Saltar para o conteúdo principal
Você está montando um sistema de gestão de IA (AIMS) e seu avaliador quer ver que as cláusulas de segurança, transparência e monitoramento da ISO/IEC 42001 são respaldadas por controles que de fato rodam — não uma pasta de intenções. Em um gateway hospedado, a resposta honesta é que as cláusulas de ciclo de vida mapeiam para controles no caminho da requisição, enquanto as cláusulas de liderança e avaliação de impacto continuam organizacionais e devem ser divulgadas como gaps. Esta página é o passo a passo de iso 42001: quais cláusulas o pack ISO/IEC 42001 materializa, os controles que ele escreve no seu workspace, e como a evidência resultante é assinada. Para o fluxo de instalação e o formato do relatório em profundidade, siga os links no final — este é o mapa específico da ISO 42001, não a referência completa de Compliance.

1. O que o pack iso 42001 controla

O pack ISO/IEC 42001 mapeia as cláusulas do AIMS para controles que rodam em cada requisição que cruza o gateway. Três cláusulas mapeiam para enforcement ao vivo; duas são organizacionais e são divulgadas como gaps em vez de afirmadas.
Cláusula do AIMSPlanoControle
A.6 Ciclo de vida do sistema de IAguardrailbloquear tentativas de jailbreak contra o sistema de IA
A.8 Informação para partes interessadasguardrailsinalizar aconselhamento jurídico/financeiro definitivo na saída
A.9 Uso de sistemas de IAguardrailregistrar cada decisão de guardrail como evidência
A Cláusula 5 Liderança & política de IA e a A.5 Avaliação de impacto do sistema de IA são cláusulas de pessoas-e-processo. Um gateway não pode aplicá-las, então o pack as exibe como gaps divulgados (ou linhas owner-attested) tanto no console quanto no relatório — nunca como cobertura automatizada. Divulgar o que um proxy não pode fazer é o que torna o resto da evidência confiável. Veja a matriz de controles.
Todos os três controles ao vivo são regras comuns de Guardrails — a mesma maquinaria que você autora à mão. O pack é o mapeamento autorado que diz qual controle existente satisfaz qual cláusula do AIMS; ele não traz nenhum novo motor de runtime. Veja Conteúdo do pack para a anatomia completa.

2. Instale o pack iso 42001 — um exemplo concreto

Instalar materializa o mapeamento em política de guardrail no seu workspace, cada controle marcado com a proveniência do pack. Você faz isso a partir do console, não de uma chave de relay: Compliance → Catalog → ISO/IEC 42001 → Install Essa é uma ação de Admin do workspace em um plano pago, e o servidor aplica ambos. Por baixo dos panos a sua sessão de console chama: 
POST /api/compliance/packs/iso_42001/install
Nunca entregue uma chave de relay sk-orca-… a uma rota de configuração. As rotas /api/compliance/* autenticam com a sua sessão de console, não com a chave de relay — apenas as chamadas de modelo /v1/* usam sk-orca-…. Navegar pelo catálogo, pelos packs instalados e pela prontidão é gratuito e aberto a todo membro do workspace; install, go-live, report e residência são as ações gated de Admin.
Após a instalação, as cláusulas do AIMS deixam de ser prosa:
Uma regra de guardrail regex na requisição que bloqueia tentativas comuns de jailbreak e role-play (“do anything now”, “developer mode”, “ignore previous instructions”) antes que cheguem ao modelo — a evidência de que o ciclo de vida do seu sistema de IA tem um controle de segurança no lado do input.
Uma regra de guardrail regex que sinaliza saída que dá aconselhamento jurídico/financeiro definitivo (“you are entitled to damages”, “guaranteed return”). Ela anota em vez de bloquear, de modo que as chamadas sinalizadas vão para revisão da equipe — o controle de transparência-aos-usuários para suas partes interessadas.
Uma regra pii apenas-flag que registra cada decisão de guardrail como evidência de sistema de gestão sem bloquear ou modificar o tráfego — a trilha de monitoramento que um avaliador lê para “uso de sistemas de IA”.
Cada uma destas é uma regra real que você pode abrir, ler e ajustar como qualquer outro guardrail. Nenhuma é uma caixa-preta.

