Przejdź do głównej treści
Większość pracy nad zgodnością AI to praca z dowodami: udowodnienie, że kontrole, których wymaga framework, faktycznie działają na ścieżce, z której korzystają twoje agenty, oraz wręczenie audytorowi czegoś, co może zweryfikować, nie wierząc ci na słowo. OrcaRouter zamienia framework w działający zestaw kontroli i podpisany raport w kilku krokach — instalujesz pakiet, obserwujesz go w trybie obserwacji, potem włączasz egzekwowanie i generujesz dowody. Ta strona to centrum. Wyjaśnia ruchome części i linkuje do dedykowanej strony dla każdej z nich.

1. Co zgodność AI oznacza w bramie

Pakiet zgodności to framework wyrażony jako kontrole. Instalacja pakietu materializuje dwa prawdziwe, edytowalne obiekty w twojej przestrzeni roboczej:
  • jeden Guardrail — kontrole płaszczyzny treści (PII, sekrety, niebezpieczne wyjście), których framework oczekuje na żądaniach i odpowiedziach;
  • jedną politykę Firewall i jej reguły — kontrole płaszczyzny akcji (które wywołania narzędzi, dyspozycje MCP i cele egress są dozwolone).
Ponieważ obiekty są prawdziwe, pakiet nie jest checkboxem — to ta sama maszyneria guardrail i firewall, której używa reszta twojej przestrzeni roboczej, oznaczona dla frameworka, aby raporty mogły czytać jej stan.
Przeglądanie katalogu, zainstalowanych pakietów i gotowości jest otwarte dla każdego Członka przestrzeni roboczej i jest darmowe. Zainstalowanie pakietu i przejście na żywo wymagają roli Admin przestrzeni roboczej oraz płatnego planu. Generowanie raportu jest również akcją Admina — darmowy plan obejmuje jeden raport PDF; eksporty CSV/JSON i dodatkowe raporty wymagają płatnego planu. Ustawienie rezydencji jest bramkowane rolą Admina. Zobacz Bramkowanie planami.

2. Obserwuj zanim zaczniesz egzekwować

Świeżo zainstalowany pakiet ląduje w trybie obserwacji: akcje guardrail są wymuszane na flag (oznacz, nie blokuj), a polityka firewalla działa w trybie cienia (loguje [shadow] would … zamiast odmawiać). Nic, co robią twoje agenty, nie jest przerywane, podczas gdy uczysz się, co kontrole by wychwyciły. Gdy strumienie dopasowań i zdarzeń wyglądają czysto, przechodzisz na żywo — te same obiekty przełączają się na prawdziwe egzekwowanie. Ten łuk obserwuj-potem-egzekwuj to najważniejszy nawyk we wdrażaniu zgodności i ma własną stronę.

Obserwacja vs egzekwowanie

Pełny łuk wdrożenia — co loguje tryb obserwacji, jak przejście na żywo go przełącza i jak czytać sygnał, zanim się zobowiążesz.

Co zawiera pakiet

Dokładne obiekty guardrail i firewall, które pakiet materializuje, oraz jak mapują się na kontrole frameworka.

3. Wybierz framework

Katalog obejmuje ogólne frameworki bezpieczeństwa i zarządzania AI (soc2, iso_27001, iso_42001, nist_ai_rmf, eu_ai_act, owasp_llm), reżimy sektorowe (hipaa, pci_dss, glba, nist_800_53) oraz szeroki zestaw regionalnych przepisów o ochronie prywatności (gdpr, uk_gdpr, ccpa i więcej). Przeglądaj listę na żywo, zamiast ją zakodować na sztywno.

SOC 2

HIPAA

GDPR

EU AI Act

ISO 27001

ISO 42001

NIST AI RMF

OWASP LLM Top 10

PCI DSS

CCPA

Wszystkie frameworki

Macierz kontroli

4. Zainstaluj pakiet (jeden konkretny przepływ)

Instalacja odbywa się z konsoli pod Compliance → Catalog, jako Admin przestrzeni roboczej. Akcja jest bramkowana po stronie serwera do płatnego planu; materializuje obiekty guardrail i firewall w trybie obserwacji. Konsola napędza tę trasę zarządzania za ciebie (używa twojej sesji, nie klucza relay): 
POST /api/compliance/packs/soc2/install
Authorization: Bearer <your console session>
Po instalacji otwórz Readiness, aby zobaczyć, które kontrole są spełnione, obserwuj strumienie przez tydzień, potem przejdź na żywo. Strona Zainstaluj pakiet przechodzi pełną sekwencję; Eksport dowodów obejmuje to, co wychodzi z drugiego końca.
Odczyty pozostają otwarte dla Członków, więc twoi recenzenci bezpieczeństwa i audytu mogą obserwować gotowość bez dostępu do zapisu. Tylko Admin, który jest właścicielem wdrożenia, potrzebuje zdolności instalacji i przejścia na żywo.

