Przejdź do głównej treści
Gdy audytor pyta „udowodnij, że twój ruch AI jest zarządzany”, nie chcesz robić zrzutu ekranu konsoli. OrcaRouter zamienia twoją żywą postawę guardrail i firewall w podpisany, publicznie weryfikowalny raport dowodowy zmapowany na framework regulacyjny — SOC 2, HIPAA, GDPR, EU AI Act i więcej. Ta strona to powierzchnia API dla tego przepływu: jak przeglądać katalog, zainstalować pack, wygenerować raport i pozwolić audytorowi zweryfikować sygnaturę bez konta OrcaRouter. Compliance to trzecia płaszczyzna w stosie kontrolnym OrcaRouter, obok Guardrails (tekst) i Firewall (wywołania narzędzi). Pack compliance to po prostu wcześniej zautorowany pakiet tych dwóch — instalacja jednego materializuje prawdziwą, edytowalną politykę guardrail i firewall w twojej przestrzeni roboczej.
Wszystkie trasy /api/compliance/* uwierzytelniają się twoją sesją konsoli / tokenem dostępu (tym samym loginem, którego używasz do dashboardu), nie kluczem relay sk-orca-…. Konfiguruj wszystko z konsoli; powierzchnia REST poniżej służy do automatyzacji zbierania dowodów w CI.

1. Co pokrywa referencja api compliance

Dwie grupy tras, dwie publiczności:
GrupaUwierzytelnieniePubliczność
/api/compliance/*Sesja konsoliTy + twoi audytorzy (w przestrzeni roboczej)
/api/public/compliance/*Brak (token / sygnatura)Każdy weryfikujący raport
Odczyty w pierwszej grupie — przeglądanie katalogu, zainstalowanych packów, gotowości, rezydencji i metadanych raportu — są otwarte dla każdego członka przestrzeni roboczej i darmowe. Każdy zapis (instalacja packa, wejście na żywo, generowanie lub pobieranie raportów, zmiana rezydencji, udostępnianie) wymaga Admin przestrzeni roboczej (egzekwowane po stronie serwera). Płatny plan jest dodatkowo wymagany, by zainstalować pack, wziąć go na żywo i eksportować CSV/JSON lub wygenerować więcej niż jeden darmowy raport — ale nie do zmiany rezydencji ani wygenerowania pierwszego PDF.

2. Przeglądaj katalog i sprawdź gotowość

Zacznij tylko do odczytu. Te trzy endpointy nie potrzebują specjalnej roli i nic nie kosztują:
Zwraca rejestr frameworków. OrcaRouter dostarcza packi dla głównych reżimów bezpieczeństwa, prywatności i zarządzania AI — w tym soc2, hipaa, gdpr, uk_gdpr, eu_ai_act, iso_27001, iso_42001, nist_ai_rmf, nist_800_53, pci_dss, glba, ccpa oraz długi ogon regionalnych praw prywatności (PIPL, APPI, PIPA, LGPD, PIPEDA, DPDP i amerykańskie ustawy stanowe). OWASP Top 10 dla aplikacji LLM (owasp_llm) dostarczany jest również jako pełnoprawny pack — materializuje prawdziwe kontrole guardrail i firewall (prompt injection, niebezpieczne wyjście, ujawnienie wrażliwych danych, nadmierna sprawczość) jak każdy inny framework.
Listuje packi już zmaterializowane w tej przestrzeni roboczej, każdy z jego trybem cyklu życia (observe lub enforce) oraz polityką guardrail + firewall, którą utworzył.
Ocenia twoją bieżącą postawę wobec listy kontrolnej każdego frameworka: które kontrole twoje żywe guardrails i reguły firewalla już spełniają, a które wciąż są lukami organizacyjnymi, które musisz zamknąć sam. Przeczytaj to, zanim cokolwiek zainstalujesz.

3. Zainstaluj pack

Instalacja packa to moment wartości: zapisuje prawdziwy Guardrail (płaszczyzna tekstu/danych) oraz WorkspaceFirewallPolicy plus reguły (płaszczyzna wywołań narzędzi) do twojej przestrzeni roboczej, otagowane do frameworka. Oba są w pełni edytowalne potem — pack to punkt startowy, nie zablokowany szablon. 
# Admin + płatny plan. Instaluje najpierw w trybie observe.
curl -X POST https://api.orcarouter.ai/api/compliance/packs/soc2/install \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN"
Nowe packi lądują w trybie observe — akcje guardraila wymuszone na flag, firewall w shadow/tylko-log — abyś mógł obserwować pokrycie, zanim cokolwiek zablokuje żywy ruch. Gdy będziesz gotów, promuj go: 
curl -X POST https://api.orcarouter.ai/api/compliance/packs/soc2/golive \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN"
golive przerzuca zmaterializowaną politykę guardrail i firewall w egzekwowanie. Uruchom to po przejrzeniu trybów egzekwowania, abyś wiedział dokładnie, co deny i mask zrobią z żywym ruchem.
Inne zapisy packa (wszystkie Admin): POST …/packs/:key/controls, by podpiąć pojedynczą kontrolę, POST …/packs/:key/update, by re-zsynchronizować po zmianie katalogu, oraz DELETE …/packs/:key, by odinstalować.

