Saltar para o conteúdo principal
Quando um auditor pede “prove que esses controles foram de fato aplicados”, um screenshot do seu console não sobrevive ao escrutínio — ele não é assinado, é seu, e é editável. O OrcaRouter gera um relatório de compliance assinado: um pack de evidência autocontido tirado como snapshot dos seus controles ao vivo do gateway, hasheado com SHA256 e assinado com Ed25519 de modo que qualquer pessoa que detenha o relatório possa verificar que ele foi produzido pelo OrcaRouter e não foi alterado desde então. Esta página percorre o caso de uso de ponta a ponta — gere o relatório, entregue-o e deixe o auditor verificá-lo independentemente. Para o catálogo de frameworks e o que cada pack mapeia, veja Frameworks e Conteúdo do pack.

1. O que o relatório de compliance de IA assinado contém

Um relatório é gerado por framework sobre uma janela de tempo que você escolhe, e tira snapshot de oito seções de evidência no momento da geração para que o artefato permaneça válido mesmo depois que os logs subjacentes expiram sob a sua política de retenção.
Cada relatório cobre as mesmas seções ordenadas para que dois relatórios sejam comparáveis:
  • Coverage — para quais controles de framework seus packs instalados mapeiam, cada um marcado covered / observe / gap / attested.
  • Enforcement — as correspondências de guardrail e os vereditos de firewall (allowed / blocked / audited) de fato registrados na janela.
  • Consent — estado de consentimento registrado para o período, classificado valid / stale / revoked / none.
  • Change log — histórico de guardrail e linhas de auditoria do workspace sobre a janela.
  • Admin access — quem teve admin e quais ações privilegiadas rodaram.
  • Gaps — controles não cobertos, incluindo cláusulas organizacionais (pessoas/processo) que nunca podem ser automatizadas pelo gateway. O relatório as divulga como gaps honestos em vez de implicar 100% de compliance automatizado.
  • AI supply chain — os provedores upstream (subprocessadores) e modelos alcançáveis pelo workspace, para evidenciar contra seus DPAs.
  • Access reviews — as chaves de API do workspace e a lista de membros privilegiados para higiene de rotação de chaves.
O JSON canônico de evidência é hasheado com SHA256 (hex minúsculo). Esse hash de conteúdo é assinado com Ed25519, e a assinatura mais um id curto de chave (ex.: orca-…) são embutidos no artefato. Mude um byte de evidência e o hash não mais corresponde; forje o hash e a assinatura não mais verifica contra a chave pública do OrcaRouter.
  • PDF — a entrega legível por humano para o auditor, com a assinatura e o id da chave impressos nela.
  • JSON — o export de evidência legível por máquina. (A assinatura é computada sobre uma forma canônica da evidência, não sobre os bytes brutos do arquivo, então verifique-a através do endpoint público de verify em vez de re-hashear o artefato você mesmo — veja Verifique um relatório.)
  • CSV — export tabular plano para planilhas e ferramentas de GRC.
Por padrão, os emails de membro e de ator são mascarados em cada export. Opte por PII não redigida explicitamente por relatório quando seu auditor precisar.
Os relatórios são region-stamped. Cada artefato é armazenado e servido sob a região de residência de dados declarada do seu workspace (us / eu / uk / ap / cn / global); um relatório produzido para uma região não é servido sob outra. Defina a residência antes de gerar se isso importa para suas obrigações.

2. Quem pode gerar um

Navegar pelo catálogo de frameworks, pelos packs instalados e pela prontidão é aberto a todo membro do workspace e é gratuito. Gerar um relatório exige Admin do workspace, e o export é plan-gated:
  • O plano gratuito inclui um PDF, então você pode demonstrar o artefato.
  • O export CSV / JSON e relatórios adicionais exigem um plano pago.
Ambas as regras são aplicadas no servidor — não há contorno apenas pelo cliente.
Gere a partir do console: abra Compliance → Reports, escolha o framework e a janela de tempo, escolha um formato e clique em gerar. A geração é assíncrona — a linha do relatório aparece como pending, caminha para generating e chega a ready (ou failed, sem artefato parcial). Tudo isso roda contra as rotas /api/compliance/* sob a sua sessão de console — nenhuma chave de relay (sk-orca-…) está envolvida.

3. Um passo a passo concreto

Um auditor de SOC 2 quer evidência de enforcement para o Q1. O fluxo:
1

Instale o framework (uma vez)

Como Admin em um plano pago, instale o pack SOC 2 a partir de Compliance → Frameworks. Instalar materializa os guardrails e políticas de firewall que mapeiam para os controles do framework. Veja Instale um pack.
2

Gere o relatório

Em Compliance → Reports, selecione soc2, defina o período para a sua janela do Q1, escolha PDF e gere. Aguarde a linha chegar a ready, depois baixe.
3

Entregue ao auditor

Envie a ele o PDF (ou cunhe um link de compartilhamento somente-leitura para o auditor para que ele mesmo possa puxá-lo). A assinatura e o id da chave estão impressos no relatório.
4

Ele o verifica independentemente

O auditor nunca precisa confiar no seu console. Ele re-hasheia a evidência, busca a chave pública do OrcaRouter e verifica a assinatura — tudo contra endpoints públicos e não autenticados (próxima seção).

4. Como um auditor o verifica

A verificação não precisa de conta nem de chave de relay — ela roda contra dois endpoints públicos em api.orcarouter.ai. Primeiro, busque a chave pública ativa: 
curl https://api.orcarouter.ai/api/public/compliance/pubkey
# => { "algo": "ed25519", "key_id": "orca-…", "public_key": "<base64>" }
Depois, submeta o hash de conteúdo, a assinatura e o id da chave do relatório: 
curl -X POST https://api.orcarouter.ai/api/public/compliance/verify \
  -H "Content-Type: application/json" \
  -d '{
    "content_hash": "<sha256-hex from the report>",
    "signature":    "<base64 Ed25519 signature>",
    "sig_key_id":   "orca-…"
  }'
# => { "valid": true, "key_id": "orca-…" }
Um valid: true significa que o hash de evidência foi assinado pelo OrcaRouter e não mudou desde então. Um auditor que prefere não chamar nosso endpoint de jeito nenhum pode pegar a chave pública Ed25519 publicada e verificar a assinatura sobre o hash com qualquer biblioteca de cripto padrão — o relatório é verificável offline.
Prefere não enviar o PDF como anexo? Cunhe um link de compartilhamento somente-leitura para o auditor — uma URL tokenizada que serve o relatório (e sua assinatura) diretamente, sem login. Veja Exporte evidência.

5. Onde isto se encaixa

O relatório assinado é o artefato no fim do fluxo de compliance. As peças ao seu redor:

Frameworks

O catálogo completo — SOC 2, HIPAA, GDPR, EU AI Act, ISO 27001/42001, NIST AI RMF, PCI DSS, OWASP LLM Top 10 e o conjunto regional.

Instale um pack

Materialize os guardrails e políticas de firewall de um framework antes de relatar sobre ele.

Residência de dados

Carimbe e fixe a região sob a qual seu relatório assinado é armazenado e servido.

Verifique um relatório

O fluxo de verificação em profundidade — chave pública, hash e checagens offline.
A evidência dentro do relatório vem dos controles que você configurou. Para fortalecer o que é relatado, ajuste seus Guardrails e Firewall, e revise a fronteira do que o gateway pode e não pode atestar em Responsabilidade compartilhada.