Chuyển đến nội dung chính
Khi một auditor hỏi “chứng minh các control này thực sự được thực thi,” một ảnh chụp màn hình console của bạn sẽ không sống sót qua sự soi xét — nó không có chữ ký, nó là của bạn, và nó có thể chỉnh sửa. OrcaRouter sinh một báo cáo compliance có chữ ký: một pack bằng chứng tự chứa được snapshot từ các control gateway trực tiếp của bạn, hash bằng SHA256, và ký bằng Ed25519 để bất kỳ ai giữ báo cáo đều có thể xác minh nó được tạo bởi OrcaRouter và không bị thay đổi kể từ đó. Trang này đi qua trường hợp sử dụng từ đầu đến cuối — sinh báo cáo, trao nó đi, và để auditor xác minh nó độc lập. Về catalog framework và những gì mỗi pack ánh xạ tới, xem FrameworksNội dung pack.

1. Báo cáo ai compliance có chữ ký chứa gì

Một báo cáo được sinh theo từng framework trong một cửa sổ thời gian bạn chọn, và snapshot tám phần bằng chứng tại thời điểm sinh để artifact vẫn hợp lệ ngay cả sau khi các log nền tảng già đi dưới chính sách lưu giữ của bạn.
Mọi báo cáo bao quát cùng các phần có thứ tự để hai báo cáo có thể so sánh được:
  • Coverage — những control framework nào các pack đã cài của bạn ánh xạ tới, mỗi cái gắn tag covered / observe / gap / attested.
  • Enforcement — các match guardrail và verdict firewall (allowed / blocked / audited) thực sự được ghi lại trong cửa sổ.
  • Consent — trạng thái đồng thuận được ghi cho kỳ, phân loại valid / stale / revoked / none.
  • Change log — lịch sử guardrail và các hàng audit workspace trong cửa sổ.
  • Admin access — ai giữ admin và những hành động đặc quyền nào đã chạy.
  • Gaps — các control không được bao phủ, bao gồm các điều khoản tổ chức (con-người/quy-trình) không bao giờ có thể được gateway tự động hóa. Báo cáo tiết lộ những cái này như các khoảng trống trung thực thay vì ngụ ý compliance tự động 100%.
  • AI supply chain — các provider thượng nguồn (subprocessor) và mô hình mà workspace có thể tiếp cận, để làm bằng chứng đối với các DPA của bạn.
  • Access reviews — các API key của workspace và danh sách thành viên đặc quyền cho vệ sinh xoay vòng key.
JSON bằng chứng chuẩn tắc được hash bằng SHA256 (hex chữ thường). Hash nội dung đó được ký bằng Ed25519, và chữ ký cộng một key id ngắn (vd: orca-…) được nhúng vào artifact. Thay đổi một byte bằng chứng và hash không còn khớp; giả mạo hash và chữ ký không còn xác minh được đối với khóa công khai của OrcaRouter.
  • PDF — bản trao tay cho auditor đọc được bởi con người, với chữ ký và key id in trên đó.
  • JSON — bản xuất bằng chứng đọc được bởi máy. (Chữ ký được tính trên một dạng chuẩn tắc của bằng chứng, không phải các byte file thô, nên hãy xác minh nó qua endpoint verify công khai thay vì tự re-hash artifact — xem Xác minh một báo cáo.)
  • CSV — bản xuất dạng bảng phẳng cho bảng tính và công cụ GRC.
Theo mặc định, email của thành viên và actor được mask trong mọi bản xuất. Chọn tham gia PII không che giấu một cách tường minh theo từng báo cáo khi auditor của bạn cần nó.
Các báo cáo được đóng dấu khu vực. Mỗi artifact được lưu trữ và phục vụ dưới khu vực data-residency đã khai báo của workspace bạn (us / eu / uk / ap / cn / global); một báo cáo sinh cho một khu vực không được phục vụ dưới một khu vực khác. Đặt residency trước khi bạn sinh nếu nó quan trọng cho các nghĩa vụ của bạn.

