Saltar para o conteúdo principal
Um compliance pack é um framework — SOC 2, HIPAA, GDPR, ISO 27001, o OWASP LLM Top 10 — mapeado para os controles do gateway que o satisfazem. Quando você instala um compliance pack, o OrcaRouter não apenas marca o framework: ele materializa os controles do pack em um Guardrail real e editável (o plano de conteúdo) e uma política de Firewall real (o plano de chamada de ferramenta), marcados com a proveniência do pack para que cada enforcement, attachment e caminho de histórico existente funcione sem alteração. As instalações caem em observe mode — o guardrail sinaliza em vez de bloquear, o firewall roda em shadow — então você coleta evidência de “would-have-blocked” antes que qualquer coisa afete o tráfego ao vivo. Você o leva ao ar mais tarde, deliberadamente, a partir do console.
Navegar pelo catálogo e verificar a prontidão são gratuitos para qualquer membro do workspace. Instalar um pack é uma ação de Admin do workspace e exige um plano pago — o gateway aplica ambos no servidor, então uma chamada direta de API não pode contornar o gate.

1. O que “instalar um compliance pack” de fato faz

Uma chamada de instalação escreve três coisas atomicamente no seu workspace:
Os controles do plano de conteúdo do pack se mesclam em um guardrail nomeado — <Pack> (Compliance) (ex.: SOC 2 (Compliance)). Em observe mode cada ação (e cada ação por entidade) é forçada para flag, de modo que ela anota correspondências sem bloquear ou mascarar o tráfego real.
Os controles de chamada de ferramenta do pack se mesclam em uma política de firewall nomeada — <Pack> (Compliance — tools) (ex.: SOC 2 (Compliance — tools)) — criada com shadow_mode ligado, de modo que avalia e registra cada chamada coberta como [shadow] would … mas nunca nega.
Uma linha de compliance-pack do workspace liga as duas políticas materializadas, fixa a versão do catálogo, registra quais controles você selecionou e carimba quem o instalou — além de uma entrada de audit-log.
Como a instalação produz objetos de guardrail e firewall padrão, você pode abri-los no console depois, ler cada regra, ajustá-los e vincular a política de firewall a uma chave por firewall_policy_id — exatamente como qualquer política que você autorou à mão.

2. Instale um compliance pack a partir do console

A configuração de compliance usa a sua sessão de console (UserAuth), não uma chave de relay. Faça-o no console:
1

Abra o catálogo de compliance

Vá em Compliance no console do workspace. Navegue pelo catálogo e abra o framework de que você precisa — por exemplo SOC 2 (soc2) ou o OWASP LLM Top-10 (owasp_llm). Cada pack lista seus controles, em qual plano cada controle cai e a referência oficial.
2

Escolha controles (ou pegue todos)

Instale o framework inteiro, ou selecione um subconjunto de controles. Uma seleção vazia instala cada controle no pack.
3

Instale

Como Admin do workspace em um plano pago, clique em Install. O pack materializa em observe mode imediatamente. Reinstalar um pack já instalado é idempotente — ele retorna o registro existente, não uma duplicata.
4

Observe a evidência, depois vá ao ar

Deixe o guardrail e o firewall em shadow acumularem correspondências de would-have-blocked. Quando a postura parecer certa, leve o pack ao ar para ligar as ações declaradas e (opcionalmente) promover as políticas para padrão do seu workspace. Veja Observe vs enforce.
Instale o pack OWASP LLM Top-10 primeiro se você não tem certeza por onde começar — ele mapeia diretamente para as ameaças que esta seção de docs cobre (injeção, tratamento inseguro de saída, divulgação de informação sensível, vazamento de system-prompt e agência excessiva) e te dá uma postura concreta para observar.

3. A chamada subjacente

O console conduz um endpoint. Ele está documentado aqui para que você possa ver a forma, auditá-lo ou criar um script de um fluxo interno de provisionamento — mas o gateway exige um token de sessão de Admin do workspace e um plano pago para alcançá-lo: 
POST /api/compliance/packs/{key}/install
Authorization: Bearer <your-console-session-token>
Content-Type: application/json

{ "controls": ["owasp.llm01_injection", "owasp.llm08_excessive_agency"] }
Um corpo vazio instala todos os controles no pack: 
POST /api/compliance/packs/owasp_llm/install
A resposta é o registro de instalação — a chave do pack, a versão fixada, mode: observe, e os ids do guardrail_id e do firewall_policy_id materializados para que você possa abri-los imediatamente.
Um corpo malformado (não-vazio mas não parseável) é rejeitado, não tratado silenciosamente como “instale tudo” — de modo que um bug de serialização do cliente nunca pode silenciosamente ampliar uma instalação parcial para o framework completo. Envie JSON válido, ou não envie nada.

4. Após instalar

EntãoOnde
Veja o que há no packConteúdo do pack
Leve ao arObserve vs enforce
Gere evidência assinadaRelatório assinado
Instalar é o primeiro movimento barato e reversível: não custa tráfego ao vivo, é idempotente, e desinstalar remove ambos os planos materializados de forma limpa. O passo deliberado é ir ao ar — é onde as ações declaradas de block/mask/deny são ligadas.
Por que um plano pago para instalar e não apenas para aplicar? Materializar um framework em política editável ao vivo é o momento de valor — o gateway o gateia na instalação e novamente no go-live para que a fronteira de upgrade seja explícita, nunca um 403 surpresa no meio do rollout.

5. Relacionado

Plan gating

Exatamente quais ações de compliance são gratuitas, e quais precisam de um plano pago.

Observe vs enforce

Como o observe mode coleta evidência e o que muda no go-live.

Matriz de controles

Como cada controle de framework mapeia para os guardrails e regras de firewall do gateway.

OWASP LLM Top 10

O pack que mapeia para as ameaças de segurança de agentes nesta seção.

Referência de Guardrails

O plano de conteúdo que uma instalação materializa — regras, PII, ações.

Referência do Agent Firewall

O plano de chamada de ferramenta que uma instalação materializa — vereditos e superfícies.
Para o panorama maior de qual lado da linha você possui versus o gateway, veja Responsabilidade compartilhada; para o catálogo de frameworks, veja Frameworks.