Перейти к основному содержанию
Вы выбираете фреймворк не для того, чтобы прочитать маркетинговый чек-лист. Вы выбираете его, чтобы доказать — аудитору, клиенту, регулятору — что контроль, который он требует, реально работает на пути, который используют ваши агенты. OrcaRouter поставляет каталог фреймворков как устанавливаемые пакеты, и каждый фреймворк в этом каталоге сопоставляется той же машинерии guardrail и firewall, на которой работает остальная часть вашего рабочего пространства, плюс подписанный отчёт, который снимает снимок того, что было поймано. Эта страница перечисляет реальный реестр фреймворков и показывает, как каждый превращается в доказательства. По поводу дуги установка-и-выход-в-live начните с Обзора комплаенса.

1. Фреймворки ai-комплаенса в каталоге

Каталог — это живой реестр — просмотрите его под Compliance → Catalog, а не хардкодьте число, поскольку пакеты добавляются со временем. На момент написания он охватывает общие стандарты безопасности и AI-управления, отраслевые режимы и широкий набор региональных законов о приватности. Консоль группирует их в пять вкладок категорий: ai, privacy, security, financial и healthcare.
eu_ai_act · nist_ai_rmf · iso_42001 · owasp_llm · colorado_ai. OWASP LLM Top 10 поставляется как реальный устанавливаемый пакет (owasp_llm), а не только представление сопоставления контролей — см. OWASP LLM Top 10.
soc2 · iso_27001 · nist_800_53 · cmmc. Общие стандарты доверия и информационной безопасности, сопоставленные плоскостям содержимого и действий.
pci_dss · glba · dora_eu. Платёжные, банковские и операционно-устойчивые режимы — маскировка PAN, гигиена секретов, контроли опасных инструментов и доказательства egress.
hipaa · hitrust. Редактирование PHI, де-идентификация и egress-защиты безопасности передачи.
gdpr · uk_gdpr · ccpa · china_pipl · appi_jp · pipa_kr · lgpd_br · pipeda_ca · dpdp_in · privacy_au · pdpa_sg · vcdpa_va · cpa_co · ctdpa_ct · ucpa_ut · tdpsa_tx · ferpa · coppa. Каждый несёт минимизацию данных, обработку особых категорий и контроли записи обработки, настроенные под юрисдикцию.
Каждый пакет несёт дату вступления в силу и месяц, когда его сопоставление контролей последний раз пересматривалось, оба поверхностируемых в каталоге и отчёте — так что аудитор может видеть, насколько актуально сопоставление, а не только что оно существует.

2. Что означает «доказательство» для фреймворка

Установка пакета материализует два реальных, редактируемых объекта в вашем рабочем пространстве, и они — то, что читает отчёт:
  • один Guardrail — контроли content-плоскости (PII, PHI, секреты, небезопасный вывод), которых фреймворк ожидает на запросах и ответах;
  • одно или более правил политики Firewall — контроли плоскости действий (какие вызовы инструментов, диспетчи MCP и адреса egress разрешены или аудируются).
Поскольку объекты реальны, доказательства фреймворка — это не само-аттестация — это живое состояние и история совпадений контролей, которые ваш трафик уже пересекает. Отчёт снимает снимок этого состояния на момент генерации по восьми секциям доказательств (coverage, enforcement, consent, change log, admin access, gaps, subprocessors и access reviews), так что артефакт остаётся самодостаточным даже после того, как логи устареют.
Секция доказательствЧто она захватывает
CoverageКакие контроли в скоупе удовлетворены установленным пакетом
EnforcementЯвляется ли каждый контроль live или всё ещё в режиме наблюдения
Change logВерсионированная история правок политик за контролями
Отчёты также снимают снимок секций consent, admin-access и gaps; см. Содержимое пакета для полной карты контролей, которые закладывает пакет.
Чек-лист фреймворка в скоупе — это объединение покрытых пакетом контролей и организационных клауз (обучение персонала, BAA, DPIA, физический доступ), которые никогда не могут быть автоматизированы шлюзом. Эти организационные пункты всегда отображаются как раскрытый ⚠ Gap с руководством — так что полнота честна, никогда молча не 100%.

