Chuyển đến nội dung chính
Phần lớn công việc AI compliance là công việc bằng chứng: chứng minh rằng các control mà một framework yêu cầu đang thực sự chạy trên đường đi mà agent của bạn dùng, và trao cho auditor một thứ họ có thể xác minh mà không cần tin lời bạn. OrcaRouter biến một framework thành một tập control đang hoạt động và một báo cáo có chữ ký chỉ trong vài bước — bạn cài đặt một pack, theo dõi nó ở chế độ observe, rồi bật thực thi và sinh ra bằng chứng. Trang này là trung tâm. Nó giải thích các bộ phận chuyển động và liên kết tới trang chuyên biệt cho từng cái.

1. AI compliance nghĩa là gì trên gateway

Một compliance pack là một framework được biểu đạt thành các control. Cài đặt một pack hiện thực hóa hai đối tượng thực, có thể chỉnh sửa trong workspace của bạn:
  • một Guardrail — các control ở tầng nội dung (PII, secrets, output không an toàn) mà framework mong đợi trên request và response;
  • một chính sách Firewall cùng các quy tắc của nó — các control ở tầng hành động (những cuộc gọi tool, dispatch MCP, và đích đến egress nào được phép).
Vì các đối tượng là thực, pack không phải là một ô tích — nó chính là cùng bộ máy guardrail và firewall mà phần còn lại của workspace bạn sử dụng, được gắn tag với framework để các báo cáo có thể đọc trạng thái của nó.
Duyệt catalog, các pack đã cài, và mức độ sẵn sàng mở cho mọi Member của workspace và miễn phí. Cài đặt một pack và go-live yêu cầu Admin workspace và một gói trả phí. Sinh một báo cáo cũng cần Admin — gói miễn phí bao gồm một báo cáo PDF; xuất CSV/JSON và các báo cáo bổ sung yêu cầu một gói trả phí. Thiết lập residency cần quyền Admin. Xem Phân tầng theo gói.

2. Quan sát trước khi thực thi

Một pack vừa cài đặt rơi vào chế độ observe: các hành động guardrail bị ép thành flag (chú thích, không block) và chính sách firewall chạy ở shadow (nó ghi log [shadow] would … thay vì deny). Không có điều gì agent của bạn làm bị gián đoạn trong khi bạn tìm hiểu xem các control sẽ bắt được gì. Khi các feed match và event trông sạch, bạn go-live — cùng các đối tượng đó chuyển sang thực thi thật. Vòng cung observe-rồi-enforce này là thói quen quan trọng nhất trong việc triển khai compliance, và nó có trang riêng.

Observe vs enforce

Toàn bộ vòng cung triển khai — chế độ observe ghi log những gì, go-live lật nó thế nào, và làm sao đọc tín hiệu trước khi bạn cam kết.

Một pack chứa gì

Chính xác các đối tượng guardrail và firewall mà một pack hiện thực hóa, và cách chúng ánh xạ tới các control của framework.

3. Chọn một framework

Catalog bao phủ các framework bảo mật chung và quản trị AI (soc2, iso_27001, iso_42001, nist_ai_rmf, eu_ai_act, owasp_llm), các chế độ theo ngành (hipaa, pci_dss, glba, nist_800_53), và một tập rộng các luật riêng tư theo khu vực (gdpr, uk_gdpr, ccpa, và nhiều nữa). Hãy duyệt danh sách trực tiếp thay vì hard-code nó.

SOC 2

HIPAA

GDPR

EU AI Act

ISO 27001

ISO 42001

NIST AI RMF

OWASP LLM Top 10

PCI DSS

CCPA

Tất cả framework

Ma trận control

4. Cài đặt một pack (một luồng cụ thể)

Cài đặt chạy từ console dưới Compliance → Catalog, với tư cách Admin workspace. Hành động này được server kiểm soát theo gói trả phí; nó hiện thực hóa các đối tượng guardrail và firewall ở chế độ observe. Console điều khiển route quản lý này cho bạn (nó dùng session của bạn, không phải một relay key): 
POST /api/compliance/packs/soc2/install
Authorization: Bearer <your console session>
Sau khi cài đặt, mở Readiness để xem những control nào được thỏa mãn, theo dõi các feed trong một tuần, rồi go-live. Trang Cài đặt một pack đi qua toàn bộ chuỗi; Xuất bằng chứng bao quát những gì đi ra ở đầu kia.
Việc đọc vẫn mở cho Member để các reviewer bảo mật và audit của bạn có thể theo dõi mức độ sẵn sàng mà không cần quyền ghi. Chỉ Admin sở hữu việc triển khai mới cần năng lực cài đặt và go-live.

