Saltar para o conteúdo principal
Você não escolhe um framework para ler um checklist de marketing. Você escolhe um para provar — a um auditor, a um cliente, a um regulador — que o controle que ele pede está de fato rodando no caminho que seus agentes usam. O OrcaRouter entrega um catálogo de frameworks como packs instaláveis, e todo framework nesse catálogo mapeia para a mesma maquinaria de guardrail e firewall que o resto do seu workspace roda, mais um relatório assinado que tira snapshot do que foi capturado. Esta página lista o registro real de frameworks e mostra como cada um se transforma em evidência. Para o arco de instalar-e-ir-ao-ar, comece pela Visão geral de compliance. O catálogo é o registro ao vivo — navegue por ele em Compliance → Catalog em vez de codificar uma contagem fixa, já que os packs são adicionados com o tempo. No momento desta escrita, ele abrange padrões gerais de segurança e governança de IA, regimes setoriais e um amplo conjunto de leis regionais de privacidade. O console os agrupa em cinco abas de categoria: ai, privacy, security, financial e healthcare.
eu_ai_act · nist_ai_rmf · iso_42001 · owasp_llm · colorado_ai. O OWASP LLM Top 10 é entregue como um pack instalável real (owasp_llm), não apenas uma visão de mapeamento de controle — veja OWASP LLM Top 10.
soc2 · iso_27001 · nist_800_53 · cmmc. Padrões gerais de confiança e segurança da informação mapeados para os planos de conteúdo e ação.
pci_dss · glba · dora_eu. Regimes de pagamento, bancário e resiliência operacional — mascaramento de PAN, higiene de segredos, controles de ferramentas perigosas e evidência de egress.
hipaa · hitrust. Redação de PHI, de-identificação e guardas de egress de segurança de transmissão.
gdpr · uk_gdpr · ccpa · china_pipl · appi_jp · pipa_kr · lgpd_br · pipeda_ca · dpdp_in · privacy_au · pdpa_sg · vcdpa_va · cpa_co · ctdpa_ct · ucpa_ut · tdpsa_tx · ferpa · coppa. Cada um carrega controles de minimização de dados, tratamento de categoria especial e registro de processamento ajustados à jurisdição.
Cada pack carrega uma data de vigência e o mês em que seu mapeamento de controle foi revisado pela última vez, ambos exibidos no catálogo e no relatório — para que um auditor possa ver quão atual o mapeamento é, não apenas que ele existe.

2. O que “evidência” significa para um framework

Instalar um pack materializa dois objetos reais e editáveis no seu workspace, e eles são o que o relatório lê:
  • um Guardrail — os controles do plano de conteúdo (PII, PHI, segredos, saída insegura) que o framework espera em requisições e respostas;
  • uma ou mais regras de política de Firewall — os controles do plano de ação (quais chamadas de ferramenta, dispatches de MCP e destinos de egress são permitidos ou auditados).
Como os objetos são reais, a evidência do framework não é uma autoatestação — é o estado ao vivo e o histórico de correspondências dos controles que seu tráfego já cruza. Um relatório tira snapshot desse estado no momento da geração em oito seções de evidência (coverage, enforcement, consent, change log, admin access, gaps, subprocessadores e access reviews), de modo que o artefato permanece autocontido mesmo depois que os logs expiram.
Seção de evidênciaO que ela captura
CoverageQuais controles em escopo são satisfeitos por um pack instalado
EnforcementSe cada controle está ao vivo ou ainda em observe mode
Change logO histórico versionado de edições de política por trás dos controles
Os relatórios também tiram snapshot das seções de consent, admin-access e gaps; veja Conteúdo do pack para o mapa completo de controles que um pack assenta.
O checklist em escopo de um framework é a união dos controles cobertos pelo pack e das cláusulas organizacionais (treinamento de força de trabalho, BAAs, DPIAs, acesso físico) que nunca podem ser automatizadas pelo gateway. Esses itens organizacionais sempre renderizam como um ⚠ Gap divulgado com orientação — então a completude é honesta, nunca silenciosamente 100%.

