Chuyển đến nội dung chính
Bạn không chọn một framework để đọc một danh mục kiểm tra marketing. Bạn chọn một cái để chứng minh — cho một auditor, một khách hàng, một nhà quản lý — rằng control mà nó yêu cầu thực sự đang chạy trên đường đi mà agent của bạn dùng. OrcaRouter vận chuyển một catalog các framework dưới dạng pack cài đặt được, và mọi framework trong catalog đó ánh xạ tới cùng bộ máy guardrail và firewall mà phần còn lại của workspace bạn chạy, cộng một báo cáo có chữ ký snapshot những gì được bắt. Trang này liệt kê registry framework thực và cho thấy cách mỗi cái biến thành bằng chứng. Về vòng cung cài-đặt-và-go-live, hãy bắt đầu tại Tổng quan compliance.

1. Các framework ai compliance trong catalog

Catalog là registry trực tiếp — hãy duyệt nó dưới Compliance → Catalog thay vì hard-code một số đếm, vì các pack được thêm theo thời gian. Tại thời điểm viết, nó trải dài các tiêu chuẩn bảo mật chung và quản trị AI, các chế độ theo ngành, và một tập rộng các luật riêng tư theo khu vực. Console nhóm chúng vào năm tab danh mục: ai, privacy, security, financial, và healthcare.
eu_ai_act · nist_ai_rmf · iso_42001 · owasp_llm · colorado_ai. OWASP LLM Top 10 vận chuyển dưới dạng một pack cài đặt được thực (owasp_llm), không chỉ một chế độ xem ánh-xạ-control — xem OWASP LLM Top 10.
soc2 · iso_27001 · nist_800_53 · cmmc. Các tiêu chuẩn lòng tin chung và bảo mật thông tin ánh xạ tới các mặt phẳng nội dung và hành động.
pci_dss · glba · dora_eu. Các chế độ thanh toán, ngân hàng, và khả năng phục hồi vận hành — mask PAN, vệ sinh secret, các control tool nguy hiểm, và bằng chứng egress.
hipaa · hitrust. Che giấu PHI, phi định danh hóa, và các rào chắn egress bảo mật truyền tải.
gdpr · uk_gdpr · ccpa · china_pipl · appi_jp · pipa_kr · lgpd_br · pipeda_ca · dpdp_in · privacy_au · pdpa_sg · vcdpa_va · cpa_co · ctdpa_ct · ucpa_ut · tdpsa_tx · ferpa · coppa. Mỗi cái mang các control tối-thiểu-hóa-dữ-liệu, xử lý hạng-mục-đặc-biệt, và bản-ghi-xử-lý được tinh chỉnh theo khu vực pháp lý.
Mỗi pack mang một ngày hiệu lực và tháng mà ánh xạ control của nó được xem xét lần cuối, cả hai đều hiện trên catalog và báo cáo — nên một auditor có thể thấy ánh xạ hiện hành đến đâu, không chỉ rằng nó tồn tại.

2. “Bằng chứng” nghĩa là gì cho một framework

Cài đặt một pack hiện thực hóa hai đối tượng thực, có thể chỉnh sửa trong workspace của bạn, và chúng là những gì báo cáo đọc:
  • một Guardrail — các control tầng nội dung (PII, PHI, secret, output không an toàn) mà framework mong đợi trên request và response;
  • một hoặc nhiều quy tắc chính sách Firewall — các control tầng hành động (những cuộc gọi tool, dispatch MCP, và đích đến egress nào được phép hoặc audit).
Vì các đối tượng là thực, bằng chứng của framework không phải là một self-attestation — nó là trạng thái trực tiếp và lịch sử match của các control mà traffic của bạn đã đi qua. Một báo cáo snapshot trạng thái đó tại thời điểm sinh trên tám phần bằng chứng (coverage, enforcement, consent, change log, admin access, gaps, subprocessor, và access review), nên artifact vẫn tự chứa ngay cả sau khi các log già đi.
Phần bằng chứngNó nắm bắt gì
CoverageNhững control trong phạm vi nào được thỏa mãn bởi một pack đã cài
EnforcementLiệu mỗi control là trực tiếp hay vẫn ở chế độ observe
Change logLịch sử phiên bản hóa của các chỉnh sửa chính sách đằng sau các control
Các báo cáo cũng snapshot các phần consent, admin-access, và gaps; xem Nội dung pack để biết bản đồ đầy đủ các control mà một pack đặt xuống.
Danh mục kiểm tra trong phạm vi của một framework là hợp của các control được pack bao phủ và các điều khoản tổ chức (đào tạo nhân lực, BAA, DPIA, truy cập vật lý) không bao giờ có thể được gateway tự động hóa. Các mục tổ chức đó luôn render như một ⚠ Gap được tiết lộ với hướng dẫn — nên sự đầy đủ là trung thực, không bao giờ âm thầm 100%.

