Chuyển đến nội dung chính
Khi một auditor hỏi “hãy chứng minh traffic AI của bạn được quản trị,” bạn không muốn chụp màn hình một console. OrcaRouter biến tư thế guardrail và firewall đang chạy của bạn thành một báo cáo bằng chứng có chữ ký, xác minh được công khai ánh xạ tới một framework quy định — SOC 2, HIPAA, GDPR, EU AI Act, và hơn nữa. Trang này là bề mặt API cho luồng đó: cách duyệt danh mục, cài một pack, tạo một báo cáo, và để một auditor xác minh chữ ký mà không cần tài khoản OrcaRouter. Compliance là mặt phẳng thứ ba trong control stack của OrcaRouter, song hành với Guardrails (văn bản) và Firewall (cuộc gọi tool). Một compliance pack chỉ là một bó hai cái đó được soạn trước — cài một cái hiện thực hóa một chính sách guardrail và firewall thật, sửa được, trong workspace của bạn.
Mọi route /api/compliance/* xác thực bằng session / access token console của bạn (cùng đăng nhập bạn dùng cho dashboard), không phải một relay key sk-orca-…. Cấu hình mọi thứ từ console; bề mặt REST bên dưới là để tự động hóa việc thu thập bằng chứng trong CI.

1. Tham chiếu compliance api bao quát những gì

Hai nhóm route, hai đối tượng:
NhómAuthĐối tượng
/api/compliance/*Session consoleBạn + các auditor của bạn (trong-workspace)
/api/public/compliance/*Không (token / chữ ký)Bất kỳ ai xác minh một báo cáo
Các thao tác đọc trong nhóm đầu — duyệt danh mục, pack đã cài, readiness, residency, và metadata báo cáo — mở cho mọi thành viên workspace và miễn phí. Mọi thao tác ghi (cài một pack, đưa lên live, tạo hoặc tải báo cáo, đổi residency, chia sẻ) yêu cầu workspace Admin (thực thi phía server). Một gói trả phí bổ sung được yêu cầu để cài một pack, đưa nó lên live, và xuất CSV/JSON hoặc tạo nhiều hơn một báo cáo miễn phí — nhưng không cần để đổi residency hoặc tạo PDF đầu tiên của bạn.

2. Duyệt danh mục và kiểm tra readiness

Bắt đầu chỉ-đọc. Ba endpoint này không cần vai trò đặc biệt và không tốn gì:
Trả về registry framework. OrcaRouter cung cấp pack cho các chế độ bảo mật, quyền riêng tư, và quản trị AI lớn — bao gồm soc2, hipaa, gdpr, uk_gdpr, eu_ai_act, iso_27001, iso_42001, nist_ai_rmf, nist_800_53, pci_dss, glba, ccpa, và một đuôi dài các luật quyền riêng tư khu vực (PIPL, APPI, PIPA, LGPD, PIPEDA, DPDP, và các đạo luật bang của Mỹ). OWASP Top 10 cho Ứng dụng LLM (owasp_llm) cũng cung cấp dưới dạng một pack hạng nhất — nó hiện thực hóa các kiểm soát guardrail và firewall thật (prompt injection, output không an toàn, tiết lộ nhạy cảm, excessive agency) y như mọi framework khác.
Liệt kê các pack đã được hiện thực hóa trong workspace này, mỗi cái với chế độ vòng đời (observe hoặc enforce) và chính sách guardrail + firewall mà nó đã tạo.
Chấm điểm tư thế hiện tại của bạn đối với checklist của từng framework: những kiểm soát nào mà guardrail và quy tắc firewall đang chạy của bạn đã thỏa mãn, và những cái nào vẫn là khoảng trống tổ chức bạn phải tự khép lại. Đọc cái này trước khi cài bất cứ thứ gì.

3. Cài một pack

Cài một pack là khoảnh khắc giá trị: nó ghi một Guardrail thật (mặt phẳng văn bản/dữ liệu) và một WorkspaceFirewallPolicy cộng các quy tắc (mặt phẳng cuộc gọi tool) vào workspace của bạn, gắn thẻ theo framework. Cả hai đều sửa được hoàn toàn sau đó — pack là một điểm khởi đầu, không phải một template bị khóa. 
# Admin + gói trả phí. Cài ở chế độ observe trước.
curl -X POST https://api.orcarouter.ai/api/compliance/packs/soc2/install \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN"
Pack mới rơi vào chế độ observe — hành động guardrail bị ép thành flag, firewall ở shadow/chỉ-ghi-log — để bạn có thể quan sát độ phủ trước khi bất cứ thứ gì chặn traffic live. Khi bạn sẵn sàng, hãy thăng cấp nó: 
curl -X POST https://api.orcarouter.ai/api/compliance/packs/soc2/golive \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN"
golive lật chính sách guardrail và firewall đã hiện thực hóa vào thực thi. Hãy chạy nó sau khi xem lại các chế độ thực thi để bạn biết chính xác denymask sẽ làm gì với traffic live.
Các thao tác ghi khác trên pack (đều là Admin): POST …/packs/:key/controls để nối một kiểm soát đơn lẻ, POST …/packs/:key/update để đồng bộ lại sau khi danh mục thay đổi, và DELETE …/packs/:key để gỡ cài.