4. Wygeneruj podpisany raport dowodowy

Raport to artefakt, który wręczasz audytorowi. Każdy jest renderowany z twojej żywej postawy, zahashowany treściowo SHA-256 i podpisany Ed25519, więc nie może być po cichu edytowany po fakcie. 
curl -X POST https://api.orcarouter.ai/api/compliance/reports \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"framework":"soc2","format":"pdf"}'
Formaty to pdf, json i csv.
Twój pierwszy raport PDF jest darmowy, abyś mógł zademonstrować artefakt. Eksport CSV/JSON i dodatkowe raporty są częścią płatnego planu — raport to sprzedawalny dowód, więc brama zwraca przyjazny komunikat o aktualizacji zamiast twardego błędu, gdy trafisz w darmowy limit.
Listuj i pobieraj raporty z GET …/reports i GET …/reports/:id; pobierz wyrenderowany plik z GET …/reports/:id/download (Admin).

5. Pozwól audytorowi to zweryfikować — bez konta

Trzy publiczne endpointy czynią raport niezależnie sprawdzalnym przez każdego, kto trzyma plik:

Pobierz klucz publiczny

GET /api/public/compliance/pubkey zwraca klucz publiczny Ed25519, którym podpisane są twoje raporty.

Zweryfikuj sygnaturę

POST /api/public/compliance/verify sprawdza sygnaturę i hash treści raportu oraz mówi wywołującemu, czy został zmanipulowany.

Udostępnij audytorowi

Wybij link tylko-do-odczytu z POST …/reports/:id/share (Admin); audytor otwiera GET /api/public/compliance/share/:token — bez logowania.
Ponieważ weryfikacja jest publiczna i sprawdzalna offline, audytor nigdy nie dotyka twojej przestrzeni roboczej ani twojego ruchu — potwierdza kryptografię i czyta dowód.

6. Rezydencja danych

Rezydencja tutaj to region, pod którym twój dowód compliance jest stemplowany i przechowywanyus, eu, uk, ap, cn lub global. Zarządza, gdzie raporty żyją i z którego regionu mogą być serwowane; raport jest wstrzymany, jeśli odczytany z niepasującego regionu. (To kontrola artefaktu dowodowego, nie geo-przypinanie twojego ruchu inferencyjnego.) 
curl -X PUT https://api.orcarouter.ai/api/compliance/residency \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"region":"eu"}'
Odczytaj bieżące ustawienie z GET …/residency (dowolny członek); zmiana to Admin.

7. Retencja, wymazanie i audyt

Płaszczyzna compliance jest wsparta tymi samymi gwarancjami cyklu życia danych, które obowiązują w całej bramie:
Logi żądań są trzymane 30 dni domyślnie i 180 dni maksymalnie — brama przycina cokolwiek dłuższego. Retencja zasila bezpośrednio twój wynik gotowości.
Żądanie usunięcia konta otwiera 30-dniowy okres karencji (domyślny), po którym PII konta jest nieodwracalnie wyczyszczone: kaskada redaguje identyfikatory na zachowanych logach żądań i czyści dopasowania guardraili, zdarzenia firewalla i rekordy trace agenta w zakresie użytkownika.
Sekcja change-log raportu compliance jest czerpana z logu audytu przestrzeni roboczej, w zakresie okresu raportu. E-maile członków i adminów są domyślnie maskowane w eksportowanym raporcie (np. j•••@acme.com), chyba że pełne PII jest jawnie żądane w czasie generowania. Zobacz katalog akcji audytu.

Gdzie iść dalej

API Guardrail

Polityka płaszczyzny tekstu/danych, którą pack compliance materializuje.

API Firewall

Płaszczyzna polityki wywołań narzędzi, którą pack zapisuje obok niej.

Stos kontrolny

Jak guardrails, firewall i compliance komponują się w jedną postawę.

Kody błędów

Każdy status, który brama może zwrócić, w tym bramki płatne i rolowe.
Po definicje pojęć — pack compliance, podpisany raport, rezydencja danych, prawo do wymazania — zobacz słownik pojęć.