3. Один конкретный поток: SOC 2

Предположим, вам нужны доказательства SOC 2. Как Admin рабочего пространства на платном плане установите пакет из консоли под Compliance → Catalog. Консоль управляет маршрутом управления за вас, используя вашу сессию (не релейный ключ): 
POST /api/compliance/packs/soc2/install
Authorization: Bearer <your console session>
Пакет soc2 материализует guardrail, который маскирует конфиденциальные PII и записывает решения guardrail, плюс правило firewall, которое аудирует каждый диспетч инструмента — сопоставленные TSC CC6.1, CC7.2. Он попадает в режим наблюдения, так что ничего из того, что делают ваши агенты, не прерывается, пока вы наблюдаете за лентами совпадений и событий. Когда ленты выглядят чисто, выйдите в live и сгенерируйте отчёт: 
POST /api/compliance/packs/soc2/golive
Отчёт выходит подписанным Ed25519 и хэшированным SHA-256, экспортируемым как CSV, JSON или PDF, и публично проверяемым — ваш аудитор подтверждает его публичным ключом OrcaRouter, аккаунт не нужен. Организационные клаузы SOC 2 (управление изменениями, оценка рисков) появляются как раскрытые пробелы с руководством, потому что они живут в вашем процессе, а не в шлюзе.
Просмотр каталога, установленных пакетов и готовности открыт каждому Member рабочего пространства и бесплатен. Только Admin, который владеет развёртыванием, нуждается в установке, go-live и резидентности — так что ваши ревьюеры аудита могут наблюдать за готовностью без доступа на запись.

4. Чтение реестра программно

Чтения каталога и готовности открыты Members, так что ревьюер или CI-задача может выгрузить текущий список фреймворков и статус по каждому контролю без доступа на запись. Консоль использует вашу сессию для этих маршрутов управления: 
GET /api/compliance/catalog      # the live framework registry
GET /api/compliance/readiness    # per-control satisfied / gap status
Не хардкодьте число или список фреймворков в свой собственный инструментарий. Каталог — это источник истины, и он растёт со временем. Читайте /api/compliance/catalog и опирайтесь на key фреймворка (soc2, hipaa, eu_ai_act, …), а не на строку имени.

5. От фреймворка к контролям под ним

Фреймворк — это представление контролей, которые вы также можете настроить напрямую. Если вы хотите понять или настроить то, что закладывает пакет — или построить то же покрытие вручную — глубокие справочники:

Guardrails

Справочник content-плоскости — сущности PII и PHI, секреты, небезопасный вывод и действия block / mask / flag, которые использует пакет.

Agent Firewall

Справочник плоскости действий — правила инструментов, MCP и egress и вердикты audit / deny / sanitize за политикой firewall пакета.

Что содержит пакет

Точные объекты guardrail и firewall, которые материализует каждый фреймворк.

Матрица контролей

Каждый контроль, сопоставленный по фреймворкам в одной сетке.

6. Страницы по фреймворкам

Фреймворки со своей собственной сфокусированной страницей:

SOC 2

HIPAA

GDPR

EU AI Act

ISO 27001

ISO 42001

NIST AI RMF

OWASP LLM Top 10

PCI DSS

CCPA

7. Куда это вписывается

Наблюдение vs применение

Сначала приземлите каждый пакет в режим наблюдения; прочитайте сигнал перед go-live.

Подписанный отчёт

Как отчёт хэшируется и подписывается, и что проверяет аудитор.

Разделённая ответственность

Что защищает шлюз и что остаётся вашим — честная граница за любой претензией фреймворка.

Режимы применения

Observe, audit и enforce — общий словарь за go-live.
Каталог растёт, но форма никогда не меняется: выберите фреймворк, установите его пакет, понаблюдайте, что он ловит, выйдите в live и передайте аудитору подписанный отчёт, сопоставленный клауза-за-клаузой контролям, которые ваш трафик реально пересёк.