Przejdź do głównej treści
Lista kontrolna frameworka to lista klauzul. Pakiet zgodności to ta sama lista kontrolna, z każdą klauzulą podłączoną do kontroli, która faktycznie działa w bramie. Gdy instalujesz pakiet, OrcaRouter czyta jego mapowanie klauzula-na-kontrolę i materializuje prawdziwe, edytowalne obiekty polityki w twojej przestrzeni roboczej — więc „SOC 2 CC6.1” przestaje być linią w arkuszu kalkulacyjnym i staje się guardrailem, który blokuje poufne PII, zanim dotrze do modelu. Ta strona wyjaśnia, co zawiera pakiet zgodności AI, jak jego dwie płaszczyzny egzekwowania mapują się z powrotem na klauzule oraz linię proweniencji, która pozwala audytorowi prześledzić dowolną klauzulę aż do dokładnej polityki, która ją egzekwuje. Co do przepływu instalacji i podpisanego raportu, podążaj za linkami na końcu.

1. Pakiet to mapowanie klauzula-na-kontrolę, nie nowe egzekwowanie

Pakiet nie dostarcza nowego silnika czasu wykonania. Każda kontrola, którą niesie, używa ponownie tej samej maszynerii Guardrails i Firewall, którą już konfigurujesz ręcznie — pakiet to autorowane mapowanie, które mówi, która istniejąca kontrola spełnia którą klauzulę. Każdy pakiet obejmuje dwie płaszczyzny egzekwowania:

Płaszczyzna guardrail

Kontrole tekstu / danych — klauzule o danych poufnych, ujawnieniu PII, obronie przed injection lub wymaganych ujawnieniach mapują się na reguły guardrail (pii, regex, llm_judge i pokrewne) z akcją block, mask lub flag.

Płaszczyzna firewall

Kontrole wywołań narzędzi — klauzule o nadmiernej sprawczości, niebezpiecznych akcjach lub egress mapują się na reguły firewall z werdyktem allow / audit / deny na powierzchni inbound, response, mcp lub egress.
Zainstalowanie pakietu scala jego wybrane kontrole w jeden guardrail i jedną politykę firewalla, oznaczone proweniencją pakietu, więc współ-egzekwują przez normalny resolver, a każda istniejąca ścieżka przywiązania i historii dalej działa.
Pakiet pokrywa tylko kontrole egzekwowalne przez bramę. Klauzule organizacyjne — szkolenie pracowników, umowy z podmiotami przetwarzającymi, fizyczny dostęp — nigdy nie mogą być egzekwowane przez proxy, więc raport ujawnia je jako luki (lub jako poświadczone przez właściciela) zamiast twierdzić o fałszywym pokryciu. Zobacz macierz kontroli.

2. Jedna klauzula, od początku do końca — konkretny przykład

Weź pakiet SOC 2. Mapuje trzy klauzule Trust Services na trzy żywe kontrole:
KlauzulaPłaszczyznaKontrola
CC6.1 Dostęp logicznyguardrailblokuj poufne PII w promptach
CC7.2 Monitorowanie systemuguardrailrejestruj każdą decyzję guardrail jako dowód
CC7.2 Wykrywanie anomaliifirewallaudytuj każdą dyspozycję narzędzia
Instalujesz go z konsoli — Compliance → Catalog → SOC 2 → Install — co jest dostępne tylko dla Admina przestrzeni roboczej i wywołuje za ciebie POST /api/compliance/packs/soc2/install pod twoją sesją konsoli. Nigdy nie wręczasz klucza relay sk-orca-… trasie konfiguracji; treść i polityka żyją całkowicie za twoim logowaniem do konsoli. Po instalacji wiersz CC6.1 nie jest już prozą — to reguła guardrail, którą możesz otworzyć, odczytać i stroić jak każdą inną.

