Przejdź do głównej treści
Gdy audytor pyta „udowodnij, że te kontrole były faktycznie egzekwowane”, zrzut ekranu twojej konsoli nie przetrwa kontroli — jest niepodpisany, jest twój i jest edytowalny. OrcaRouter generuje podpisany raport zgodności: samodzielny pakiet dowodów uchwycony z migawki twoich żywych kontroli bramy, zahaszowany SHA256 i podpisany Ed25519, więc każdy, kto trzyma raport, może zweryfikować, że został wyprodukowany przez OrcaRouter i nie został zmieniony od tamtej pory. Ta strona przechodzi przypadek użycia od początku do końca — wygeneruj raport, wręcz go i pozwól audytorowi zweryfikować go niezależnie. Co do katalogu frameworków i tego, na co mapuje się każdy pakiet, zobacz Frameworki oraz Zawartość pakietu.

1. Co zawiera podpisany raport zgodności AI

Raport jest generowany per framework w oknie czasowym, które wybierasz, i robi migawkę ośmiu sekcji dowodowych w czasie generowania, więc artefakt pozostaje ważny nawet po tym, jak leżące u podstaw logi się zestarzeją pod twoją polityką retencji.
Każdy raport obejmuje te same uporządkowane sekcje, więc dwa raporty są porównywalne:
  • Pokrycie — na które kontrole frameworka mapują się twoje zainstalowane pakiety, każda oznaczona covered / observe / gap / attested.
  • Egzekwowanie — dopasowania guardrail i werdykty firewalla (allowed / blocked / audited) faktycznie zarejestrowane w oknie.
  • Zgoda — zarejestrowany stan zgody dla okresu, sklasyfikowany jako valid / stale / revoked / none.
  • Dziennik zmian — historia guardrail i wiersze audytu przestrzeni roboczej w oknie.
  • Dostęp admina — kto miał admina i jakie uprzywilejowane akcje uruchomiono.
  • Luki — kontrole nie pokryte, w tym klauzule organizacyjne (ludzie/procesy), które nigdy nie mogą być zautomatyzowane przez bramę. Raport ujawnia je jako uczciwe luki, zamiast sugerować 100% zautomatyzowanej zgodności.
  • Łańcuch dostaw AI — dostawcy nadrzędni (podmioty podprzetwarzające) i modele osiągalne przez przestrzeń roboczą, jako dowód wobec twoich DPA.
  • Przeglądy dostępu — klucze API przestrzeni roboczej i lista uprzywilejowanych członków dla higieny rotacji kluczy.
Kanoniczny JSON dowodów jest haszowany SHA256 (małe litery hex). Ten skrót treści jest podpisany Ed25519, a podpis plus krótkie id klucza (np. orca-…) są osadzone w artefakcie. Zmień jeden bajt dowodów, a skrót już nie pasuje; sfałszuj skrót, a podpis już się nie weryfikuje wobec klucza publicznego OrcaRouter.
  • PDF — czytelne dla człowieka przekazanie audytorowi, z podpisem i id klucza wydrukowanym na nim.
  • JSON — czytelny maszynowo eksport dowodów. (Podpis jest obliczany nad kanoniczną formą dowodów, nie nad surowymi bajtami pliku, więc weryfikuj go przez publiczny endpoint weryfikacji, zamiast samemu ponownie haszować artefakt — zobacz Zweryfikuj raport.)
  • CSV — płaski eksport tabelaryczny do arkuszy kalkulacyjnych i narzędzi GRC.
Domyślnie e-maile członków i aktorów są maskowane w każdym eksporcie. Włącz nieredagowane PII wyraźnie per raport, gdy twój audytor tego potrzebuje.
Raporty są stemplowane regionem. Każdy artefakt jest przechowywany i serwowany pod zadeklarowanym regionem rezydencji danych twojej przestrzeni roboczej (us / eu / uk / ap / cn / global); raport wyprodukowany dla jednego regionu nie jest serwowany pod innym. Ustaw rezydencję przed wygenerowaniem, jeśli ma to znaczenie dla twoich obowiązków.

