Przejdź do głównej treści
Stawiasz agenta AI przed danymi klienta, a twój audytor chce wiedzieć, które klauzule Trust Services faktycznie możesz udowodnić. W hostowanej bramie uczciwa odpowiedź brzmi: klauzule, które mapują się na kontrolę działającą na ścieżce żądania — dostęp logiczny, monitorowanie i audyt wywołań narzędzi — plus klauzule organizacyjne, których proxy nigdy nie może egzekwować i musi ujawnić jako luki. Ta strona to przewodnik soc 2 ai: które klauzule TSC pokrywa pakiet SOC 2, jedna kontrola, którą materializuje dla poufności, i jak wynikowe dowody są podpisywane. Co do przepływu instalacji i formatu raportu w głąb, podążaj za linkami na końcu — ta strona to specyficzna dla SOC 2 mapa, nie pełna referencja Zgodności.

1. Co pokrywa pakiet soc 2 ai

Pakiet SOC 2 mapuje AICPA Trust Services Criteria na kontrole, które działają na każdym przekraczającym bramę żądaniu. Trzy klauzule mapują się na egzekwowanie na żywo; dwie są organizacyjne i są ujawniane jako luki, zamiast twierdzone.
Klauzula TSCPłaszczyznaKontrola
CC6.1 Kontrole dostępu logicznegoguardrailblokuj poufne PII w promptach
CC7.2 Monitorowanie systemuguardrailrejestruj każdą decyzję guardrail jako dowód
CC7.2 Wykrywanie anomaliifirewallaudytuj każdą dyspozycję narzędzia
CC8.1 Zarządzanie zmianami i CC3.1 Ocena ryzyka to klauzule ludzie-i-procesy. Proxy nie może ich egzekwować, więc pakiet wyświetla je jako ujawnione luki (lub wiersze poświadczone przez właściciela) zarówno w konsoli, jak i w raporcie — nigdy jako zautomatyzowane pokrycie. Uczciwe luki są tym, co czyni resztę dowodów wiarygodną. Zobacz macierz kontroli.
Dwie płaszczyzny egzekwowania to ta sama maszyneria Guardrails i Firewall, którą konfigurujesz ręcznie. Pakiet to autorowane mapowanie, które mówi, która istniejąca kontrola spełnia którą klauzulę — nie dostarcza nowego silnika czasu wykonania. Zobacz Zawartość pakietu co do pełnej anatomii.

2. Zainstaluj pakiet — jeden konkretny przykład

Instalacja materializuje mapowanie w jedną politykę guardrail i jedną politykę firewall w twojej przestrzeni roboczej, każdą oznaczoną proweniencją pakietu. Robisz to z konsoli, nie kluczem relay: Compliance → Catalog → SOC 2 → Install To akcja Admina przestrzeni roboczej na płatnym planie, a serwer egzekwuje obie. Pod maską twoja sesja konsoli wywołuje: 
POST /api/compliance/packs/soc2/install
Nigdy nie wręczaj klucza relay sk-orca-… trasie konfiguracji. Trasy /api/compliance/* uwierzytelniają się twoją sesją konsoli, nie kluczem relay — tylko wywołania modelu /v1/* używają sk-orca-…. Przeglądanie katalogu, zainstalowanych pakietów i gotowości jest darmowe i otwarte dla każdego członka przestrzeni roboczej; instalacja, przejście na żywo, raport i rezydencja to bramkowane akcje Admina.
Po instalacji wiersz CC6.1 przestaje być prozą. Kontrola poufności staje się prawdziwą regułą guardrail pii — akcja block, etap input — którą możesz otworzyć, odczytać i stroić jak każdą inną regułę. Kontrola monitorowania CC7.2 rejestruje każdą decyzję guardrail jako dowód, a kontrola firewalla ustawia każdą dyspozycję narzędzia na werdykt audit.
Ta kontrola działa na żądaniu: poufne PII jest blokowane na etapie wejścia, zanim model je zobaczy. Obsługa PII na żywo w wyjściu / strumieniowaniu jest na mapie drogowej, więc po stronie wyjścia dowody monitorowania są tym, co audytor czyta dla CC7.2 w okresie raportu.