3. Observe primeiro, depois vá ao ar

Uma instalação ISO 42001 não começa a bloquear tráfego no primeiro dia. As instalações caem em observe mode: as ações de guardrail aplicadoras são forçadas para flag, de modo que você coleta evidência de “would-have-blocked” contra o tráfego real antes de qualquer coisa aplicar. Os controles A.8 e A.9 já são apenas-flag, então seu comportamento é inalterado; a guarda de segurança A.6 é a que segura seu veredito de block até o go-live. Quando a evidência parece certa, um Admin do workspace promove o pack para go-live, que restaura as ações declaradas — a guarda de jailbreak A.6 começa a bloquear — e, opcionalmente, promove a política materializada para padrão do workspace. Esta é a mesma disciplina descrita em Observe vs enforce.
ISO 42001 é um padrão de sistema de gestão de IA, então a evidência de monitoramento importa tanto quanto o bloqueio. Rode o pack em observe por um período de revisão, observe o feed de correspondências de Guardrails, depois vá ao ar nas superfícies onde a evidência o suporta.

4. Evidência assinada para o seu AIMS

O ponto do pack é o relatório. A evidência ISO 42001 é gerada como um relatório assinado com Ed25519 com um hash de conteúdo SHA256, exportável como CSV, JSON ou PDF, e verificável publicamente — seu avaliador verifica a assinatura sem um login OrcaRouter.
Cada linha do AIMS carrega seu status — covered, observe, gap ou attested — e quantas vezes o controle de fato disparou sobre o período. Uma guarda de segurança A.6 que bloqueou tentativas reais de jailbreak lê diferente para um avaliador do que uma com zero correspondências, e o relatório mostra ambas.
Cada controle materializado registra seu control_id (ex.: iso42001.safety), a cláusula literal (ISO/IEC 42001 A.6 AI system lifecycle), o plano e o id do objeto de política ao vivo que o aplica — de modo que o avaliador percorre cláusula → controle → política que a aplica → correspondências, sem nenhum passo inferido.
Busque a chave pública de assinatura em GET /api/public/compliance/pubkey, submeta o relatório a POST /api/public/compliance/verify, ou abra um link de compartilhamento com escopo para o avaliador em GET /api/public/compliance/share/:token. Nenhuma conta necessária.
Veja o relatório assinado para o layout completo e Verifique um relatório para o passo a passo de verificação.

5. Carimbe por região sua evidência ISO 42001

Os relatórios ISO 42001 são armazenados e servidos sob a sua região de residência declarada — us / eu / uk / ap / cn / global — e um relatório só é servido sob uma região correspondente; as leituras cross-region são retidas. Um Admin do workspace a define via PUT /api/compliance/residency.
A residência aqui é a região do artefato de evidência — onde os relatórios assinados residem e são servidos. Não é a geo-fixação de dados de inferência. Veja Residência de dados e Cross-region para a fronteira.
Os logs de requisição têm padrão de retenção de 30 dias (server-clamped a um máx rígido de 180 dias), e uma exclusão de usuário roda uma janela de carência de 30 dias e depois um scrub de PII — ambos relevantes quando um avaliador pergunta sobre sua postura de retenção. Veja Retenção e Direito ao apagamento.

6. Para onde ir a seguir

Conteúdo do pack

A anatomia completa de um pack — planos, status e proveniência.

Instale um pack

O fluxo de instalação de ponta a ponta, observe mode e go-live.

NIST AI RMF

O outro framework de governança de IA — GOVERN, MAP, MEASURE, MANAGE.

EU AI Act

O framework regulatório de IA e seus tiers de risco.

Frameworks

O catálogo completo — SOC 2, HIPAA, GDPR, ISO 27001 e mais.

Guardrails

A referência da camada de conteúdo para a qual os controles da ISO 42001 escrevem.
ISO 42001 em um gateway hospedado é a disciplina de um sistema de gestão de IA em miniatura: mapeie as cláusulas de ciclo de vida que um gateway pode aplicar para controles ao vivo, divulgue as cláusulas de liderança e avaliação de impacto que ele não pode, e assine a evidência para que a linha entre os dois resista a uma avaliação.