Saltar para o conteúdo principal
Quando um auditor pergunta como o seu gateway de IA aplica um Trust Services Criterion, capturas de tela de um dashboard não bastam. Esta receita transforma os controles que você já roda no OrcaRouter em evidência SOC 2 de IA que auditores podem verificar de forma independente: instale o pack SOC 2, observe-o em observe mode, vire para enforce, depois exporte um relatório de prontidão criptograficamente assinado e compartilhe um link somente leitura. Tudo abaixo é configuração de workspace no console — sua app continua chamando /v1/chat/completions sem alteração.
Navegar pelo catálogo e ler a prontidão estão abertos a qualquer Member e são gratuitos. Instalar um pack, gerar um relatório, ir ao ar e definir residência são ações de Admin do workspace e exigem um plano pago — o gateway aplica ambos do lado do servidor. As rotas de gerenciamento de compliance sob /api/compliance/* usam a sua sessão de console, não uma chave de relay.

1. O fluxo de evidência SOC 2 de IA em quatro movimentos

Uma trilha de evidência SOC 2 no OrcaRouter são quatro passos que você roda uma vez, depois reexecuta o relatório sempre que o auditor quiser um snapshot novo:

Instale o pack

O pack soc2 materializa um guardrail e uma política de firewall mapeados para os Trust Services Criteria — instalado em modo observe primeiro.

Observe, depois aplique enforcement

O observe reúne evidência de “teria-bloqueado” com zero raio de explosão; o go-live vira os mesmos controles para enforcing.

Gere um relatório assinado

Exporte um relatório de prontidão assinado com Ed25519 e com hash SHA-256 como PDF, JSON ou CSV.

Compartilhe com o auditor

Entregue um link de compartilhamento somente leitura; o auditor verifica a assinatura contra a chave pública do OrcaRouter — sem conta necessária.
O resto desta página percorre os quatro com um exemplo concreto de SOC 2.

2. Instale o pack SOC 2

Abra Compliance no console e navegue pelo catálogo (GET /api/compliance/catalog, Member). O pack soc2 mapeia para os AICPA SOC 2 Trust Services Criteria. Seus controles aplicados pelo gateway são tratamento de dados confidenciais (TSC CC6.1), monitoramento de sistema (TSC CC7.2) e uma trilha de auditoria de chamadas de ferramenta (TSC CC7.2). Instale-o (Admin do workspace, plano pago): 
POST /api/compliance/packs/soc2/install
Instalar materializa dois objetos de enforcement em uma transação atômica:
  • um guardrail de workspace — o plano de política de conteúdo (PII, segredos e o resto dos critérios que filtram texto de requisição/resposta), e
  • uma política de firewall de workspace — o plano de ação (chamadas de ferramenta, dispatches de MCP e egress que mapeiam para critérios de acesso e gestão de mudanças).
O pack chega em modo observe por padrão. No observe, as ações de guardrail são coagidas para flag e a política de firewall roda em shadow — cada controle registra o que teria feito sem tocar em uma única requisição ao vivo. Esse é o seu primeiro lote de evidência.
Algumas cláusulas dos Trust Services são organizacionais — treinamento de pessoal, acordos com fornecedores — e um gateway não pode aplicá-las. O relatório as divulga honestamente como gaps em vez de reivindicar uma cobertura que não pode produzir. Veja modos de enforcement para como observe, shadow e enforce diferem.

3. Leia sua prontidão ao vivo

Com o pack instalado, Compliance → Readiness (GET /api/compliance/readiness, Member) mostra sua postura por framework: quantos controles estão enforcing, quantos ainda estão em observe e quantos permanecem gaps. Cada cláusula mapeia para o controle de guardrail ou firewall que a satisfaz, com um estado de cobertura no qual você pode aprofundar.
Rode uma semana em observe antes de aplicar enforcement. A visão de readiness mais o feed de Matches do guardrail e o feed de Events do firewall dizem exatamente o que teria sido bloqueado — então você ajusta falsos positivos antes que qualquer requisição real seja governada.

