跳轉到主要內容
當稽核員要求「證明你的 AI 流量受治理」時,你不會想要 截圖一個控制台。OrcaRouter 把你即時的防護欄與防火牆 姿態轉化為一份對應到監管框架的簽署、可公開驗證的證據報告—— SOC 2、HIPAA、GDPR、EU AI Act 等等。本 頁是該工作流程的 API 表面:如何瀏覽目錄、 安裝包、產生報告,並讓稽核員無需 OrcaRouter 帳號 就能驗證簽名。 合規性是 OrcaRouter 控制堆疊中的第三個平面,與 防護欄(文字)和 防火牆(工具呼叫)並列。一個合規性包只是 那兩者的一個預撰寫捆綁——安裝一個會在你的工作區物化出一個真實、 可編輯的防護欄和防火牆政策。
所有 /api/compliance/* 路由都以你的控制台工作階段/ 存取權杖(與你用於儀表板的相同登入)驗證,而非 sk-orca-… 中繼金鑰。從控制台設定一切;下方的 REST 表面是用於在 CI 中自動化證據收集。

1. 合規性 API 參考涵蓋什麼

兩個路由群組,兩種受眾:
群組驗證受眾
/api/compliance/*控制台工作階段你 + 你的稽核員(工作區內)
/api/public/compliance/*無(權杖/簽名)任何驗證報告的人
第一群組中的讀取——瀏覽目錄、已安裝的包、 就緒度、居住地和報告元資料——對每個工作區 成員開放且免費。每次寫入(安裝包、上線、產生 或下載報告、更改居住地、分享)需要工作區 Admin(伺服器強制)。安裝包、上線、匯出 CSV/JSON 或產生超過一份免費報告額外需要付費方案——但 更改居住地或產生你的第一份 PDF 不需要。

2. 瀏覽目錄並檢查就緒度

從唯讀開始。這三個端點不需要特殊角色且 不花錢:
返回框架登錄。OrcaRouter 為主要的 安全、隱私和 AI 治理體制提供包——包括 soc2hipaagdpruk_gdpreu_ai_actiso_27001iso_42001nist_ai_rmfnist_800_53pci_dssglbaccpa,以及一長 串地區性隱私法(PIPL、APPI、PIPA、LGPD、PIPEDA、DPDP, 以及美國各州法案)。OWASP Top 10 for LLM Applicationsowasp_llm)也作為一流的包提供——它物化出真實的 防護欄和防火牆控制(提示注入、不安全輸出、 敏感揭露、過度代理權限),就像其他每個 框架一樣。
列出此工作區中已物化的包,每個附帶其 生命週期模式(observeenforce),以及它建立的防護欄 + 防火牆 政策。
對照每個框架的檢查清單為你的當前姿態評分: 你即時的防護欄和防火牆規則已經滿足哪些 控制,以及哪些仍是你必須自己關閉的組織性缺口。 在安裝任何東西之前讀這個。

3. 安裝一個包

安裝包是價值時刻:它把一個真實的 Guardrail(文字/資料平面)和一個 WorkspaceFirewallPolicy 加規則 (工具呼叫平面)寫入你的工作區,標記到該框架。兩者 之後都完全可編輯——包是一個起點,而非鎖定的 範本。 
# Admin + 付費方案。先以觀察模式安裝。
curl -X POST https://api.orcarouter.ai/api/compliance/packs/soc2/install \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN"
新包以觀察模式落地——防護欄動作被強制為 flag, 防火牆處於影子/僅記錄——所以你可以在任何東西封鎖即時 流量之前觀察覆蓋度。當你準備好時,提升它: 
curl -X POST https://api.orcarouter.ai/api/compliance/packs/soc2/golive \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN"
golive 把物化的防護欄和防火牆政策翻轉為 強制執行。在審查過強制執行 模式後再執行它,這樣你就確切知道 denymask 會對即時流量做什麼。
其他包寫入(全部 Admin):POST …/packs/:key/controls 接線單一 控制,POST …/packs/:key/update 在目錄變更後重新同步, 而 DELETE …/packs/:key 解除安裝。

4. 產生一份簽署的證據報告

報告是你交給稽核員的成品。每一份都從 你即時的姿態渲染,以 SHA-256 內容雜湊,並以 Ed25519 簽署,使其無法在事後被默默編輯。 
curl -X POST https://api.orcarouter.ai/api/compliance/reports \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"framework":"soc2","format":"pdf"}'
格式為 pdfjsoncsv
你的第一份 PDF 報告免費,所以你可以展示這個成品。CSV/JSON 匯出和額外報告是付費方案的一部分——報告就是 可銷售的證據,所以當你達到免費上限時,閘道返回一條友善的 升級訊息,而非硬性錯誤。
GET …/reportsGET …/reports/:id 列出並擷取報告; 用 GET …/reports/:id/download(Admin)下載渲染好的檔案。

5. 讓稽核員驗證它——無需帳號

三個公開端點讓任何持有檔案的人能獨立檢查 報告:

取得公鑰

GET /api/public/compliance/pubkey 返回你的報告 用以簽署的 Ed25519 公鑰。

驗證簽名

POST /api/public/compliance/verify 檢查報告的簽名和 內容雜湊,並告訴呼叫者它是否被竄改過。

與稽核員分享

POST …/reports/:id/share(Admin)鑄造一個唯讀連結; 稽核員打開 GET /api/public/compliance/share/:token——無需登入。
因為驗證是公開且可離線檢查的,稽核員從不 觸及你的工作區或流量——他們確認密碼學並 讀取證據。

6. 資料居住地

這裡的居住地是你的合規性證據被蓋章和儲存的 地區——useuukapcnglobal。它管轄 報告儲存在何處,以及可從哪個地區提供;一份報告若從 非匹配地區讀取就會被扣留。(這是一個證據成品 控制,而非你的推論流量的地理鎖定。) 
curl -X PUT https://api.orcarouter.ai/api/compliance/residency \
  -H "Authorization: Bearer $ORCA_CONSOLE_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"region":"eu"}'
GET …/residency(任何成員)讀取當前設定;更改它 是 Admin。

7. 保留、抹除與稽核

合規性平面由跨閘道適用的相同資料生命週期保證 支撐:
請求日誌預設保留 30 天最多 180 天 ——閘道會夾住任何更長的設定。保留直接餵入 你的就緒度分數。
一個帳號刪除請求開啟一個 30 天寬限期( 預設),之後該帳號的 PII 被不可逆地清除: 級聯修訂保留請求日誌上的識別資訊,並清除 使用者範圍的防護欄匹配、防火牆事件和代理追蹤記錄。
合規性報告的變更日誌區段取自工作區 稽核日誌,範圍化到報告期間。匯出報告中成員和管理員 電子郵件預設被遮罩(例如 j•••@acme.com),除非 在產生時明確請求完整 PII。參見 稽核動作目錄

接下來去哪裡

防護欄 API

合規性包物化的文字/資料平面政策。

防火牆 API

包在其旁寫入的工具呼叫政策平面。

控制堆疊

防護欄、防火牆和合規性如何組合成單一姿態。

錯誤代碼

閘道可以返回的每個狀態,包括付費牆和角色把關。
關於術語定義——合規性包、簽署報告、資料居住地、 被遺忘權——參見概念詞彙表