1. 目錄中的 AI 合規框架
目錄是即時登錄——在 Compliance → Catalog 下瀏覽它,而非把一個計數寫死,因為套件會隨時間加入。撰寫此文時,它橫跨一般安全與 AI 治理標準、產業法規,以及一系列廣泛的區域隱私法。主控台把它們分成五個類別頁籤:ai、privacy、security、financial 與 healthcare。AI 治理
AI 治理
eu_ai_act · nist_ai_rmf · iso_42001 · owasp_llm · colorado_ai。OWASP LLM Top 10 以一個真實可安裝套件(owasp_llm)形式提供,而不只是一個控制項對應檢視——參見 OWASP LLM Top 10。安全與 ISMS
安全與 ISMS
soc2 · iso_27001 · nist_800_53 · cmmc。對應到內容與動作平面的一般信任與資訊安全標準。金融
金融
pci_dss · glba · dora_eu。支付、銀行與營運韌性法規——PAN 遮罩、密鑰衛生、危險工具控制與 egress 證據。醫療
醫療
hipaa · hitrust。PHI 編修、去識別化與傳輸安全 egress 防護。隱私(全球與區域)
隱私(全球與區域)
gdpr · uk_gdpr · ccpa · china_pipl · appi_jp · pipa_kr · lgpd_br · pipeda_ca · dpdp_in · privacy_au · pdpa_sg · vcdpa_va · cpa_co · ctdpa_ct · ucpa_ut · tdpsa_tx · ferpa · coppa。每一個都攜帶調校到該司法管轄區的資料最小化、特殊類別處理與處理記錄控制項。2. 對一個框架而言「證據」意味著什麼
安裝一個套件會在你的工作區中具現化兩個真實、可編輯的物件,而它們正是報告所讀取的:- 一個 防護欄——框架預期在請求與回應上要有的內容平面控制項(PII、PHI、密鑰、不安全輸出);
- 一個或多個 防火牆 政策規則——動作平面控制項(哪些工具呼叫、MCP 派發與 egress 目的地被允許或稽核)。
| 證據區段 | 它擷取什麼 |
|---|---|
| Coverage | 哪些範圍內控制項被一個已安裝套件滿足 |
| Enforcement | 每個控制項是即時的還是仍在觀察模式 |
| Change log | 控制項背後政策編輯的版本控管歷史 |
一個框架的範圍內檢查清單是套件涵蓋控制項與那些永遠無法被閘道自動化的組織性條款(人員訓練、BAA、DPIA、實體存取)的聯集。那些組織性項目一律渲染為一個帶有指引的已揭露 ⚠ Gap——因此完整性是誠實的,永不靜默地 100%。
3. 一個具體流程:SOC 2
假設你需要 SOC 2 證據。以付費方案上的工作區 Admin 身分,從主控台的 Compliance → Catalog 安裝套件。主控台使用你的工作階段(而非中繼金鑰)為你驅動管理路由:soc2 套件具現化一個遮罩機密 PII 並記錄防護欄決策的防護欄,外加一個稽核每次工具派發的防火牆規則——對應到 TSC CC6.1、CC7.2。它落在觀察模式,因此你在觀看匹配與事件動態的同時,你的代理所做的事不會被打斷。當動態看起來乾淨時,上線並產生報告:
4. 以程式化方式讀取登錄
目錄與就緒度讀取對 Member 開放,因此一位審查者或一個 CI 工作能夠在沒有寫入權限的情況下拉取目前的框架清單與每控制項狀態。主控台為這些管理路由使用你的工作階段:5. 從框架到底下的控制項
一個框架是你也能直接設定的控制項的一個檢視。如果你想理解或調校一個套件鋪設的東西——或親手建立相同的涵蓋——深度參考是:防護欄
內容平面參考——PII 與 PHI 實體、密鑰、不安全輸出,以及一個套件使用的 block / mask / flag 動作。
代理防火牆
動作平面參考——工具、MCP 與 egress 規則,以及一個套件防火牆政策背後的 audit / deny / sanitize 裁決。
套件包含什麼
每個框架具現化的確切防護欄與防火牆物件。
控制矩陣
在一個網格中橫跨框架對應的每個控制項。
6. 逐框架頁面
擁有各自專屬頁面的框架:SOC 2
HIPAA
GDPR
EU AI Act
ISO 27001
ISO 42001
NIST AI RMF
OWASP LLM Top 10
PCI DSS
CCPA
7. 這如何契合整體
觀察 vs 強制執行
先讓每個套件落在觀察模式;在上線之前讀懂訊號。
簽署報告
一份報告如何被雜湊與簽署,以及稽核師驗證什麼。
共同責任
閘道保護什麼相對於什麼仍是你的——任何框架主張背後的誠實邊界。
強制執行模式
觀察、稽核與強制執行——上線背後的共同詞彙。