Saltar para o conteúdo principal
Quando um auditor pede evidência, ele não quer um login de dashboard — ele quer um arquivo. O OrcaRouter deixa um Admin do workspace gerar um relatório de compliance em CSV, JSON ou PDF, onde o CSV é um fluxo de linhas plano e marcado por seção que qualquer auditor pode abrir em uma planilha, ordenar e fazer grep. Um arquivo carrega coverage, contagens de enforcement, consentimento, histórico de mudanças e acesso de admin para um único framework sobre um período escolhido. Esta página cobre o export de evidência em CSV especificamente: quem pode gerá-lo, o que as colunas significam e como ele se liga de volta ao relatório assinado e verificável. Para o fluxo mais amplo de catálogo-ao-go-live, comece pela visão geral de compliance.

1. Por que exportar evidência de auditoria de IA como CSV

Um PDF assinado é o artefato que você entrega a um revisor; um CSV é o artefato em que um revisor de fato trabalha. O mesmo bundle de evidência renderiza para qualquer um dos dois — o CSV apenas achata cada seção em uma tabela de largura fixa para que um auditor possa filtrar por section, ordenar por at_utc ou fazer grep de um id de controle sem abrir o seu console.

PDF

O artefato apresentável. O primeiro PDF é gratuito para demonstrar em qualquer plano.

CSV

A tabela plana e marcada por seção que um auditor abre em uma planilha. Pago.

JSON

A mesma evidência como registros estruturados para o seu próprio pipeline. Pago.
Cada formato é construído a partir do mesmo bundle de evidência e do mesmo hash de conteúdo — o CSV é uma renderização, não um relatório diferente. Trocar de formato não muda o que a evidência diz, apenas como ela lê.

2. Quem pode exportar, e quanto custa

Navegar e ler sua postura de prontidão é gratuito para todo membro. Gerar um relatório é uma ação de Admin: o plano gratuito inclui um relatório PDF, enquanto o export CSV/JSON e relatórios adicionais exigem um plano pago. A checagem é aplicada no servidor, então uma chamada direta de API não pode contorná-la.
AçãoPapelPlano
Navegar catálogo / prontidãoMemberGratuito
Gerar primeiro PDFAdminGratuito
Gerar CSV / JSONAdminPago
Os planos gratuitos incluem um relatório PDF para demonstrar o artefato. O export CSV e JSON, mais quaisquer relatórios adicionais, exigem um plano pago — o servidor retorna um prompt de upgrade caso contrário, independentemente de como a chamada é feita. Veja plan gating para o mapa completo de gratuito/pago.

3. Um export concreto

O export é um fluxo de duas chamadas a partir do console: um Admin gera o relatório (async — ele retorna pending imediatamente), depois baixa o artefato uma vez que ele esteja ready. Ambas as rotas usam a sua sessão de console (UserAuth), não uma chave de relay.
1

Gere o relatório como CSV (Admin, pago)

Escolha um framework e um período, escolha CSV e gere. O relatório é enfileirado e renderizado no servidor a partir dos seus dados de enforcement reais para aquela janela.
# Session-authenticated (UserAuth), Admin + paid plan. Driven from the console.
POST /api/compliance/reports
{
  "framework": "soc2",
  "format": "csv",
  "period_start": 1717200000,
  "period_end": 1719792000
}
A PII (emails de membro e de ator) é mascarada por padrão em cada export. Opte por emails não redigidos apenas quando seu auditor exigir — privacidade é o padrão, não a exceção.
2

Baixe o artefato (Admin)

Uma vez que o relatório esteja ready, baixe-o. O arquivo é transmitido com um header de attachment para que caia como um .csv pronto para abrir em uma planilha.
GET /api/compliance/reports/{id}/download
# → text/csv attachment
Um relatório é carimbado com a região de residência de dados do seu workspace no momento da geração. Se você depois alterar a região, o artefato antigo é retido e você precisa regenerá-lo — leituras cross-region não são servidas.

