모든
/api/compliance/* 라우트는 sk-orca-… 릴레이 키가 아니라 여러분의
콘솔 세션 / 액세스 토큰(대시보드에 사용하는 것과 동일한 로그인)으로
인증합니다. 모든 것을 콘솔에서 구성하세요; 아래 REST 표면은 CI에서 증거
수집을 자동화하기 위한 것입니다.1. compliance api 레퍼런스가 다루는 것
두 라우트 그룹, 두 청중:| Group | 인증 | 청중 |
|---|---|---|
/api/compliance/* | 콘솔 세션 | 여러분 + 여러분의 감사자(워크스페이스 내) |
/api/public/compliance/* | 없음(토큰 / 서명) | 리포트를 검증하는 누구나 |
2. 카탈로그 탐색 및 준비도 확인
읽기 전용으로 시작하세요. 이 세 엔드포인트는 특별한 역할이 필요 없고 비용이 들지 않습니다:GET /api/compliance/catalog — 목표로 삼을 수 있는 모든 프레임워크
GET /api/compliance/catalog — 목표로 삼을 수 있는 모든 프레임워크
프레임워크 레지스트리를 반환합니다. OrcaRouter는 주요 보안, 프라이버시,
AI 거버넌스 체제를 위한 팩을 제공합니다 —
soc2, hipaa, gdpr,
uk_gdpr, eu_ai_act, iso_27001, iso_42001, nist_ai_rmf,
nist_800_53, pci_dss, glba, ccpa, 그리고 지역 프라이버시 법의
긴 꼬리(PIPL, APPI, PIPA, LGPD, PIPEDA, DPDP, 그리고 미국 주 법령) 포함.
OWASP Top 10 for LLM Applications(owasp_llm)도 first-class 팩으로
제공됩니다 — 다른 모든 프레임워크와 마찬가지로 실제 guardrail 및 firewall
컨트롤(프롬프트 인젝션, 안전하지 않은 출력, 민감 정보 공개, 과도한
에이전시)을 구체화합니다.GET /api/compliance/packs — 여러분이 설치한 것
GET /api/compliance/packs — 여러분이 설치한 것
이 워크스페이스에 이미 구체화된 팩을 나열합니다, 각각 그 수명 주기 모드
(
observe 또는 enforce)와 그것이 생성한 guardrail + firewall 정책과
함께.GET /api/compliance/readiness — 여러분의 갭 리포트
GET /api/compliance/readiness — 여러분의 갭 리포트
각 프레임워크의 체크리스트에 대해 현재 자세를 채점합니다: 어떤 컨트롤을
여러분의 라이브 guardrail과 firewall 규칙이 이미 충족하고, 어떤 것이
여전히 여러분 스스로 닫아야 할 조직적 갭인지. 무언가를 설치하기 전에
이것을 읽으세요.
3. 팩 설치
팩 설치는 가치의 순간입니다: 워크스페이스에 실제Guardrail(텍스트/데이터
평면)과 WorkspaceFirewallPolicy 플러스 규칙(툴 호출 평면)을 프레임워크에
태그하여 씁니다. 둘 다 이후 완전히 편집 가능합니다 — 팩은 잠긴 템플릿이
아니라 시작점입니다.
flag로
강제되고, firewall은 shadow/log-only — 그래서 무언가가 라이브 트래픽을
차단하기 전에 커버리지를 관찰할 수 있습니다. 준비되면 프로모트하세요:
POST …/packs/:key/controls,
카탈로그 변경 후 재동기화하는 POST …/packs/:key/update, 그리고
제거하는 DELETE …/packs/:key.
4. 서명된 증거 리포트 생성
리포트는 여러분이 감사자에게 건네는 산출물입니다. 각각은 여러분의 라이브 자세에서 렌더링되고, SHA-256으로 콘텐츠 해싱되며, Ed25519로 서명되어 사후에 조용히 편집될 수 없습니다.pdf, json, 그리고 csv입니다.
GET …/reports와 GET …/reports/:id로 리포트를 나열하고 가져오세요;
GET …/reports/:id/download(Admin)로 렌더링된 파일을 다운로드하세요.
5. 감사자가 검증하게 하기 — 계정 불필요
세 개의 공개 엔드포인트가 파일을 가진 누구나 리포트를 독립적으로 확인할 수 있게 합니다:공개 키 가져오기
GET /api/public/compliance/pubkey는 여러분의 리포트가 서명된 Ed25519
공개 키를 반환합니다.서명 검증
POST /api/public/compliance/verify는 리포트의 서명과 콘텐츠 해시를
확인하고 그것이 변조되었는지를 호출자에게 알립니다.감사자와 공유
POST …/reports/:id/share(Admin)에서 읽기 전용 링크를 발급하세요;
감사자는 GET /api/public/compliance/share/:token을 엽니다 — 로그인
없음.6. 데이터 거주지
여기서 거주지란 여러분의 컴플라이언스 증거가 스탬프되고 저장되는 지역 입니다 —us, eu, uk, ap, cn, 또는 global. 이는 리포트가 어디에
존재하고 어느 지역에서 제공될 수 있는지를 통제합니다; 매치되지 않는 지역에서
읽으면 리포트가 보류됩니다. (이는 증거 산출물 통제이지, 여러분의 추론
트래픽의 지오 핀이 아닙니다.)
GET …/residency(임의의 멤버)로 읽으세요; 그것을 변경하는 것은
Admin입니다.
7. 보존, 삭제, 그리고 감사
컴플라이언스 평면은 게이트웨이 전반에 적용되는 동일한 데이터 수명 주기 보장으로 뒷받침됩니다:요청 로그 보존
요청 로그 보존
요청 로그는 기본 30일과 최대 180일 동안 유지됩니다 — 게이트웨이가
더 긴 것은 클램프합니다. 보존은 여러분의 준비도 점수에 직접 반영됩니다.
삭제권
삭제권
계정 삭제 요청은 30일 유예 기간(기본값)을 엽니다, 그 후 계정의 PII가
되돌릴 수 없이 제거됩니다: 캐스케이드는 유지된 요청 로그의 식별자를
편집하고 사용자 범위 guardrail match, firewall 이벤트, 그리고 에이전트
트레이스 레코드를 퍼지합니다.
감사 추적
감사 추적
컴플라이언스 리포트의 변경 로그 섹션은 리포트 기간으로 범위 지정된
워크스페이스 감사 로그에서 가져옵니다. 멤버 및 관리자 이메일은 생성
시점에 전체 PII가 명시적으로 요청되지 않는 한 내보낸 리포트에서 기본
마스킹됩니다(예:
j•••@acme.com).
감사 액션 카탈로그 참조.다음 단계
Guardrail API
컴플라이언스 팩이 구체화하는 텍스트/데이터 평면 정책.
Firewall API
팩이 그 옆에 쓰는 툴 호출 정책 평면.
제어 스택
guardrail, firewall, 그리고 compliance가 어떻게 하나의 자세로 조합되는지.
오류 코드
페이월과 역할 게이트를 포함해 게이트웨이가 반환할 수 있는 모든 상태.