Chuyển đến nội dung chính
Một danh mục kiểm tra framework là một danh sách các điều khoản. Một compliance pack là cùng danh mục kiểm tra đó với mỗi điều khoản được nối dây vào một control thực sự chạy trên gateway. Khi bạn cài đặt một pack, OrcaRouter đọc ánh xạ điều-khoản-sang-control của nó và hiện thực hóa các đối tượng chính sách thực, có thể chỉnh sửa trong workspace của bạn — nên “SOC 2 CC6.1” thôi không còn là một dòng trong bảng tính và trở thành một guardrail block PII bí mật trước khi nó đến được mô hình. Trang này giải thích một ai compliance pack chứa gì, hai mặt phẳng thực thi của nó ánh xạ ngược về các điều khoản thế nào, và phả hệ nguồn gốc cho phép một auditor truy vết bất kỳ điều khoản nào xuống tới chính sách chính xác thực thi nó. Về luồng cài đặt và báo cáo có chữ ký, hãy theo các liên kết ở cuối.

1. Một pack là một ánh xạ điều-khoản-sang-control, không phải thực thi mới

Một pack không vận chuyển engine runtime mới. Mọi control nó mang đều tái sử dụng cùng bộ máy GuardrailsFirewall mà bạn đã cấu hình bằng tay — một pack là ánh xạ được soạn nói control hiện có nào thỏa mãn điều khoản nào. Mỗi pack trải dài hai mặt phẳng thực thi:

Mặt phẳng guardrail

Các control văn bản / dữ liệu — các điều khoản về dữ liệu bí mật, tiết lộ PII, phòng vệ injection, hoặc các tiết lộ bắt buộc ánh xạ sang quy tắc guardrail (pii, regex, llm_judge, và bạn bè) với một hành động block, mask, hoặc flag.

Mặt phẳng firewall

Các control cuộc gọi tool — các điều khoản về sự tự chủ quá mức, hành động nguy hiểm, hoặc egress ánh xạ sang quy tắc firewall với một verdict allow / audit / deny trên bề mặt inbound, response, mcp, hoặc egress.
Cài đặt pack hợp nhất các control được chọn của nó vào một chính sách guardrail và một chính sách firewall, được gắn tag với nguồn gốc của pack, nên chúng cùng thực thi qua resolver bình thường và mọi đường gắn kết và lịch sử hiện có đều tiếp tục hoạt động.
Một pack chỉ bao phủ các control mà gateway có thể thực thi. Các điều khoản tổ chức — đào tạo nhân lực, Business Associate Agreement, truy cập vật lý — không bao giờ có thể được thực thi bởi một proxy, nên báo cáo tiết lộ chúng như các khoảng trống (hoặc được chủ-sở-hữu xác nhận) thay vì tuyên bố bao phủ sai. Xem ma trận control.

2. Một điều khoản, từ đầu đến cuối — một ví dụ cụ thể

Lấy SOC 2 pack. Nó ánh xạ ba điều khoản Trust Services sang ba control trực tiếp:
Điều khoảnMặt phẳngControl
CC6.1 Truy cập logicguardrailblock PII bí mật trong prompt
CC7.2 Giám sát hệ thốngguardrailghi lại mọi quyết định guardrail như bằng chứng
CC7.2 Phát hiện bất thườngfirewallaudit mọi dispatch tool
Bạn cài đặt nó từ console — Compliance → Catalog → SOC 2 → Install — vốn chỉ dành cho Admin workspace và gọi POST /api/compliance/packs/soc2/install thay cho bạn dưới session console của bạn. Bạn không bao giờ trao một relay key sk-orca-… cho một route cấu hình; nội dung và chính sách hoàn toàn nằm sau đăng nhập console của bạn. Sau khi cài đặt, hàng CC6.1 không còn là văn xuôi — nó là một quy tắc guardrail bạn có thể mở, đọc, và tinh chỉnh như bất kỳ cái nào khác.