3. Najpierw obserwuj, potem przejdź na żywo

Instalacja SOC 2 nie zaczyna blokować ruchu pierwszego dnia. Instalacje lądują w trybie obserwacji: akcje guardrail są wymuszane na flag, a polityka firewalla działa w trybie cienia (tylko-loguj). Otrzymujesz dowody „by-zablokowano” wobec prawdziwego ruchu, zanim cokolwiek zacznie egzekwować. Gdy dowody wyglądają dobrze, Admin przestrzeni roboczej promuje pakiet do przejścia na żywo, co przywraca zadeklarowane akcje — kontrola CC6.1 zaczyna blokować, kontrola firewalla dalej audytuje — i opcjonalnie promuje zmaterializowane polityki na domyślne przestrzeni roboczej. To ta sama dyscyplina opisana w Obserwacja vs egzekwowanie.

4. Podpisane dowody, które twój audytor może zweryfikować

Sensem pakietu jest raport. Dowody SOC 2 są generowane jako podpisany Ed25519 raport ze skrótem treści SHA256, eksportowalny jako CSV, JSON lub PDF i publicznie weryfikowalny — twój audytor sprawdza podpis bez logowania do OrcaRouter.
Każdy wiersz TSC niesie swój status — covered, observe, gap lub attested — oraz ile razy kontrola faktycznie odpaliła w okresie. Kontrola CC6.1, która zablokowała 4000 żądań, czyta się inaczej dla audytora niż taka z zerowymi dopasowaniami, a raport pokazuje obie.
Każda zmaterializowana kontrola rejestruje swoje control_id (np. soc2.confidentiality), dosłowną klauzulę (TSC CC6.1 Logical access controls), płaszczyznę i id żywego obiektu polityki, który ją egzekwuje — więc audytor przechodzi klauzula → kontrola → egzekwująca polityka → dopasowania, bez domniemanego kroku.
Pobierz klucz publiczny podpisujący pod GET /api/public/compliance/pubkey, prześlij raport do POST /api/public/compliance/verify lub otwórz ograniczony zakresem link udostępniania dla audytora pod GET /api/public/compliance/share/:token. Bez konta.
Zobacz podpisany raport co do pełnego układu od okładki do stopki oraz Zweryfikuj raport co do przewodnika weryfikacji.

5. Stempluj regionem swoje dowody SOC 2

Raporty SOC 2 są przechowywane i serwowane pod twoim zadeklarowanym regionem rezydencji — us / eu / uk / ap / cn / global — a raport jest serwowany tylko pod pasującym regionem; odczyty międzyregionalne są wstrzymywane. Admin przestrzeni roboczej ustawia go przez PUT /api/compliance/residency.
Rezydencja tutaj to region artefaktu dowodowego — gdzie żyją i są serwowane podpisane raporty. To nie geo-przypinanie danych inferencji. Zobacz Rezydencja danych oraz Międzyregionalne co do granicy.
Logi żądań domyślnie mają 30-dniową retencję (ograniczaną przez serwer do twardego maksimum 180 dni), a usunięcie użytkownika uruchamia 30-dniowe okno karencji, potem czyszczenie PII — oba istotne, gdy audytor pyta o twoją postawę retencji. Zobacz Retencja oraz Prawo do usunięcia.

6. Gdzie iść dalej

Zawartość pakietu

Pełna anatomia pakietu — obie płaszczyzny, statusy i proweniencja.

Zainstaluj pakiet

Przepływ instalacji od początku do końca, tryb obserwacji i przejście na żywo.

Podpisany raport

Co zawiera podpisany Ed25519 raport dowodowy.

Macierz kontroli

Każda klauzula, jej płaszczyzna i czy jest pokryta, obserwowana czy luką.

Frameworki

Pełny katalog — HIPAA, GDPR, EU AI Act, ISO 27001 i więcej.

Guardrails vs Firewall

Dwie płaszczyzny, na które zapisuje pakiet SOC 2, uruchamiane przez jeden resolver.
SOC 2 w hostowanej bramie to dyscyplina bycia precyzyjnym: zmapuj klauzule, które proxy może egzekwować, na żywe kontrole, ujawnij te, których nie może, i podpisz dowody, więc linia między nimi wytrzymuje audyt.