2. Kto może wygenerować

Przeglądanie katalogu frameworków, zainstalowanych pakietów i gotowości jest otwarte dla każdego członka przestrzeni roboczej i jest darmowe. Wygenerowanie raportu wymaga roli Admin przestrzeni roboczej, a eksport jest bramkowany planem:
  • Darmowy plan obejmuje jeden raport PDF, więc możesz zademonstrować artefakt.
  • Eksport CSV / JSON i dodatkowe raporty wymagają płatnego planu.
Obie reguły są egzekwowane po stronie serwera — nie ma obejścia tylko po stronie klienta.
Generuj z konsoli: otwórz Compliance → Reports, wybierz framework i okno czasowe, wybierz format i kliknij generuj. Generowanie jest asynchroniczne — wiersz raportu pojawia się jako pending, przechodzi do generating i ląduje na ready (lub failed, bez częściowego artefaktu). Wszystko to działa na trasach /api/compliance/* pod twoją sesją konsoli — żaden klucz relay (sk-orca-…) nie jest zaangażowany.

3. Jeden konkretny przewodnik

Audytor SOC 2 chce dowodów egzekwowania za Q1. Przepływ pracy:
1

Zainstaluj framework (raz)

Jako Admin na płatnym planie zainstaluj pakiet SOC 2 z Compliance → Frameworks. Instalacja materializuje guardrails i polityki firewalla, które mapują się na kontrole frameworka. Zobacz Zainstaluj pakiet.
2

Wygeneruj raport

W Compliance → Reports wybierz soc2, ustaw okres na twoje okno Q1, wybierz PDF i wygeneruj. Poczekaj, aż wiersz osiągnie ready, potem pobierz.
3

Wręcz go audytorowi

Wyślij im PDF (lub wybij link udostępniania tylko do odczytu dla audytora, aby mogli pobrać go sami). Podpis i id klucza są wydrukowane na raporcie.
4

Weryfikują go niezależnie

Audytor nigdy nie musi ufać twojej konsoli. Ponownie haszują dowody, pobierają klucz publiczny OrcaRouter i sprawdzają podpis — wszystko wobec publicznych, nieuwierzytelnionych endpointów (następna sekcja).

4. Jak audytor go weryfikuje

Weryfikacja nie potrzebuje konta ani klucza relay — działa wobec dwóch publicznych endpointów na api.orcarouter.ai. Najpierw pobierz aktywny klucz publiczny: 
curl https://api.orcarouter.ai/api/public/compliance/pubkey
# => { "algo": "ed25519", "key_id": "orca-…", "public_key": "<base64>" }
Potem prześlij skrót treści raportu, podpis i id klucza: 
curl -X POST https://api.orcarouter.ai/api/public/compliance/verify \
  -H "Content-Type: application/json" \
  -d '{
    "content_hash": "<sha256-hex from the report>",
    "signature":    "<base64 Ed25519 signature>",
    "sig_key_id":   "orca-…"
  }'
# => { "valid": true, "key_id": "orca-…" }
valid: true oznacza, że skrót dowodów został podpisany przez OrcaRouter i nie zmienił się od tamtej pory. Audytor, który wolałby w ogóle nie wywoływać naszego endpointu, może wziąć opublikowany klucz publiczny Ed25519 i zweryfikować podpis nad skrótem dowolną standardową biblioteką kryptograficzną — raport jest weryfikowalny offline.
Wolisz nie wysyłać PDF jako załącznika? Wybij zamiast tego link udostępniania tylko do odczytu dla audytora — tokenizowany URL, który serwuje raport (i jego podpis) bezpośrednio, bez logowania. Zobacz Eksport dowodów.

5. Gdzie to pasuje

Podpisany raport to artefakt na końcu przepływu zgodności. Elementy wokół niego:

Frameworki

Pełny katalog — SOC 2, HIPAA, GDPR, EU AI Act, ISO 27001/42001, NIST AI RMF, PCI DSS, OWASP LLM Top 10 oraz zestaw regionalny.

Zainstaluj pakiet

Zmaterializuj guardrails i polityki firewalla frameworka, zanim o nim zaraportujesz.

Rezydencja danych

Stempluj i przypnij region, pod którym twój podpisany raport jest przechowywany i serwowany.

Zweryfikuj raport

Przepływ weryfikacji w głąb — klucz publiczny, skrót i kontrole offline.
Dowody wewnątrz raportu pochodzą z kontroli, które skonfigurowałeś. Aby wzmocnić to, co zostaje zaraportowane, stroij swoje Guardrails i Firewall oraz przejrzyj granicę tego, co brama może i czego nie może poświadczyć w Współdzielonej odpowiedzialności.