Chuyển đến nội dung chính
Khi một auditor yêu cầu bằng chứng, họ không muốn một lần đăng nhập dashboard — họ muốn một file. OrcaRouter cho phép một Admin workspace sinh một báo cáo compliance ở CSV, JSON, hoặc PDF, trong đó CSV là một luồng hàng phẳng, gắn tag theo phần mà bất kỳ auditor nào cũng có thể mở trong một bảng tính, sắp xếp, và grep. Một file mang coverage, số đếm enforcement, consent, lịch sử thay đổi, và admin access cho một framework đơn lẻ trong một kỳ đã chọn. Trang này bao quát cụ thể bản xuất bằng chứng CSV: ai có thể sinh nó, các cột có nghĩa gì, và nó buộc ngược về báo cáo có chữ ký, xác minh được thế nào. Về luồng catalog-tới-go-live rộng hơn, hãy bắt đầu tại tổng quan compliance.

1. Vì sao xuất bằng chứng ai audit dưới dạng CSV

Một PDF có chữ ký là artifact bạn trao cho một reviewer; một CSV là artifact mà một reviewer thực sự làm việc trong đó. Cùng gói bằng chứng render thành cả hai — CSV chỉ làm phẳng mọi phần thành một bảng cố định để một auditor có thể lọc theo section, sắp xếp theo at_utc, hoặc grep một control id mà không cần mở console của bạn.

PDF

Artifact trình bày được. PDF đầu tiên miễn phí để demo trên mọi gói.

CSV

Bảng phẳng, gắn tag theo phần mà một auditor mở trong một bảng tính. Trả phí.

JSON

Cùng bằng chứng dưới dạng bản ghi có cấu trúc cho pipeline của riêng bạn. Trả phí.
Mọi định dạng được xây từ cùng gói bằng chứngcùng hash nội dung — CSV là một bản render, không phải một báo cáo khác. Đổi định dạng không thay đổi những gì bằng chứng nói, chỉ thay đổi cách nó đọc.

2. Ai có thể xuất, và nó tốn gì

Duyệt và đọc tư thế readiness của bạn là miễn phí cho mọi thành viên. Sinh một báo cáo là một hành động Admin: gói miễn phí bao gồm một báo cáo PDF, trong khi xuất CSV/JSON và các báo cáo bổ sung yêu cầu một gói trả phí. Việc kiểm tra được thực thi ở phía server, nên một cuộc gọi API trực tiếp không thể bỏ qua nó.
Hành độngVai tròGói
Duyệt catalog / readinessMemberMiễn phí
Sinh PDF đầu tiênAdminMiễn phí
Sinh CSV / JSONAdminTrả phí
Các gói miễn phí bao gồm một báo cáo PDF để demo artifact. Xuất CSV và JSON, cộng bất kỳ báo cáo bổ sung nào, yêu cầu một gói trả phí — server trả về một lời nhắc nâng cấp ngược lại, bất kể cuộc gọi được thực hiện thế nào. Xem phân tầng theo gói để biết bản đồ miễn-phí/trả-phí đầy đủ.

3. Một lần xuất cụ thể

Bản xuất là một luồng hai-cuộc-gọi từ console: một Admin sinh báo cáo (bất đồng bộ — nó trả về pending ngay lập tức), rồi tải xuống artifact một khi nó ready. Cả hai route dùng session console của bạn (UserAuth), không phải một relay key.
1

Sinh báo cáo dưới dạng CSV (Admin, trả phí)

Chọn một framework và một kỳ, chọn CSV, và sinh. Báo cáo được xếp hàng và render ở phía server từ dữ liệu thực thi thực của bạn cho cửa sổ đó.
# Session-authenticated (UserAuth), Admin + paid plan. Driven from the console.
POST /api/compliance/reports
{
  "framework": "soc2",
  "format": "csv",
  "period_start": 1717200000,
  "period_end": 1719792000
}
PII (email của thành viên và actor) được mask theo mặc định trong mọi bản xuất. Chỉ chọn tham gia email không che giấu khi auditor của bạn yêu cầu nó — riêng tư là mặc định, không phải ngoại lệ.
2

Tải xuống artifact (Admin)

Một khi báo cáo ready, hãy tải xuống nó. File stream với một header attachment nên nó đáp xuống như một .csv sẵn sàng để mở trong một bảng tính.
GET /api/compliance/reports/{id}/download
# → text/csv attachment
Một báo cáo được đóng dấu với khu vực data-residency của workspace bạn tại thời điểm sinh. Nếu sau đó bạn đổi khu vực, artifact cũ bị giữ lại và bạn phải sinh lại nó — các lần đọc xuyên khu vực không được phục vụ.

