Przejdź do głównej treści
Nie wybierasz frameworka, by przeczytać marketingową listę kontrolną. Wybierasz go, by udowodnić — audytorowi, klientowi, regulatorowi — że kontrola, o którą prosi, faktycznie działa na ścieżce, z której korzystają twoje agenty. OrcaRouter dostarcza katalog frameworków jako instalowalne pakiety, a każdy framework w tym katalogu mapuje się na tę samą maszynerię guardrail i firewall, na której działa reszta twojej przestrzeni roboczej, plus podpisany raport, który robi migawkę tego, co zostało wychwycone. Ta strona listuje prawdziwy rejestr frameworków i pokazuje, jak każdy z nich zamienia się w dowody. Co do łuku instalacja-i-przejście-na-żywo, zacznij od Przeglądu zgodności.

1. Frameworki zgodności AI w katalogu

Katalog to rejestr na żywo — przeglądaj go pod Compliance → Catalog, zamiast zakodować liczbę na sztywno, ponieważ pakiety są dodawane z czasem. W chwili pisania obejmuje ogólne standardy bezpieczeństwa i zarządzania AI, reżimy sektorowe oraz szeroki zestaw regionalnych przepisów o ochronie prywatności. Konsola grupuje je w pięć zakładek kategorii: ai, privacy, security, financial i healthcare.
eu_ai_act · nist_ai_rmf · iso_42001 · owasp_llm · colorado_ai. OWASP LLM Top 10 dostarczany jest jako prawdziwy instalowalny pakiet (owasp_llm), nie tylko widok mapowania kontroli — zobacz OWASP LLM Top 10.
soc2 · iso_27001 · nist_800_53 · cmmc. Ogólne standardy zaufania i bezpieczeństwa informacji zmapowane na płaszczyzny treści i akcji.
pci_dss · glba · dora_eu. Reżimy płatności, bankowości i odporności operacyjnej — maskowanie PAN, higiena sekretów, kontrole niebezpiecznych narzędzi i dowody egress.
hipaa · hitrust. Redakcja PHI, de-identyfikacja i zabezpieczenia egress bezpieczeństwa transmisji.
gdpr · uk_gdpr · ccpa · china_pipl · appi_jp · pipa_kr · lgpd_br · pipeda_ca · dpdp_in · privacy_au · pdpa_sg · vcdpa_va · cpa_co · ctdpa_ct · ucpa_ut · tdpsa_tx · ferpa · coppa. Każdy niesie kontrole minimalizacji danych, obsługi kategorii specjalnych i rekordów przetwarzania dostrojone do jurysdykcji.
Każdy pakiet niesie datę obowiązywania i miesiąc, w którym jego mapowanie kontroli było ostatnio przeglądane, oba wyświetlone w katalogu i raporcie — więc audytor może zobaczyć, jak aktualne jest mapowanie, nie tylko że istnieje.

2. Co „dowody” oznaczają dla frameworka

Zainstalowanie pakietu materializuje dwa prawdziwe, edytowalne obiekty w twojej przestrzeni roboczej, i to one czyta raport:
  • jeden Guardrail — kontrole płaszczyzny treści (PII, PHI, sekrety, niebezpieczne wyjście), których framework oczekuje na żądaniach i odpowiedziach;
  • jedna lub więcej reguł polityki Firewall — kontrole płaszczyzny akcji (które wywołania narzędzi, dyspozycje MCP i cele egress są dozwolone lub audytowane).
Ponieważ obiekty są prawdziwe, dowody frameworka nie są samo-poświadczeniem — to żywy stan i historia dopasowań kontroli, które twój ruch już przekracza. Raport robi migawkę tego stanu w czasie generowania przez osiem sekcji dowodowych (pokrycie, egzekwowanie, zgoda, dziennik zmian, dostęp admina, luki, podmioty podprzetwarzające i przeglądy dostępu), więc artefakt pozostaje samodzielny nawet po tym, jak logi się zestarzeją.
Sekcja dowodowaCo uchwytuje
PokrycieKtóre kontrole w zakresie są spełnione przez zainstalowany pakiet
EgzekwowanieCzy każda kontrola jest na żywo, czy wciąż w trybie obserwacji
Dziennik zmianWersjonowana historia edycji polityki za kontrolami
Raporty robią też migawkę sekcji zgody, dostępu admina i luk; zobacz Zawartość pakietu co do pełnej mapy kontroli, które kładzie pakiet.
Lista kontrolna frameworka w zakresie to suma kontroli pokrytych przez pakiet i klauzul organizacyjnych (szkolenie pracowników, umowy z podmiotami przetwarzającymi, DPIA, fizyczny dostęp), które nigdy nie mogą być zautomatyzowane przez bramę. Te elementy organizacyjne zawsze renderują się jako ujawniona ⚠ Luka ze wskazówkami — więc kompletność jest uczciwa, nigdy po cichu 100%.