4. Vire de observe para enforce

Assim que a evidência de teria-bloqueado parecer limpa, leve o pack ao ar (Admin): 
POST /api/compliance/packs/soc2/golive
O go-live restaura as ações declaradas do guardrail (flag vira block/mask conforme projetado) e tira a política de firewall do shadow mode, então os mesmos controles agora aplicam enforcement no caminho de relay. Opcionalmente promova o guardrail do pack para o padrão do workspace na mesma chamada, para que cada chave o herde.
Enforce é uma mudança real de postura: um prompt bloqueado agora retorna HTTP 400 guardrail_blocked e uma chamada de ferramenta negada retorna HTTP 400 firewall_blocked. Um block custa nenhuma cota — blocks de input são pré-medição e blocks de output são reembolsados — mas ele vai parar tráfego que viola um controle. Esse é o ponto; apenas confirme sua evidência de observe primeiro.

5. Gere um relatório assinado

Este é o artefato que você entrega ao auditor. Gere-o (Admin): 
POST /api/compliance/reports
{
  "framework": "soc2",
  "format": "pdf"
}
format é um entre pdf, json ou csv. Todo relatório é assinado com Ed25519 sobre o hash de evidência canônico e carrega um hash de conteúdo SHA-256, então é à prova de adulteração e verificável de forma independente — o auditor não precisa confiar na sua captura de tela, ele verifica a assinatura.
A matriz de cobertura de cada framework instalado: cláusula → controle → estado (enforcing / observe / gap), mais a evidência de teria-bloqueado capturada durante o observe. Cláusulas organizacionais são listadas como gaps divulgados, não silenciosamente descartadas.
A assinatura vincula o hash de evidência do relatório à chave de assinatura do OrcaRouter. Qualquer um — incluindo um auditor sem conta OrcaRouter — pode confirmar que o relatório não foi alterado após a geração verificando-o contra a chave pública.

6. Compartilhe-o com o seu auditor

Crie um link de compartilhamento somente leitura para o relatório (Admin): 
POST /api/compliance/reports/:id/share
O auditor abre o endpoint público de compartilhamento — sem login: 
GET /api/public/compliance/share/:token
Ele então verifica a assinatura por conta própria contra a chave publicada do OrcaRouter:
EndpointPropósito
GET /api/public/compliance/pubkeyBusca a chave pública Ed25519.
POST /api/public/compliance/verifyConfirma a assinatura + hash de um relatório.
Um link de compartilhamento é revogável. Emita um por engajamento de auditoria e revogue-o (DELETE /api/compliance/share/:shareId, Admin) quando o engajamento fechar — o próprio relatório permanece no histórico do seu workspace.

7. Fixe onde o relatório vive

Auditores e reguladores frequentemente se importam com onde a evidência é armazenada. Defina a região à qual os artefatos de relatório de compliance são fixados (us, eu, uk, ap, cn, global) via PUT /api/compliance/residency (Admin). Leituras cross-region de um relatório são retidas.
A residência fixa apenas a região do artefato de relatório — não é geo-fixação de dados de inferência. Ela controla onde a sua evidência assinada vive, não para onde as requisições são roteadas.

8. Verifique antes da auditoria

Prove que a trilha é real antes que alguém a revise:
1

Confirme a cobertura

Abra Readiness e confirme que os controles SOC 2 que você espera mostram enforcing, não observe, sem gaps surpresa.
2

Faça o round-trip da assinatura

Gere um relatório, depois POST /api/public/compliance/verify contra a chave pública — confirme que ele valida antes de compartilhar.
3

Abra o link de compartilhamento deslogado

Acesse GET /api/public/compliance/share/:token em uma sessão de navegador limpa para ver exatamente o que o seu auditor verá.

Relacionado

Referência de Guardrails

O plano de política de conteúdo que o pack SOC 2 materializa.

Referência de Firewall

O plano de ação por trás dos controles de acesso e mudança do pack.

Modos de enforcement

Como observe, shadow e enforce diferem — e por que observe primeiro.

Deploy HIPAA

O mesmo fluxo de pack-e-relatório para um framework de saúde.

Logging seguro de PII

Mantenha PII bruta fora dos logs de onde sua evidência é extraída.

Checklist de go-live

Ative o zero trust antes de virar os controles para enforce.