3. Một luồng cụ thể: SOC 2

Giả sử bạn cần bằng chứng SOC 2. Với tư cách Admin workspace trên một gói trả phí, cài đặt pack từ console dưới Compliance → Catalog. Console điều khiển route quản lý cho bạn bằng session của bạn (không phải một relay key): 
POST /api/compliance/packs/soc2/install
Authorization: Bearer <your console session>
Pack soc2 hiện thực hóa một guardrail mask PII bí mật và ghi lại các quyết định guardrail, cộng một quy tắc firewall audit mọi dispatch tool — ánh xạ tới TSC CC6.1, CC7.2. Nó đáp xuống chế độ observe, nên không có gì agent của bạn làm bị gián đoạn trong khi bạn theo dõi các feed match và event. Khi các feed trông sạch, go-live và sinh báo cáo: 
POST /api/compliance/packs/soc2/golive
Báo cáo đi ra ký Ed25519 và hash SHA-256, xuất được dưới dạng CSV, JSON, hoặc PDF, và xác minh được công khai — auditor của bạn xác nhận nó với khóa công khai của OrcaRouter, không cần tài khoản. Các điều khoản SOC 2 tổ chức (quản lý thay đổi, đánh giá rủi ro) xuất hiện như các gap được tiết lộ với hướng dẫn, vì chúng sống trong quy trình của bạn, không phải gateway.
Duyệt catalog, các pack đã cài, và readiness mở cho mọi Member workspace và miễn phí. Chỉ Admin sở hữu việc triển khai mới cần cài đặt, go-live, và residency — nên các reviewer audit của bạn có thể theo dõi readiness mà không cần quyền ghi.

4. Đọc registry theo lập trình

Các lần đọc catalog và readiness mở cho Member, nên một reviewer hoặc một job CI có thể lấy danh sách framework hiện tại và trạng thái theo-từng-control mà không cần quyền ghi. Console dùng session của bạn cho các route quản lý này: 
GET /api/compliance/catalog      # the live framework registry
GET /api/compliance/readiness    # per-control satisfied / gap status
Đừng hard-code một số đếm hoặc danh sách framework vào tooling của riêng bạn. Catalog là nguồn sự thật và tăng lên theo thời gian. Hãy đọc /api/compliance/catalog và dựa vào key framework (soc2, hipaa, eu_ai_act, …) thay vì một chuỗi tên.

5. Từ framework tới các control bên dưới

Một framework là một chế độ xem của các control mà bạn cũng có thể cấu hình trực tiếp. Nếu bạn muốn hiểu hoặc tinh chỉnh những gì một pack đặt xuống — hoặc xây cùng coverage bằng tay — các tham chiếu chuyên sâu là:

Guardrails

Tham chiếu tầng nội dung — các thực thể PII và PHI, secret, output không an toàn, và các hành động block / mask / flag mà một pack dùng.

Agent Firewall

Tham chiếu tầng hành động — các quy tắc tool, MCP, và egress và các verdict audit / deny / sanitize đằng sau chính sách firewall của một pack.

Một pack chứa gì

Chính xác các đối tượng guardrail và firewall mà mỗi framework hiện thực hóa.

Ma trận control

Mọi control ánh xạ trên các framework trong một lưới.

6. Các trang theo từng framework

Các framework có trang chuyên biệt riêng của chúng:

SOC 2

HIPAA

GDPR

EU AI Act

ISO 27001

ISO 42001

NIST AI RMF

OWASP LLM Top 10

PCI DSS

CCPA

7. Phần này khớp vào đâu

Observe vs enforce

Đáp mọi pack ở chế độ observe trước; đọc tín hiệu trước khi go-live.

Báo cáo có chữ ký

Cách một báo cáo được hash và ký, và những gì một auditor xác minh.

Trách nhiệm chia sẻ

Những gì gateway bảo mật so với những gì vẫn thuộc về bạn — ranh giới trung thực đằng sau bất kỳ tuyên bố framework nào.

Các chế độ thực thi

Observe, audit, và enforce — vốn từ vựng chung đằng sau go-live.
Catalog tăng lên, nhưng hình dạng không bao giờ thay đổi: chọn một framework, cài đặt pack của nó, quan sát những gì nó bắt được, go-live, và trao cho auditor của bạn một báo cáo có chữ ký ánh xạ từng-điều-khoản tới các control mà traffic của bạn thực sự đã đi qua.