3. Jeden konkretny przepływ: SOC 2

Załóżmy, że potrzebujesz dowodów SOC 2. Jako Admin przestrzeni roboczej na płatnym planie zainstaluj pakiet z konsoli pod Compliance → Catalog. Konsola napędza za ciebie trasę zarządzania, używając twojej sesji (nie klucza relay): 
POST /api/compliance/packs/soc2/install
Authorization: Bearer <your console session>
Pakiet soc2 materializuje guardrail, który maskuje poufne PII i rejestruje decyzje guardrail, plus regułę firewalla, która audytuje każdą dyspozycję narzędzia — zmapowane na TSC CC6.1, CC7.2. Ląduje w trybie obserwacji, więc nic, co robią twoje agenty, nie jest przerywane, podczas gdy obserwujesz strumienie dopasowań i zdarzeń. Gdy strumienie wyglądają czysto, przejdź na żywo i wygeneruj raport: 
POST /api/compliance/packs/soc2/golive
Raport wychodzi podpisany Ed25519 i zahaszowany SHA-256, eksportowalny jako CSV, JSON lub PDF i publicznie weryfikowalny — twój audytor potwierdza go kluczem publicznym OrcaRouter, bez potrzeby konta. Organizacyjne klauzule SOC 2 (zarządzanie zmianami, ocena ryzyka) pojawiają się jako ujawnione luki ze wskazówkami, ponieważ żyją w twoim procesie, nie w bramie.
Przeglądanie katalogu, zainstalowanych pakietów i gotowości jest otwarte dla każdego Członka przestrzeni roboczej i jest darmowe. Tylko Admin, który jest właścicielem wdrożenia, potrzebuje instalacji, przejścia na żywo i rezydencji — więc twoi recenzenci audytu mogą obserwować gotowość bez dostępu do zapisu.

4. Czytanie rejestru programowo

Odczyty katalogu i gotowości są otwarte dla Członków, więc recenzent lub zadanie CI może pobrać aktualną listę frameworków i status per-kontrola bez dostępu do zapisu. Konsola używa twojej sesji dla tych tras zarządzania: 
GET /api/compliance/catalog      # the live framework registry
GET /api/compliance/readiness    # per-control satisfied / gap status
Nie zakodowuj na sztywno liczby ani listy frameworków do swojego własnego narzędzia. Katalog to źródło prawdy i rośnie z czasem. Czytaj /api/compliance/catalog i odwołuj się do key frameworka (soc2, hipaa, eu_ai_act, …), zamiast do ciągu nazwy.

5. Od frameworka do kontroli pod spodem

Framework to widok kontroli, które możesz też konfigurować bezpośrednio. Jeśli chcesz zrozumieć lub stroić to, co kładzie pakiet — albo zbudować to samo pokrycie ręcznie — głębokie referencje to:

Guardrails

Referencja płaszczyzny treści — encje PII i PHI, sekrety, niebezpieczne wyjście oraz akcje block / mask / flag, których używa pakiet.

Agent Firewall

Referencja płaszczyzny akcji — reguły narzędzi, MCP i egress oraz werdykty audit / deny / sanitize za polityką firewalla pakietu.

Co zawiera pakiet

Dokładne obiekty guardrail i firewall, które materializuje każdy framework.

Macierz kontroli

Każda kontrola zmapowana w poprzek frameworków w jednej siatce.

6. Strony per-framework

Frameworki z własną dedykowaną stroną:

SOC 2

HIPAA

GDPR

EU AI Act

ISO 27001

ISO 42001

NIST AI RMF

OWASP LLM Top 10

PCI DSS

CCPA

7. Gdzie to pasuje

Obserwacja vs egzekwowanie

Wyląduj każdy pakiet najpierw w trybie obserwacji; odczytaj sygnał przed przejściem na żywo.

Podpisany raport

Jak raport jest haszowany i podpisywany oraz co weryfikuje audytor.

Współdzielona odpowiedzialność

Co zabezpiecza brama, a co pozostaje twoje — uczciwa granica za każdym twierdzeniem o frameworku.

Tryby egzekwowania

Obserwacja, audyt i egzekwowanie — wspólne słownictwo stojące za przejściem na żywo.
Katalog rośnie, ale kształt nigdy się nie zmienia: wybierz framework, zainstaluj jego pakiet, obserwuj, co wychwytuje, przejdź na żywo i wręcz audytorowi podpisany raport zmapowany klauzula-po-klauzuli na kontrole, które twój ruch faktycznie przekroczył.