Chuyển đến nội dung chính
Bạn đang đặt một AI agent trước dữ liệu khách hàng và auditor của bạn muốn biết những điều khoản Trust Services nào bạn thực sự có thể làm bằng chứng. Trên một gateway được host, câu trả lời trung thực là: các điều khoản ánh xạ tới một control chạy trên đường request — truy cập logic, giám sát, và audit cuộc gọi tool — cộng các điều khoản tổ chức mà một proxy không bao giờ có thể thực thi và phải tiết lộ như các gap. Trang này là lượt đi soc 2 ai: những điều khoản TSC nào SOC 2 pack bao phủ, control duy nhất nó hiện thực hóa cho tính bí mật, và cách bằng chứng kết quả được ký. Về luồng cài đặt và định dạng báo cáo chuyên sâu, hãy theo các liên kết ở cuối — trang này là bản đồ đặc-thù-SOC-2, không phải tham chiếu Compliance đầy đủ.

1. Pack soc 2 ai bao phủ gì

SOC 2 pack ánh xạ AICPA Trust Services Criteria tới các control chạy trên mọi request đi-qua-gateway. Ba điều khoản ánh xạ tới thực thi trực tiếp; hai cái là tổ chức và được tiết lộ như các gap thay vì tuyên bố.
Điều khoản TSCMặt phẳngControl
CC6.1 Control truy cập logicguardrailblock PII bí mật trong prompt
CC7.2 Giám sát hệ thốngguardrailghi lại mọi quyết định guardrail như bằng chứng
CC7.2 Phát hiện bất thườngfirewallaudit mọi dispatch tool
CC8.1 Quản lý thay đổi và CC3.1 Đánh giá rủi ro là các điều khoản con-người-và- quy-trình. Một proxy không thể thực thi chúng, nên pack hiện chúng như các gap được tiết lộ (hoặc các hàng chủ-sở-hữu-attest) trên cả console và báo cáo — không bao giờ như bao phủ tự động. Các gap trung thực là cái khiến phần còn lại của bằng chứng đáng tin cậy. Xem ma trận control.
Hai mặt phẳng thực thi là cùng bộ máy GuardrailsFirewall mà bạn cấu hình bằng tay. Pack là ánh xạ được soạn nói control hiện có nào thỏa mãn điều khoản nào — nó không vận chuyển engine runtime mới. Xem Nội dung pack để biết giải phẫu đầy đủ.

2. Cài đặt pack — một ví dụ cụ thể

Cài đặt hiện thực hóa ánh xạ thành một chính sách guardrail và một chính sách firewall trong workspace của bạn, mỗi cái được gắn tag với nguồn gốc của pack. Bạn làm điều này từ console, không phải một relay key: Compliance → Catalog → SOC 2 → Install Đó là một hành động Admin workspace trên một gói trả phí, và server thực thi cả hai. Bên dưới, session console của bạn gọi: 
POST /api/compliance/packs/soc2/install
Đừng bao giờ trao một relay key sk-orca-… cho một route cấu hình. Các route /api/compliance/* xác thực bằng session console của bạn, không phải relay key — chỉ các cuộc gọi mô hình /v1/* dùng sk-orca-…. Duyệt catalog, các pack đã cài, và readiness là miễn phí và mở cho mọi thành viên workspace; cài đặt, go-live, báo cáo, và residency là các hành động Admin bị kiểm soát.
Sau khi cài đặt, hàng CC6.1 thôi không còn là văn xuôi. Control tính bí mật trở thành một quy tắc guardrail pii thực — hành động block, stage input — mà bạn có thể mở, đọc, và tinh chỉnh như bất kỳ quy tắc nào khác. Control giám sát CC7.2 ghi lại mỗi quyết định guardrail như bằng chứng, và control firewall đặt mọi dispatch tool thành verdict audit.
Control này hành động trên request: PII bí mật bị block ở stage input trước khi mô hình thấy nó. Xử lý PII output / streaming trực tiếp nằm trên lộ trình, nên cho phía output bằng chứng giám sát là cái mà một auditor đọc cho CC7.2 trong kỳ báo cáo.