2. Ai có thể sinh một báo cáo

Duyệt catalog framework, các pack đã cài, và readiness mở cho mọi thành viên workspace và miễn phí. Sinh một báo cáo yêu cầu Admin workspace, và bản xuất bị phân tầng theo gói:
  • Gói miễn phí bao gồm một báo cáo PDF, nên bạn có thể demo artifact.
  • Xuất CSV / JSON và các báo cáo bổ sung yêu cầu một gói trả phí.
Cả hai quy tắc đều được thực thi ở phía server — không có cách bỏ qua chỉ ở client.
Sinh từ console: mở Compliance → Reports, chọn framework và cửa sổ thời gian, chọn một định dạng, và nhấp sinh. Việc sinh là bất đồng bộ — hàng báo cáo xuất hiện ở pending, đi tới generating, và đáp ở ready (hoặc failed, không có artifact một phần). Tất cả những điều này chạy đối với các route /api/compliance/* dưới session console của bạn — không có relay key (sk-orca-…) nào tham gia.

3. Một lượt đi cụ thể

Một auditor SOC 2 muốn bằng chứng thực thi cho Q1. Quy trình:
1

Cài đặt framework (một lần)

Với tư cách Admin trên một gói trả phí, cài đặt SOC 2 pack từ Compliance → Frameworks. Cài đặt hiện thực hóa các guardrail và chính sách firewall ánh xạ tới các control của framework. Xem Cài đặt một pack.
2

Sinh báo cáo

Trong Compliance → Reports, chọn soc2, đặt kỳ thành cửa sổ Q1 của bạn, chọn PDF, và sinh. Đợi hàng đạt ready, rồi tải xuống.
3

Trao nó cho auditor

Gửi cho họ PDF (hoặc phát hành một liên kết chia sẻ auditor chỉ-đọc để họ có thể tự lấy nó). Chữ ký và key id được in trên báo cáo.
4

Họ xác minh nó độc lập

Auditor không bao giờ phải tin console của bạn. Họ re-hash bằng chứng, lấy khóa công khai của OrcaRouter, và kiểm tra chữ ký — tất cả đối với các endpoint công khai, không cần xác thực (phần kế tiếp).

4. Cách một auditor xác minh nó

Việc xác minh không cần tài khoản và không cần relay key — nó chạy đối với hai endpoint công khai trên api.orcarouter.ai. Đầu tiên, lấy khóa công khai đang hoạt động: 
curl https://api.orcarouter.ai/api/public/compliance/pubkey
# => { "algo": "ed25519", "key_id": "orca-…", "public_key": "<base64>" }
Rồi gửi hash nội dung, chữ ký, và key id của báo cáo: 
curl -X POST https://api.orcarouter.ai/api/public/compliance/verify \
  -H "Content-Type: application/json" \
  -d '{
    "content_hash": "<sha256-hex from the report>",
    "signature":    "<base64 Ed25519 signature>",
    "sig_key_id":   "orca-…"
  }'
# => { "valid": true, "key_id": "orca-…" }
Một valid: true nghĩa là hash bằng chứng được ký bởi OrcaRouter và không bị thay đổi kể từ đó. Một auditor không muốn gọi endpoint của chúng tôi chút nào có thể lấy khóa công khai Ed25519 đã công bố và xác minh chữ ký trên hash bằng bất kỳ thư viện crypto tiêu chuẩn nào — báo cáo xác minh được ngoại tuyến.
Không thích gửi PDF như một file đính kèm? Hãy phát hành một liên kết chia sẻ auditor chỉ-đọc thay thế — một URL có token phục vụ báo cáo (và chữ ký của nó) trực tiếp, không cần đăng nhập. Xem Xuất bằng chứng.

5. Phần này khớp vào đâu

Báo cáo có chữ ký là artifact ở cuối luồng compliance. Các mảnh xung quanh nó:

Frameworks

Toàn bộ catalog — SOC 2, HIPAA, GDPR, EU AI Act, ISO 27001/42001, NIST AI RMF, PCI DSS, OWASP LLM Top 10, và tập theo khu vực.

Cài đặt một pack

Hiện thực hóa các guardrail và chính sách firewall của một framework trước khi bạn báo cáo về nó.

Data residency

Đóng dấu và ghim khu vực mà báo cáo có chữ ký của bạn được lưu trữ và phục vụ.

Xác minh một báo cáo

Luồng xác minh chuyên sâu — khóa công khai, hash, và kiểm tra ngoại tuyến.
Bằng chứng bên trong báo cáo đến từ các control bạn đã cấu hình. Để củng cố những gì được báo cáo, tinh chỉnh GuardrailsFirewall của bạn, và xem xét ranh giới của những gì gateway có thể và không thể xác nhận trong Trách nhiệm chia sẻ.