4. O que o CSV contém

O CSV é uma tabela coerente: um header fixo de sete colunas, e uma tag section em cada linha para que um único arquivo carregue todas as suas seções. A ordem das linhas é determinística — duas renderizações da mesma evidência produzem CSV byte-idêntico. 
section, id, name, clause_or_action, status_or_value, detail, at_utc
Framework, jurisdição, o período de relatório, quem mapeou os controles, um aviso, e a região de residência de dados carimbada.
Uma linha por controle mapeado: seu id, nome, cláusula, status e o plano (guardrails ou firewall) que o aplica.
Totais do período: violações de guardrail, e contagens de firewall allowed / blocked / audited — o registro real de enforcement, não uma afirmação.
Mudanças de versão de guardrail (operação + autor) e mudanças de audit-log, cada uma com timestamp — o histórico tamper-evident das suas edições de política.
Ator admin, ação e o recurso tocado — o rastro de acesso privilegiado que os auditores procuram.
Controles sem cobertura, marcados gateway-enforceable ou organizational para que você saiba quais gaps você fecha em política versus processo.
Seus subprocessadores de IA, uma revisão de acesso de chaves (status + expiração), e a lista de usuários admin.
Cada célula de texto livre é neutralizada contra injeção de fórmula de planilha — um valor que começa com =, +, - ou @ recebe o prefixo de uma aspa literal para que abrir o arquivo nunca execute um payload que tenha pegado carona em uma substring correspondida.

5. O CSV é evidência assinada, não uma planilha solta

Um relatório de compliance — em qualquer formato — é assinado com Ed25519 e carrega um hash de conteúdo SHA-256 sobre a sua evidência canônica. Isso torna o artefato verificável publicamente: qualquer pessoa a quem você o entregue pode confirmar que ele veio do seu workspace e não foi alterado, sem uma conta OrcaRouter.

Verifique um relatório

Como um destinatário checa a assinatura contra a chave pública — sem login necessário.

Relatórios assinados

O que é assinado, o hash de conteúdo e o link de compartilhamento para o auditor.
Precisa enviar evidência a um auditor externo sem exportar um arquivo de jeito nenhum? Emita um link de compartilhamento para o auditor com tempo limitado — ele serve o mesmo relatório assinado em somente-leitura. Veja relatórios assinados.

6. Exportando correspondências brutas de guardrail

O CSV de compliance é a evidência curada e mapeada por framework. Se um auditor quer o feed bruto de correspondências — cada hit individual de guardrail por trás das contagens — você pode transmiti-lo separadamente como CSV ou JSON, filtrado para a sua visão atual. 
# Session-authenticated (UserAuth). Streams your filtered matches as CSV.
GET /api/guardrail/match/export?format=csv
Cada linha é uma correspondência: tempo, guardrail, tipo e rótulo de regra, stage, ação, modelo, token, detalhe, a substring correspondida, request id e IP. Os exports são limitados por requisição e a substring correspondida só aparece quando Log raw content está habilitado no guardrail (desligado por padrão).
Este export é evidência operacional linha-por-correspondência, não um artefato de compliance assinado. Para evidência assinada e mapeada por framework, gere um relatório de compliance (Seção 3). Para o que alimenta os registros de correspondência, veja Guardrails.

7. Para onde ir a seguir

Instale um pack

Materialize as regras de guardrail e firewall de um framework antes de relatar sobre elas.

Plan gating

Exatamente quais ações de compliance são gratuitas versus pagas e gated por Admin.

Residência de dados

A região sob a qual a evidência de um relatório é carimbada e servida.

Frameworks

Para quais frameworks você pode gerar evidência.
Um CSV é o formato em que os auditores vivem. Gere um como Admin, entregue um arquivo assinado e verificável, e deixe-os fazer grep da evidência nos próprios termos.