3. Phả hệ nguồn gốc — điều khoản tới chính sách thực thi

Lý do một pack có thể audit được là vì liên kết giữa một điều khoản và chính sách thực thi nó được ghi lại, không phải ngụ ý. Mọi control mà pack hiện thực hóa đều mang:
Một control_id ổn định (vd: soc2.confidentiality) và văn bản điều khoản nguyên văn (TSC CC6.1 Logical access controls), cộng một liên kết nguồn chính thức để một auditor đọc quy định, không chỉ bản diễn giải của chúng tôi.
Liệu control sống trên mặt phẳng guardrail hay firewall, và id của chính sách guardrail hoặc firewall chính xác mà lần cài đặt đã hiện thực hóa. Id đó là cái buộc một hàng trong báo cáo ngược về một đối tượng trực tiếp, có thể chỉnh sửa trong workspace của bạn.
covered, observe, gap, hoặc attested — và, trong kỳ báo cáo, control đó đã thực sự kích hoạt bao nhiêu lần. Một điều khoản với không match và một điều khoản đã block 4.000 request đọc khác nhau đối với một auditor, và báo cáo hiển thị cả hai.
Mỗi pack mang một dòng MappedBy — ai đã soạn ánh xạ điều-khoản-sang- control, phiên bản của nó, và lời từ chối trung thực rằng nó chỉ bao phủ các control mà gateway có thể thực thi và bản thân nó không phải là một chứng nhận. Dòng đó được đóng dấu lên bìa báo cáo có chữ ký.
Ghép lại, đây là phả hệ mà một auditor đi qua: điều khoản → control id → chính sách guardrail hoặc firewall thực thi → các match nó tạo ra trong kỳ → ai đã soạn ánh xạ. Không bước nào được suy diễn.
Cùng ma trận bao phủ cấp năng lượng cho cả console và báo cáo, nên hai cái không bao giờ có thể âm thầm lệch nhau. Một điều khoản mà framework mong đợi nhưng không có pack đã cài nào bao phủ luôn hiển thị như một khoảng trống được tiết lộ trên cả hai bề mặt.

4. Observe trước, rồi enforce

Một pack không bắt đầu block traffic khoảnh khắc bạn cài đặt nó. Các lần cài đặt đáp xuống chế độ observe: các hành động guardrail bị ép thành flag và chính sách firewall chạy ở shadow (chỉ-ghi-log). Pack tạo ra bằng chứng “would-have-blocked” để bạn có thể thấy chính xác nó sẽ làm gì đối với traffic thực trước khi nó làm. Khi bạn hài lòng, một Admin workspace gọi go-live, khôi phục các hành động đã khai báo của các control (mask / block / deny) và tùy chọn thăng cấp các chính sách đã hiện thực hóa lên làm mặc định workspace. Đây là cùng kỷ luật observe-rồi-enforce được mô tả trong Observe vs enforce.
Duyệt catalog, các pack đã cài, và readiness mở cho mọi thành viên workspace và miễn phí. Cài đặt một pack và go-live là các hành động Admin workspace yêu cầu một gói trả phí — server thực thi cả hai cổng, nên một viewer hoặc một workspace miễn phí không thể hiện thực hóa thực thi bằng cách gọi API trực tiếp. Sinh một báo cáo cũng cần Admin: gói miễn phí bao gồm một báo cáo PDF, trong khi xuất CSV/JSON và các báo cáo bổ sung yêu cầu một gói trả phí. Đặt data residency cũng là Admin workspace, nhưng bản thân nó không nằm sau paywall.

5. Một pack không chứa gì

Để giữ ranh giới trung thực:
  • Không có chứng nhận. Một pack ánh xạ các control gateway của bạn sang các điều khoản của một framework và tạo bằng chứng có chữ ký. Nó không phải là một cuộc audit, một attestation cho toàn bộ tổ chức của bạn, hay tư vấn pháp lý.
  • Không có control tổ chức. Các điều khoản về con-người-và-quy-trình được phơi bày như các khoảng trống được tiết lộ hoặc attestation của chủ sở hữu, không bao giờ như bao phủ tự động.
  • Không có catalog phép thuật. Các framework trong catalog là những cái có một ánh xạ đã soạn — SOC 2, HIPAA, GDPR / UK GDPR, EU AI Act, ISO 27001 / 42001, NIST AI RMF, PCI DSS, OWASP LLM Top 10, và các luật riêng tư theo khu vực. Hãy duyệt tập trực tiếp trên Frameworks.

6. Đi đâu tiếp theo

Cài đặt một pack

Toàn bộ luồng cài đặt — chọn control, chế độ observe, và go-live.

Báo cáo có chữ ký

Báo cáo bằng chứng ký Ed25519 chứa gì và phả hệ hiển thị thế nào cho một auditor.

Ma trận control

Mọi điều khoản, mặt phẳng của nó, và liệu nó được covered, observed, một gap, hay attested.

Guardrails vs Firewall

Hai mặt phẳng mà một pack ghi vào, và cách resolver chạy chúng cùng nhau.
Một compliance pack là cây cầu giữa ngôn ngữ của một nhà quản lý và việc thực thi của gateway: nó ánh xạ mỗi điều khoản sang một control thực, hiện thực hóa control đó thành một chính sách bạn sở hữu và có thể tinh chỉnh, và ghi lại phả hệ để bằng chứng đứng vững trước sự kiểm tra.