5. Báo cáo có chữ ký, xác minh được

Một báo cáo compliance là bằng chứng mà auditor có thể tin tưởng mà không cần tin bạn. Mỗi báo cáo mang một hash nội dung SHA-256 và một chữ ký Ed25519 trên hash đó, và có thể xuất ra dưới dạng CSV, JSON, hoặc PDF. Chữ ký xác minh được công khai — bất kỳ ai có báo cáo và khóa công khai của OrcaRouter đều có thể xác nhận nó không bị thay đổi.
Một Admin workspace sinh báo cáo; nó được hash và ký lúc tạo. Xem Báo cáo có chữ ký.
Lấy khóa công khai từ GET /api/public/compliance/pubkeyPOST /api/public/compliance/verify báo cáo — không cần tài khoản. Xem Xác minh một báo cáo.
Phát hành một liên kết chỉ-đọc mà auditor của bạn mở tại GET /api/public/compliance/share/:token — giới hạn cho một báo cáo, không cần đăng nhập. Xem Xuất bằng chứng.

6. Data residency cho bằng chứng

Residency trên gateway chi phối nơi các báo cáo compliance có chữ ký của bạn được lưu trữ và phục vụ — không phải nơi inference chạy. Mỗi báo cáo được đóng dấu với khu vực bạn đã khai báo, và một báo cáo chỉ được phục vụ dưới một khu vực khai báo khớp; một lần đọc xuyên khu vực bị giữ lại. Khu vực là một trong us, eu, uk, ap, cn, hoặc global, có thể đặt bởi một Admin workspace: 
PUT /api/compliance/residency
Authorization: Bearer <your console session>

{ "region": "eu" }
Residency là một thuộc tính của artifact báo cáo, không phải một bảo đảm rằng traffic mô hình được ghim theo địa lý. Nếu một quy định yêu cầu inference phải ở lại trong một khu vực, đó là một quyết định routing thượng nguồn, tách biệt với nơi bằng chứng tồn tại.

Data residency

Đặt và thay đổi khu vực mà bằng chứng của bạn được lưu trữ và phục vụ.

Đọc xuyên khu vực

Vì sao một báo cáo đóng dấu một khu vực sẽ không phục vụ dưới một khu vực khác, và cách xử lý các chương trình đa khu vực.

7. Lưu giữ và xóa

Hai chiếc đồng hồ quan trọng cho ai compliance, và cả hai đều có giá trị mặc định mà khách hàng quan sát được:
Đối tượngMặc địnhGiới hạn cứng
Lưu giữ request-log30 ngày180 ngày (server kẹp)
Ân hạn xóa người dùng30 ngày, sau đó scrub PII
Quyền-được-xóa được tích hợp sẵn: một lần tự xóa khởi động một cửa sổ ân hạn 30 ngày, sau đó PII bị scrub và cascade thanh lọc các guardrail match, request log, và firewall event. Các trang Lưu giữ, Quyền được xóa, và Đồng thuận bao quát cơ chế DSAR.

8. Phần này khớp vào đâu

Compliance đọc cùng các control mà phần còn lại của mô hình bảo mật cấu hình. Nếu bạn vừa đáp xuống đây trước tiên, hãy bắt đầu với các khái niệm:

Trách nhiệm chia sẻ

Những gì gateway bảo mật so với những gì vẫn thuộc về bạn — bản đồ ranh giới trung thực cho bất kỳ tuyên bố compliance nào.

Các chế độ thực thi

Observe, audit, và enforce — vốn từ vựng chung đằng sau go-live.

Control stack

Key, guardrail, firewall, và audit như một bức tranh.

Bảng thuật ngữ

Pack, readiness, residency, attestation, và phần còn lại của các thuật ngữ.
Một chương trình compliance trên OrcaRouter luôn là cùng một vòng lặp mỗi lần: cài đặt pack, quan sát những gì nó bắt được, go-live, và trao cho auditor của bạn một báo cáo có chữ ký mà chính họ có thể xác minh.