Перейти к основному содержанию
Первый вопрос аудитора никогда не «есть ли у вас политика?» — это «покажите мне, клауза за клаузой, какой контроль её удовлетворяет, и докажите, что он работал». Матрица контролей отвечает ровно на это: одна строка на клаузу в скоупе, плоскость, которой она сопоставлена, живой объект политики, применяющий её, и является ли этот контроль covered, всё ещё в observe, раскрытым gap, или заверенным владельцем — attested. OrcaRouter строит эту матрицу за вас из пакетов, которые вы устанавливаете — то же сопоставление, что питает подписанный отчёт, так что представление готовности и доказательства никогда не могут разойтись. Эта страница показывает, как читать и собирать матрицу контролей ai-комплаенса для вашего рабочего пространства, с одной конкретной клаузой, проведённой от начала до конца. По поводу того, что на самом деле содержит пакет, следуйте ссылкам в конце.

1. Что такое матрица контролей ai-комплаенса здесь

Матрица — это объединение двух списков на фреймворк:
  • клаузы, которые установленный пакет покрывает — каждая соединена с точной политикой guardrail или firewall, которую материализовала установка;
  • клаузы, которые никогда не могут быть автоматизированы шлюзом — обучение персонала, соглашения с бизнес-партнёрами (BAA), физический доступ — авторизованные как честные gaps, так что матрица раскрывает их, а не подразумевает ложные 100%.
Матрица — это представление, а не второй движок. Каждая покрытая строка указывает на реальное, редактируемое правило guardrail или политику firewall, которыми вы уже владеете — откройте её, прочитайте, настройте. Матрица лишь записывает, какая из них отвечает на какую клаузу.
Каждая клауза сопоставляется ровно одной из двух плоскостей:

Плоскость guardrail

Клаузы содержимого — конфиденциальные PII, секреты, обязательные раскрытия — сопоставляются правилу guardrail с действием block, mask или flag.

Плоскость firewall

Клаузы действий — избыточная автономия, опасные вызовы инструментов, egress — сопоставляются правилу firewall с вердиктом allow / audit / deny на поверхности inbound, response, mcp или egress.

2. Состояния готовности, которые может нести строка

Каждая строка матрицы несёт одно состояние. Это слова, которые читает аудитор, так что они означают ровно то, что говорят:
СостояниеЧто оно означает
coveredКонтроль пакета установлен и применяет клаузу.
observeУстановлен, но только лог — собирает доказательства would-have-blocked, ещё не применяет.
gapНи один установленный контроль не покрывает клаузу (или она организационная и не может быть покрыта).
attestedОрганизационная клауза, которую Admin заверил как владелец, а не автоматизировал.
gap — это не провал — это честность. Организационная клауза вроде обучения персонала HIPAA 45 CFR §164.308(a)(5) никогда не может быть применена прокси, так что матрица поверхностирует её как раскрытый пробел (или, как только Admin заверит владение, как attested) вместо притворства, что шлюз её покрывает.
Есть также наложение drift: если сопоставление установленного пакета отстаёт от текущей версии каталога, его строки отображаются как drift, так что вы знаете, что нужно переустановить, прежде чем полагаться на доказательства.

3. Прочитайте матрицу (один конкретный вызов)

Эндпоинт готовности возвращает всю матрицу — проценты покрытия по фреймворкам, ранжированные топ-риски за окно и одну запись coverage_rows на клаузу. Просмотр готовности открыт каждому Member рабочего пространства и бесплатен, так что ваши ревьюеры безопасности и аудита могут наблюдать за матрицей без доступа на запись. Консоль управляет этим маршрутом управления под вашей сессией — вы никогда не передаёте релейный ключ sk-orca-… маршруту комплаенса: 
GET /api/compliance/readiness?window=30d
Authorization: Bearer <your console session>
Одна покрытая строка выглядит так — клауза, плоскость, состояние и id живой политики, к которой она соединяется: 
{
  "framework": "soc2",
  "control_id": "soc2.confidentiality",
  "clause": "TSC CC6.1 Logical access controls",
  "reference": "https://www.aicpa-cima.com/resources/...",
  "plane": "guardrail",
  "state": "covered",
  "guardrail_id": 41,
  "observe_count": 0,
  "organizational": false
}
guardrail_id (или firewall_policy_id на плоскости firewall) — несущее поле: оно связывает клаузу прямо с объектом, который вы можете открыть в консоли и редактировать, как любой другой. Это происхождение, по которому проходит аудитор — клауза → id контроля → применяющая политика → совпадения, что она произвела.
Чтение матрицы — это бесплатная возможность Member. Построение её — установка пакета, чтобы его контроли наполнили строки — это действие Admin рабочего пространства на платном плане, и сервер применяет оба. Viewer или бесплатное рабочее пространство не может материализовать покрытие прямым вызовом API. См. Шлюзование по плану.