3. Observe trước, rồi go-live

Một lần cài đặt SOC 2 không bắt đầu block traffic ngày đầu tiên. Các lần cài đặt đáp xuống chế độ observe: các hành động guardrail bị ép thành flag và chính sách firewall chạy ở shadow (chỉ-ghi-log). Bạn nhận bằng chứng “would-have-blocked” đối với traffic thực trước khi bất cứ thứ gì thực thi. Khi bằng chứng trông đúng, một Admin workspace thăng cấp pack lên go-live, khôi phục các hành động đã khai báo — control CC6.1 bắt đầu block, control firewall tiếp tục audit — và tùy chọn thăng cấp các chính sách đã hiện thực hóa lên làm mặc định workspace. Đây là cùng kỷ luật được mô tả trong Observe vs enforce.

4. Bằng chứng có chữ ký mà auditor của bạn có thể xác minh

Điểm mấu chốt của pack là báo cáo. Bằng chứng SOC 2 được sinh như một báo cáo ký Ed25519 với một hash nội dung SHA256, xuất được dưới dạng CSV, JSON, hoặc PDF, và xác minh được công khai — auditor của bạn kiểm tra chữ ký mà không cần đăng nhập OrcaRouter.
Mỗi hàng TSC mang trạng thái của nó — covered, observe, gap, hoặc attested — và control đã thực sự kích hoạt bao nhiêu lần trong kỳ. Một control CC6.1 đã block 4.000 request đọc khác với một cái có không match đối với một auditor, và báo cáo hiển thị cả hai.
Mọi control đã hiện thực hóa ghi lại control_id của nó (vd: soc2.confidentiality), điều khoản nguyên văn (TSC CC6.1 Logical access controls), mặt phẳng, và id của đối tượng chính sách trực tiếp thực thi nó — nên auditor đi qua điều khoản → control → chính sách thực thi → match, không có bước suy diễn.
Lấy khóa công khai ký tại GET /api/public/compliance/pubkey, gửi báo cáo tới POST /api/public/compliance/verify, hoặc mở một liên kết chia sẻ auditor giới hạn tại GET /api/public/compliance/share/:token. Không cần tài khoản.
Xem báo cáo có chữ ký để biết bố cục bìa-tới-chân-trang đầy đủ và Xác minh một báo cáo để biết lượt đi xác minh.

5. Đóng dấu khu vực cho bằng chứng SOC 2 của bạn

Các báo cáo SOC 2 được lưu trữ và phục vụ dưới khu vực residency đã khai báo của bạn — us / eu / uk / ap / cn / global — và một báo cáo chỉ được phục vụ dưới một khu vực khớp; các lần đọc xuyên khu vực bị giữ lại. Một Admin workspace đặt nó qua PUT /api/compliance/residency.
Residency ở đây là khu vực của artifact bằng chứng — nơi các báo cáo có chữ ký sống và được phục vụ. Nó không phải là ghim theo địa lý dữ liệu inference. Xem Data residencyXuyên khu vực để biết ranh giới.
Request log mặc định một lưu giữ 30 ngày (server kẹp về mức tối đa cứng 180 ngày), và một lần xóa người dùng chạy một cửa sổ ân hạn 30 ngày rồi một lần scrub PII — cả hai đều liên quan khi một auditor hỏi về tư thế lưu giữ của bạn. Xem Lưu giữQuyền được xóa.

6. Đi đâu tiếp theo

Nội dung pack

Giải phẫu đầy đủ của một pack — cả hai mặt phẳng, các trạng thái, và nguồn gốc.

Cài đặt một pack

Luồng cài đặt từ-đầu-đến-cuối, chế độ observe, và go-live.

Báo cáo có chữ ký

Báo cáo bằng chứng ký Ed25519 chứa gì.

Ma trận control

Mọi điều khoản, mặt phẳng của nó, và liệu nó được covered, observed, hay một gap.

Frameworks

Toàn bộ catalog — HIPAA, GDPR, EU AI Act, ISO 27001, và nhiều nữa.

Guardrails vs Firewall

Hai mặt phẳng mà một SOC 2 pack ghi vào, được chạy bởi một resolver.
SOC 2 trên một gateway được host là kỷ luật của sự chính xác: ánh xạ các điều khoản mà một proxy có thể thực thi tới các control trực tiếp, tiết lộ những cái nó không thể, và ký bằng chứng để ranh giới giữa hai bên đứng vững dưới audit.