust Services Criteria에 매핑됩니다. 그것의 게이트웨이 강제 컨트롤은 기밀 데이터 처리(TSC CC6.1), 시스템 모니터링(TSC CC7.2), 그리고 툴 호출 감사 추적(TSC CC7.2)입니다. 그것을 설치하세요(워크스페이스 Admin, 유료 플랜): 
POST /api/compliance/packs/soc2/install
설치는 하나의 원자적 트랜잭션에서 두 개의 강제 객체를 구체화합니다:
  • 하나의 워크스페이스 guardrail — 콘텐츠 정책 평면(PII, 시크릿, 그리고 요청/응답 텍스트를 스크리닝하는 나머지 기준), 그리고
  • 하나의 워크스페이스 firewall 정책 — 액션 평면(접근 및 변경 관리 기준에 매핑되는 툴 호출, MCP 디스패치, 그리고 egress).
팩은 기본적으로 observe 모드로 도착합니다. observe에서, guardrail 액션은 flag로 강제되고 firewall 정책은 shadow로 실행됩니다 — 모든 컨트롤이 단 하나의 라이브 요청도 건드리지 않고 무엇을 했을지를 기록합니다. 그것이 여러분의 첫 증거 배치입니다.
일부 Trust Services 조항은 조직적입니다 — 인력 교육, 벤더 계약 — 그리고 게이트웨이는 그것들을 강제할 수 없습니다. 리포트는 생산할 수 없는 커버리지를 주장하기보다 그것들을 정직하게 갭으로 공개합니다. observe, shadow, enforce가 어떻게 다른지는 강제 모드를 참조하세요.

3. 라이브 준비도 읽기

팩이 설치되면, Compliance → Readiness(GET /api/compliance/readiness, Member)는 프레임워크별 여러분의 자세를 보여줍니다: 얼마나 많은 컨트롤이 enforcing인지, 얼마나 많이 여전히 observe인지, 그리고 얼마나 많이 gaps로 남아 있는지. 각 조항은 그것을 충족하는 guardrail 또는 firewall 컨트롤에 매핑되며, 파고들 수 있는 커버리지 상태가 있습니다.
강제하기 전에 observe로 일주일 실행하세요. 준비도 뷰에 더해 guardrail Matches 피드와 firewall Events 피드무엇이 차단되었을지를 정확히 알려줍니다 — 그래서 어떤 실제 요청이 통제되기 전에 거짓 양성을 튜닝합니다.

4. observe에서 enforce로 뒤집기

차단되었을 증거가 깨끗해 보이면, 팩을 라이브로 가져가세요(Admin): 
POST /api/compliance/packs/soc2/golive
Go-live는 guardrail의 선언된 액션을 복원하고(flag가 설계대로 block/mask가 됨) firewall 정책을 shadow 모드에서 빼내므로, 동일한 컨트롤이 이제 릴레이 경로에서 강제됩니다. 선택적으로 동일한 호출에서 팩의 guardrail을 워크스페이스 기본값으로 격상하여, 모든 키가 그것을 상속하게 하세요.
Enforce는 실제 자세 변경입니다: 차단된 프롬프트는 이제 HTTP 400 guardrail_blocked를 반환하고 거부된 툴 호출은 HTTP 400 firewall_blocked를 반환합니다. block은 쿼터를 소모하지 않습니다 — 입력 block은 미터링 전이고 출력 block은 환불됩니다 — 하지만 컨트롤을 위반하는 트래픽을 멈출 것입니다. 그것이 핵심입니다; 그저 먼저 observe 증거를 확인하세요.

5. 서명된 리포트 생성하기

이것이 감사인에게 건네는 아티팩트입니다. 그것을 생성하세요(Admin): 
POST /api/compliance/reports
{
  "framework": "soc2",
  "format": "pdf"
}
formatpdf, json, 또는 csv 중 하나입니다. 모든 리포트는 정규 증거 해시에 대해 Ed25519로 서명되고 SHA-256 콘텐츠 해시를 운반하므로, 변조 증거이면서 독립적으로 검증 가능합니다 — 감사인은 여러분의 스크린샷을 신뢰할 필요가 없고, 서명을 검증합니다.
각 설치된 프레임워크의 커버리지 매트릭스: 조항 → 컨트롤 → 상태(enforcing / observe / gap), 그리고 observe 동안 캡처된 차단되었을 증거. 조직적 조항은 조용히 떨어뜨려지지 않고 공개된 갭으로 나열됩니다.
서명은 리포트의 증거 해시를 OrcaRouter의 서명 키에 바인딩합니다. 누구든지 — OrcaRouter 계정이 없는 감사인 포함 — 공개 키에 대해 확인하여 리포트가 생성 후 변경되지 않았음을 확인할 수 있습니다.

6. 감사인과 공유하기

리포트에 대한 읽기 전용 공유 링크를 생성하세요(Admin): 
POST /api/compliance/reports/:id/share
감사인은 공개 공유 엔드포인트를 엽니다 — 로그인 없음: 
GET /api/public/compliance/share/:token
그런 다음 OrcaRouter의 게시된 키에 대해 직접 서명을 검증합니다:
Endpoint목적
GET /api/public/compliance/pubkeyEd25519 공개 키 가져오기.
POST /api/public/compliance/verify리포트의 서명 + 해시 확인.
공유 링크는 취소 가능합니다. 감사 계약당 하나를 발급하고, 계약이 종료되면 취소하세요(DELETE /api/compliance/share/:shareId, Admin) — 리포트 자체는 여러분의 워크스페이스 history에 남습니다.

7. 리포트가 사는 곳 고정하기

감사인과 규제 당국은 종종 증거가 어디에 저장되는지에 신경 씁니다. 컴플라이언스 리포트 아티팩트가 고정되는 지역(us, eu, uk, ap, cn, global)을 PUT /api/compliance/residency(Admin)를 통해 설정하세요. 리포트의 교차 지역 읽기는 보류됩니다.
거주지는 리포트 아티팩트 지역만 고정합니다 — 추론 데이터 지리 고정이 아닙니다. 그것은 요청이 라우팅되는 곳이 아니라 여러분의 서명된 증거가 사는 곳을 통제합니다.

8. 감사 전에 검증하기

누군가 검토하기 전에 추적이 실제임을 증명하세요:
1

커버리지 확인

Readiness를 열고 여러분이 예상하는 SOC 2 컨트롤이 observe가 아니라 enforcing으로, 놀라운 갭 없이 표시되는지 확인하세요.
2

서명 왕복

리포트를 생성한 다음, 공개 키에 대해 POST /api/public/compliance/verify하세요 — 공유하기 전에 그것이 검증됨을 확인하세요.
3

로그아웃 상태로 공유 링크 열기

깨끗한 브라우저 세션에서 GET /api/public/compliance/share/:token을 쳐서 감사인이 정확히 무엇을 볼지 보세요.

관련

Guardrails 레퍼런스

SOC 2 팩이 구체화하는 콘텐츠 정책 평면.

Firewall 레퍼런스

팩의 접근 및 변경 컨트롤 뒤의 액션 평면.

강제 모드

observe, shadow, enforce가 어떻게 다른가 — 그리고 왜 observe 먼저인가.

HIPAA 배포

헬스케어 프레임워크를 위한 동일한 팩-그리고-리포트 워크플로.

PII 안전 로깅

여러분의 증거가 가져오는 로그에서 원시 PII를 멀리 두세요.

Go-live 체크리스트

컨트롤을 강제로 뒤집기 전에 제로 트러스트를 켜세요.