4. Соберите матрицу для ваших фреймворков

Вы строите матрицу, устанавливая пакеты. Каждая установка сливает свои контроли в один guardrail и одну политику firewall, помеченные происхождением пакета, и его клаузы начинают наполнять coverage_rows:
  1. Выберите свои фреймворки. Установка запускается из консоли под Compliance → Catalog, как Admin рабочего пространства. Каталог покрывает режимы безопасности и AI-управления (soc2, iso_27001, iso_42001, nist_ai_rmf, eu_ai_act, owasp_llm), отраслевые режимы (hipaa, pci_dss, glba, nist_800_53) и широкий набор региональных законов о приватности (gdpr, uk_gdpr, ccpa и другие). Просмотрите живой набор на Фреймворках.
  2. Установите сначала в наблюдении. Свежая установка попадает в режим наблюдения — действия guardrail приведены к flag, политика firewall в shadow — так что каждая новая строка начинается как observe и производит доказательства would-have-blocked перед применением.
  3. Наблюдайте, как наполняются строки. Перезапросите готовность за реальное окно. Покрытые строки показывают свой observe_count; пробелы остаются раскрытыми; организационные клаузы ждут заверения.
  4. Выйдите в live. Когда строки читаются чисто, Admin рабочего пространства выходит в live, и строки observe переходят в применение covered.
OWASP Top 10 для приложений LLM есть в каталоге как пакет owasp_llm — его клаузы (например, LLM05:2025 Supply Chain) попадают в матрицу так же, как клаузы любого другого фреймворка, сопоставленные живым контролям или раскрытые как пробелы. См. OWASP LLM Top 10.

5. От матрицы к подписанным доказательствам

Матрица, которую вы читаете в консоли, — это те же данные покрытия, что сериализует отчёт — так что когда вы генерируете доказательства, аудитор видит идентичные состояния по каждой клаузе, плюс счётчики применения, которые произвёл каждый контроль за период. Клауза, которая заблокировала 4000 запросов, и клауза с нулём совпадений читаются очень по-разному, и отчёт показывает обе. Отчёты хэшированы SHA-256, подписаны Ed25519 и публично проверяемы.
Точные объекты guardrail и firewall, которые материализует пакет, и как каждая клауза соединяется со своей применяющей политикой — см. Содержимое пакета.
Почему каждая строка начинается в наблюдении, что она логирует и как go-live её переключает — см. Наблюдение vs применение.
Как матрица отображается для аудитора, с состояниями по каждой клаузе и счётчиками применения — см. Подписанный отчёт.

6. Куда дальше

Установка пакета

Полный процесс установки, который наполняет матрицу — выбор контролей, режим наблюдения и go-live.

Все фреймворки

Живой каталог фреймворков, чьи клаузы вы можете встроить в матрицу.

Guardrails vs Firewall

Две плоскости, которым может сопоставляться строка матрицы, и как резолвер запускает их вместе.

Разделённая ответственность

Почему одни клаузы применимы шлюзом, а другие остаются вашими — граница, которую отражает каждая строка-пробел.
Матрица контролей — это мост между чек-листом регулятора и вашим работающим шлюзом: одна строка на клаузу, соединённая с живым контролем, применяющим её, честная в том, что прокси не может покрыть, и идентичная подписанным доказательствам, которые вы передаёте аудитору.