3. Um fluxo concreto: SOC 2

Suponha que você precise de evidência SOC 2. Como Admin do workspace em um plano pago, instale o pack a partir do console em Compliance → Catalog. O console conduz a rota de gerenciamento por você usando a sua sessão (não uma chave de relay): 
POST /api/compliance/packs/soc2/install
Authorization: Bearer <your console session>
O pack soc2 materializa um guardrail que mascara PII confidencial e registra decisões de guardrail, mais uma regra de firewall que audita cada dispatch de ferramenta — mapeado para TSC CC6.1, CC7.2. Ele cai em observe mode, então nada do que seus agentes fazem é interrompido enquanto você observa os feeds de correspondência e de eventos. Quando os feeds parecem limpos, vá ao ar e gere o relatório: 
POST /api/compliance/packs/soc2/golive
O relatório sai assinado com Ed25519 e hasheado com SHA-256, exportável como CSV, JSON ou PDF, e verificável publicamente — seu auditor o confirma com a chave pública do OrcaRouter, nenhuma conta necessária. As cláusulas organizacionais do SOC 2 (gestão de mudanças, avaliação de risco) aparecem como gaps divulgados com orientação, porque elas vivem no seu processo, não no gateway.
Navegar pelo catálogo, pelos packs instalados e pela prontidão é aberto a todo Member do workspace e é gratuito. Só o Admin que detém o rollout precisa de install, go-live e residência — para que seus revisores de auditoria possam acompanhar a prontidão sem acesso de escrita.

4. Lendo o registro programaticamente

As leituras de catálogo e prontidão são abertas a Members, então um revisor ou um job de CI pode puxar a lista atual de frameworks e o status por controle sem acesso de escrita. O console usa a sua sessão para essas rotas de gerenciamento: 
GET /api/compliance/catalog      # the live framework registry
GET /api/compliance/readiness    # per-control satisfied / gap status
Não codifique fixamente uma contagem ou lista de frameworks na sua própria ferramenta. O catálogo é a fonte da verdade e cresce com o tempo. Leia /api/compliance/catalog e baseie-se na key do framework (soc2, hipaa, eu_ai_act, …) em vez de uma string de nome.

5. Do framework aos controles por baixo

Um framework é uma visão de controles que você também pode configurar diretamente. Se você quer entender ou ajustar o que um pack assenta — ou construir a mesma cobertura à mão — as referências profundas são:

Guardrails

A referência do plano de conteúdo — entidades de PII e PHI, segredos, saída insegura, e as ações block / mask / flag que um pack usa.

Agent Firewall

A referência do plano de ação — regras de tool, MCP e egress e os vereditos audit / deny / sanitize por trás da política de firewall de um pack.

O que um pack contém

Os objetos exatos de guardrail e firewall que cada framework materializa.

Matriz de controles

Cada controle mapeado entre frameworks em uma única grade.

6. Páginas por framework

Os frameworks com sua própria página dedicada:

SOC 2

HIPAA

GDPR

EU AI Act

ISO 27001

ISO 42001

NIST AI RMF

OWASP LLM Top 10

PCI DSS

CCPA

7. Onde isto se encaixa

Observe vs enforce

Faça cada pack cair em observe mode primeiro; leia o sinal antes do go-live.

Relatório assinado

Como um relatório é hasheado e assinado, e o que um auditor verifica.

Responsabilidade compartilhada

O que o gateway protege versus o que continua sendo seu — a fronteira honesta por trás de qualquer afirmação de framework.

Modos de enforcement

Observe, audit e enforce — o vocabulário compartilhado por trás do go-live.
O catálogo cresce, mas a forma nunca muda: escolha um framework, instale seu pack, observe o que ele captura, vá ao ar e entregue ao seu auditor um relatório assinado mapeado cláusula-por-cláusula para controles que seu tráfego de fato cruzou.