3. Linia proweniencji — klauzula do egzekwującej polityki

Powodem, dla którego pakiet jest audytowalny, jest to, że powiązanie między klauzulą a polityką, która ją egzekwuje, jest zapisane, nie domniemane. Każda kontrola, którą pakiet materializuje, niesie:
Stabilne control_id (np. soc2.confidentiality) oraz dosłowny tekst klauzuli (TSC CC6.1 Logical access controls), plus oficjalny link źródłowy, aby audytor czytał regulację, nie tylko naszą parafrazę.
Czy kontrola żyje na płaszczyźnie guardrail czy firewall, oraz id dokładnej polityki guardrail lub firewall, którą zmaterializowała instalacja. To id wiąże wiersz w raporcie z powrotem do żywego, edytowalnego obiektu w twojej przestrzeni roboczej.
covered, observe, gap lub attested — oraz, w okresie raportu, ile razy ta kontrola faktycznie odpaliła. Klauzula z zerowymi dopasowaniami i klauzula, która zablokowała 4000 żądań, czytają się inaczej dla audytora, a raport pokazuje oba.
Każdy pakiet niesie linię MappedBy — kto autorował mapowanie klauzula-na-kontrolę, jego wersję oraz uczciwe zastrzeżenie, że pokrywa tylko kontrole egzekwowalne przez bramę i nie jest samo w sobie certyfikacją. Ta linia jest stemplowana na okładce podpisanego raportu.
Złożone razem, to jest linia, którą audytor przechodzi: klauzula → id kontroli → egzekwujący guardrail lub polityka firewall → dopasowania, które wyprodukowała w tym okresie → kto autorował mapowanie. Żaden krok nie jest domniemany.
Ta sama macierz pokrycia napędza zarówno konsolę, jak i raport, więc te dwa nigdy nie mogą po cichu się rozjechać. Klauzula, której framework oczekuje, ale której żaden zainstalowany pakiet nie pokrywa, zawsze renderuje się jako ujawniona luka na obu powierzchniach.

4. Najpierw obserwuj, potem egzekwuj

Pakiet nie zaczyna blokować ruchu w chwili, gdy go instalujesz. Instalacje lądują w trybie obserwacji: akcje guardrail są wymuszane na flag, a polityka firewalla działa w trybie cienia (tylko-loguj). Pakiet produkuje dowody „by-zablokowano”, abyś mógł zobaczyć dokładnie, co by zrobił wobec prawdziwego ruchu, zanim to zrobi. Gdy jesteś usatysfakcjonowany, Admin przestrzeni roboczej wywołuje przejście na żywo, które przywraca zadeklarowane akcje kontroli (mask / block / deny) i opcjonalnie promuje zmaterializowane polityki na domyślne przestrzeni roboczej. To ta sama dyscyplina obserwuj-potem-egzekwuj opisana w Obserwacja vs egzekwowanie.
Przeglądanie katalogu, zainstalowanych pakietów i gotowości jest otwarte dla każdego członka przestrzeni roboczej i jest darmowe. Zainstalowanie pakietu i przejście na żywo to akcje Admina przestrzeni roboczej, które wymagają płatnego planu — serwer egzekwuje obie bramki, więc widz lub darmowa przestrzeń robocza nie może zmaterializować egzekwowania, wywołując API bezpośrednio. Generowanie raportu jest również akcją Admina: darmowy plan obejmuje jeden raport PDF, podczas gdy eksporty CSV/JSON i dodatkowe raporty wymagają płatnego planu. Ustawienie rezydencji danych jest również akcją Admina, ale samo w sobie nie jest za płatną zaporą.

5. Czego pakiet nie zawiera

Aby utrzymać granicę uczciwą:
  • Brak certyfikacji. Pakiet mapuje twoje kontrole bramy na klauzule frameworka i produkuje podpisane dowody. To nie jest audyt, atestacja całej twojej organizacji ani porada prawna.
  • Brak kontroli organizacyjnych. Klauzule dotyczące ludzi-i-procesów są wyświetlane jako ujawnione luki lub poświadczenia właściciela, nigdy jako zautomatyzowane pokrycie.
  • Brak magicznego katalogu. Frameworki w katalogu to te z autorowanym mapowaniem — SOC 2, HIPAA, GDPR / UK GDPR, EU AI Act, ISO 27001 / 42001, NIST AI RMF, PCI DSS, OWASP LLM Top 10 oraz regionalne przepisy o ochronie prywatności. Przeglądaj zestaw na żywo na Frameworkach.

6. Gdzie iść dalej

Zainstaluj pakiet

Pełny przepływ instalacji — wybór kontroli, tryb obserwacji i przejście na żywo.

Podpisany raport

Co zawiera podpisany Ed25519 raport dowodowy i jak linia renderuje się dla audytora.

Macierz kontroli

Każda klauzula, jej płaszczyzna i czy jest pokryta, obserwowana, luką czy poświadczona.

Guardrails vs Firewall

Dwie płaszczyzny, na które pakiet zapisuje, i jak resolver uruchamia je razem.
Pakiet zgodności to most między językiem regulatora a egzekwowaniem bramy: mapuje każdą klauzulę na prawdziwą kontrolę, materializuje tę kontrolę w politykę, którą posiadasz i możesz stroić, i zapisuje linię, więc dowód wytrzymuje inspekcję.