4. Tạo một báo cáo bằng chứng có chữ ký

Báo cáo là artifact bạn trao cho một auditor. Mỗi cái được render từ tư thế đang chạy của bạn, content-hash bằng SHA-256, và ký bằng Ed25519 để nó không thể bị sửa âm thầm sau này. 
curl -X POST https://api.orcarouter.ai/api/compliance/reports \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"framework":"soc2","format":"pdf"}'
Các định dạng là pdf, json, và csv.
Báo cáo PDF đầu tiên của bạn miễn phí để bạn có thể demo artifact. Xuất CSV/JSON và các báo cáo bổ sung là phần của gói trả phí — báo cáo là bằng chứng bán được, nên gateway trả về một thông điệp nâng cấp thân thiện thay vì một lỗi cứng khi bạn chạm trần miễn phí.
Liệt kê và lấy báo cáo với GET …/reportsGET …/reports/:id; tải file đã render với GET …/reports/:id/download (Admin).

5. Để một auditor xác minh nó — không cần tài khoản

Ba endpoint công khai giúp một báo cáo có thể kiểm tra độc lập bởi bất kỳ ai giữ file:

Lấy public key

GET /api/public/compliance/pubkey trả về public key Ed25519 mà báo cáo của bạn được ký với nó.

Xác minh một chữ ký

POST /api/public/compliance/verify kiểm tra chữ ký và content hash của một báo cáo và nói cho bên gọi biết liệu nó có bị giả mạo hay không.

Chia sẻ với một auditor

Đúc một link chỉ-đọc từ POST …/reports/:id/share (Admin); auditor mở GET /api/public/compliance/share/:token — không cần đăng nhập.
Vì việc xác minh là công khai và kiểm-tra-được-offline, một auditor không bao giờ chạm tới workspace hay traffic của bạn — họ xác nhận mật mã và đọc bằng chứng.

6. Data residency

Residency ở đây là khu vực mà bằng chứng compliance của bạn được đóng dấu và lưu trữus, eu, uk, ap, cn, hoặc global. Nó quản trị nơi báo cáo sống và từ khu vực nào chúng có thể được phục vụ; một báo cáo bị giữ lại nếu đọc từ một khu vực không khớp. (Đây là một kiểm soát artifact-bằng-chứng, không phải geo-pinning traffic inference của bạn.) 
curl -X PUT https://api.orcarouter.ai/api/compliance/residency \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"region":"eu"}'
Đọc cài đặt hiện tại với GET …/residency (mọi thành viên); thay đổi nó là Admin.

7. Retention, xóa bỏ, và audit

Mặt phẳng compliance được hậu thuẫn bởi cùng các đảm bảo vòng đời dữ liệu áp dụng trên toàn gateway:
Request log được giữ 30 ngày mặc định180 ngày tối đa — gateway kẹp bất cứ cái gì dài hơn. Retention đưa thẳng vào điểm readiness của bạn.
Một yêu cầu xóa tài khoản mở một khoảng ân hạn 30 ngày (mặc định), sau đó PII của tài khoản bị xóa sạch không thể đảo ngược: cascade redact các định danh trên request log được giữ lại và purge các guardrail match, firewall event, và bản ghi agent-trace được scope theo người dùng.
Phần change-log của một báo cáo compliance được rút từ audit log của workspace, scope theo kỳ báo cáo. Email của thành viên và admin được che mặc định trong báo cáo đã xuất (vd: j•••@acme.com) trừ khi PII đầy đủ được yêu cầu tường minh lúc tạo. Xem danh mục hành động audit.

Đi đâu tiếp theo

Guardrail API

Chính sách mặt phẳng văn bản/dữ liệu mà một compliance pack hiện thực hóa.

Firewall API

Mặt phẳng chính sách cuộc gọi tool mà pack ghi song song với nó.

Control stack

Cách guardrail, firewall, và compliance kết hợp thành một tư thế.

Mã lỗi

Mọi trạng thái gateway có thể trả về, bao gồm paywall và role gate.
Về định nghĩa thuật ngữ — compliance pack, báo cáo có chữ ký, data residency, quyền được xóa bỏ — xem bảng thuật ngữ khái niệm.