5. Podpisane, weryfikowalne raporty

Raport zgodności to dowód, któremu audytor może zaufać, nie ufając tobie. Każdy raport niesie skrót treści SHA-256 oraz podpis Ed25519 nad tym skrótem i jest eksportowalny jako CSV, JSON lub PDF. Podpis jest publicznie weryfikowalny — każdy, kto ma raport i klucz publiczny OrcaRouter, może potwierdzić, że nie został zmieniony.
Admin przestrzeni roboczej generuje raport; jest haszowany i podpisywany przy tworzeniu. Zobacz Podpisany raport.
Pobierz klucz publiczny z GET /api/public/compliance/pubkey i wyślij POST /api/public/compliance/verify z raportem — bez konta. Zobacz Zweryfikuj raport.
Wybij link tylko do odczytu, który twój audytor otwiera pod GET /api/public/compliance/share/:token — w zakresie jednego raportu, bez logowania. Zobacz Eksport dowodów.

6. Rezydencja danych dla dowodów

Rezydencja w bramie zarządza tym, gdzie twoje podpisane raporty zgodności są przechowywane i serwowane — nie tym, gdzie działa inferencja. Każdy raport jest stemplowany twoim zadeklarowanym regionem, a raport jest serwowany tylko pod pasującym zadeklarowanym regionem; odczyt międzyregionalny jest wstrzymywany. Region to jeden z us, eu, uk, ap, cn lub global, ustawialny przez Admina przestrzeni roboczej: 
PUT /api/compliance/residency
Authorization: Bearer <your console session>

{ "region": "eu" }
Rezydencja jest właściwością artefaktu raportu, nie gwarancją, że ruch modelu jest geo-przypięty. Jeśli regulacja wymaga, aby inferencja pozostała w regionie, jest to decyzja routingu nadrzędnego, odrębna od tego, gdzie żyją dowody.

Rezydencja danych

Ustaw i zmień region, pod którym twoje dowody są przechowywane i serwowane.

Odczyty międzyregionalne

Dlaczego raport stemplowany jednym regionem nie będzie serwowany pod innym i jak obsługiwać programy wieloregionalne.

7. Retencja i usuwanie

Dwa zegary mają znaczenie dla zgodności AI i oba mają obserwowalne przez klienta wartości domyślne:
PrzedmiotDomyślnieTwardy limit
Retencja logów żądań30 dni180 dni (ograniczane przez serwer)
Karencja usunięcia użytkownika30 dni, potem czyszczenie PII
Prawo do usunięcia jest wbudowane: samo-usunięcie uruchamia 30-dniowe okno karencji, po którym PII jest czyszczone, a kaskada usuwa dopasowania guardrail, logi żądań i zdarzenia firewalla. Strony Retencja, Prawo do usunięcia oraz Zgoda obejmują mechanikę DSAR.

8. Gdzie to pasuje

Zgodność czyta te same kontrole, które konfiguruje reszta modelu bezpieczeństwa. Jeśli lądujesz tu najpierw, zacznij od pojęć:

Współdzielona odpowiedzialność

Co zabezpiecza brama, a co pozostaje twoje — uczciwa mapa granicy dla każdego twierdzenia o zgodności.

Tryby egzekwowania

Obserwacja, audyt i egzekwowanie — wspólne słownictwo stojące za przejściem na żywo.

Stos kontrolny

Klucze, guardrails, firewall i audyt jako jeden obraz.

Słownik

Pakiet, gotowość, rezydencja, atestacja i reszta terminów.
Program zgodności na OrcaRouter to za każdym razem ta sama pętla: zainstaluj pakiet, obserwuj, co wychwytuje, przejdź na żywo i wręcz audytorowi podpisany raport, który może sam zweryfikować.