1. SOC 2 AI 套件涵蓋什麼
SOC 2 套件把 AICPA Trust Services Criteria 對應到在每個跨閘道請求上執行的控制項。三條條款對應到即時強制執行;兩條是組織性的,且被揭露為缺口而非被主張。| TSC 條款 | 平面 | 控制項 |
|---|---|---|
| CC6.1 邏輯存取控制 | guardrail | 封鎖提示中的機密 PII |
| CC7.2 系統監控 | guardrail | 把每個防護欄決策記錄為證據 |
| CC7.2 異常偵測 | firewall | 稽核每一次工具派發 |
CC8.1 變更管理與 CC3.1 風險評估是人員與流程條款。代理伺服器無法強制執行它們,因此套件在主控台與報告上都把它們呈現為已揭露的缺口(或擁有者證明的列)——絕不作為自動化涵蓋。誠實的缺口正是讓其餘證據可信賴的東西。參見 控制矩陣。
2. 安裝套件——一個具體例子
安裝會把對應具現化成你工作區中的一個防護欄政策與一個防火牆政策,每個以套件的來源標記。 你從主控台做這件事,而非中繼金鑰: Compliance → Catalog → SOC 2 → Install 那是付費方案上的工作區 Admin 動作,且伺服器強制兩者。在底層,你的主控台工作階段呼叫:pii 防護欄規則——動作 block、stage input——你可以像任何其他規則一樣開啟、讀取並調校它。CC7.2 監控控制項把每個防護欄決策記錄為證據,而防火牆控制項把每次工具派發設為 audit 裁決。
3. 先觀察,然後上線
一次 SOC 2 安裝不會在第一天就開始封鎖流量。安裝落在觀察模式:防護欄動作被強制為flag,而防火牆政策以影子模式(僅記錄)執行。你在任何東西強制執行之前,對照真實流量取得「本來會封鎖」的證據。
當證據看起來合適時,工作區 Admin 把套件晉升到上線,這會還原宣告的動作——CC6.1 控制項開始封鎖,防火牆控制項持續稽核——並可選擇性地把具現化的政策晉升為工作區預設值。這就是 觀察 vs 強制執行 中描述的同一套紀律。
4. 你稽核師可驗證的簽署證據
套件的重點是報告。SOC 2 證據以一份帶有 SHA256 內容雜湊的 Ed25519 簽署報告產生,可匯出為 CSV、JSON 或 PDF,並可公開驗證——你的稽核師無需 OrcaRouter 登入即可檢查簽章。帶有真實計數的逐條款涵蓋
帶有真實計數的逐條款涵蓋
每個 TSC 列攜帶它的狀態——
covered、observe、gap 或 attested——以及該控制項本期實際觸發了多少次。一個封鎖了 4,000 個請求的 CC6.1 控制項,對稽核師而言讀起來不同於一個零匹配的,而報告兩者都顯示。來源沿襲
來源沿襲
每個具現化的控制項記錄它的
control_id(例如 soc2.confidentiality)、逐字條款(TSC CC6.1 Logical access controls)、平面,以及強制執行它的即時政策物件的 id——因此稽核師走訪 條款 → 控制項 → 強制執行的政策 → 匹配,沒有推斷的一步。公開驗證
公開驗證
5. 為你的 SOC 2 證據蓋上地區戳記
SOC 2 報告在你宣告的駐留地區下儲存與提供——us / eu / uk / ap / cn / global——而一份報告只在相符的地區下提供;跨地區讀取會被扣留。工作區 Admin 透過 PUT /api/compliance/residency 設定它。
請求日誌預設 30 天保留(被伺服器鉗制到 180 天硬性最大值),而一次使用者刪除執行一個 30 天寬限視窗然後一次 PII 清除——兩者在稽核師詢問你保留姿態時都相關。參見 保留 與 被遺忘權。
6. 下一步去哪裡
套件內容
一個套件的完整剖析——兩個平面、狀態與來源。
安裝一個套件
端到端的安裝流程、觀察模式與上線。
簽署報告
Ed25519 簽署的證據報告包含什麼。
控制矩陣
每條條款、它的平面,以及它是被涵蓋、被觀察還是一個缺口。
框架
完整目錄——HIPAA、GDPR、EU AI Act、ISO 27001 等。
防護欄 vs 防火牆
一個 SOC 2 套件寫入的兩個平面,由一個解析器執行。