4. CSV chứa gì

CSV là một bảng mạch lạc: một header bảy-cột cố định, và một tag section trên mỗi hàng để một file đơn lẻ mang tất cả các phần của nó. Thứ tự hàng là tất định — hai lần render của cùng bằng chứng tạo ra CSV giống hệt từng byte. 
section, id, name, clause_or_action, status_or_value, detail, at_utc
Framework, khu vực pháp lý, kỳ báo cáo, ai đã ánh xạ các control, một lời từ chối, và khu vực data-residency đã đóng dấu.
Một hàng mỗi control đã ánh xạ: id, tên, điều khoản, trạng thái, và mặt phẳng (guardrails hoặc firewall) thực thi nó.
Tổng theo kỳ: vi phạm guardrail, và số đếm firewall allowed / blocked / audited — bản ghi thực thi thực, không phải một tuyên bố.
Các thay đổi phiên bản guardrail (operation + tác giả) và các thay đổi audit-log, mỗi cái có timestamp — lịch sử chống-giả-mạo của các chỉnh sửa chính sách của bạn.
Actor admin, hành động, và tài nguyên được chạm tới — dấu vết truy-cập-đặc- quyền mà các auditor tìm kiếm.
Các control không có coverage, gắn tag gateway-enforceable hoặc organizational để bạn biết khoảng trống nào bạn đóng bằng chính sách so với bằng quy trình.
Các subprocessor AI của bạn, một access review của các key (status + expiry), và danh sách admin user.
Mọi ô văn bản tự do được vô hiệu hóa đối với formula injection của bảng tính — một giá trị bắt đầu bằng =, +, -, hoặc @ được thêm tiền tố một dấu nháy nguyên văn để mở file không bao giờ thực thi một payload cưỡi vào trên một chuỗi con đã khớp.

5. CSV là bằng chứng có chữ ký, không phải một bảng tính rời rạc

Một báo cáo compliance — ở bất kỳ định dạng nào — được ký Ed25519 và mang một hash nội dung SHA-256 trên bằng chứng chuẩn tắc của nó. Điều đó khiến artifact xác minh được công khai: bất kỳ ai bạn trao nó cho đều có thể xác nhận nó đến từ workspace của bạn và chưa bị thay đổi, không cần một tài khoản OrcaRouter.

Xác minh một báo cáo

Cách một người nhận kiểm tra chữ ký đối với khóa công khai — không cần đăng nhập.

Báo cáo có chữ ký

Những gì được ký, hash nội dung, và liên kết chia sẻ auditor.
Cần gửi bằng chứng cho một auditor bên ngoài mà không xuất một file chút nào? Hãy phát hành một liên kết chia sẻ auditor giới hạn thời gian thay thế — nó phục vụ cùng báo cáo có chữ ký chỉ-đọc. Xem báo cáo có chữ ký.

6. Xuất các match guardrail thô

CSV compliance là bằng chứng đã được tuyển chọn, ánh xạ theo framework. Nếu một auditor muốn feed match thô — mọi lần guardrail trúng riêng lẻ đằng sau các số đếm — bạn có thể stream nó ra riêng dưới dạng CSV hoặc JSON, lọc theo chế độ xem hiện tại của bạn. 
# Session-authenticated (UserAuth). Streams your filtered matches as CSV.
GET /api/guardrail/match/export?format=csv
Mỗi hàng là một match: thời gian, guardrail, loại quy tắc và nhãn, stage, hành động, mô hình, token, chi tiết, chuỗi con đã khớp, request id, và IP. Các bản xuất bị giới hạn theo từng request và chuỗi con đã khớp chỉ xuất hiện khi Log raw content được bật trên guardrail (tắt theo mặc định).
Bản xuất này là bằng chứng vận hành một-hàng-mỗi-match, không phải một artifact compliance có chữ ký. Về bằng chứng có chữ ký, ánh xạ theo framework, hãy sinh một báo cáo compliance (Phần 3). Về những gì nuôi các bản ghi match, xem Guardrails.

7. Đi đâu tiếp theo

Cài đặt một pack

Hiện thực hóa các quy tắc guardrail và firewall của một framework trước khi bạn báo cáo về chúng.

Phân tầng theo gói

Chính xác những hành động compliance nào miễn phí so với trả phí và giới hạn Admin.

Data residency

Khu vực mà bằng chứng của một báo cáo được đóng dấu và phục vụ.

Frameworks

Những framework nào bạn có thể sinh bằng chứng cho.
CSV là định dạng mà các auditor sống trong đó. Hãy sinh một cái với tư cách Admin, trao đi một file có chữ ký, xác minh được, và để họ grep bằng chứng theo điều kiện của riêng họ.