跳转到主要内容
如果你运行一个支付支持智能体、一个拒付分流机器人,或任何处于 主账号(PAN)附近任何地方的 LLM 工作流,问题不是”我的模型是否 PCI 认证”——没有模型是。问题在于你的应用与模型之间的数据平面 能否阻止一个 PAN、一个卡密钥或一次破坏性工具调用到达模型或对 你的持卡人数据环境运行。这正是 PCI DSS 包给你的:一套映射到 PCI DSS 4.0 的网关控制,一次调用即可安装,产生签名证据——并在 最前面明确陈述组织性边界。
你的持卡人数据环境(CDE)——分段、物理访问,以及你的信息 安全策略——是你组织的责任,而非网关能够执行的控制。 OrcaRouter 可以掩码 PAN、拦截卡密钥、拒绝危险工具并签名证据——但 CDE 项目 是你的。包把那些条款披露为你证明的组织性控制,绝不作为自动覆盖。 参见下方 那条边界

1. “PCI DSS AI”治理在网关上意味着什么

PCI DSS 包(pci_dssPCI DSS 4.0)把该标准的要求映射到实时 网关控制。像每个 合规包 一样,安装它会在你的工作区中实体化真实、可编辑的 防护栏防火墙 策略——它不添加新的运行时引擎。三个可执行的控制做持卡人数据 工作:
pci.pan_blockPCI DSS Req 3.4,使 PAN 不可读)在 Luhn 校验的卡号到达模型之前拦截提示词中的它们,并把它们与 银行路由工具——IBAN 和 SWIFT/BIC 代码——配对,后者由其字面 上下文词守卫,于是一个仅共享结构形态的大写发票或追踪 ID 不会 被误拒。PAN 检测搭载 credit_card PII 实体,所以 Luhn 检查是内建的。
pci.secret_hygienePCI DSS Req 8.3,对凭据采用强加密) 拦截 API 密钥和私钥穿越网关,于是一个凭据无法被泄露进一个 提示词或响应。这是 Secrets Blocker 防护栏——在每个请求上 捕获密钥的同一个控制。
pci.dangerous_toolsPCI DSS Req 2.2,安全配置)是一条 防火墙 规则,跨每一种命名约定——在 inbound 和 MCP 执行面上——拒绝 shell 类和 exec 类工具调用, 于是一个智能体无法运行触碰持卡人数据的破坏性命令。其他一切 保持在策略的 audit 默认。
前两个控制存在于内容平面(防护栏);第三个存在于工具调用平面 (防火墙)。安装把它们合并到一个你拥有并可调优的防护栏和 一条防火墙策略中。
框架还交付两条条款,但它们被标记为组织性:维护一份信息安全 策略(Req 12.1)和限制对持卡人数据的物理访问(Req 9)。那些是 代理永远无法执行的涉及人员与流程的控制——报告把它们披露为被 证明的或缺口,而非自动覆盖。诚实正是要点。

2. 安装 PCI DSS 包——一个具体例子

合规配置使用你的控制台会话,绝非中继 sk-orca-… 密钥。浏览 目录和检查就绪度对任何工作区 Member 免费;安装是付费 套餐上一个工作区 Admin 动作,双向受服务端门控。
1

打开 PCI DSS 包

在工作区控制台中,转到 Compliance → Catalog 并打开 PCI DSS 4.0(它在 financial 类别下)。每个控制列出它的 平面、它的要求,以及一个指向官方 PCI SSC 文档库的深链接。
2

以观察模式安装

作为付费套餐上的工作区 Admin,点击 Install。包立即以 观察模式实体化——防护栏标记而非拦截,防火墙以影子模式 运行——于是你先针对真实流量收集”本会拦截”的证据。
3

观察,然后上线

让影子控制积累匹配、审视它们,然后把包上线以开启声明的 block / deny 动作。参见 观察 vs 执行
控制台在你的 Admin 会话令牌下驱动一个端点——这里展示它,方便 你审计或编写脚本,而非作为你用中继密钥调用的东西: 
POST /api/compliance/packs/pci_dss/install
Authorization: Bearer <your-console-session-token>
Content-Type: application/json

{ }
一个空 body 安装包中的每一个控制。响应是安装记录——被钉住 的版本、mode: observe,以及两个实体化策略的 guardrail_idfirewall_policy_id,让你可以立刻打开它们。
因为安装产生的是标准的防护栏和防火墙对象,你可以通过 firewall_policy_id 把实体化的防火墙策略附加到一个智能体密钥上、 通过 guardrail_id 把防护栏附加到一个密钥上(或把它设为工作区 默认),并逐实体调优 PAN 规则——完全像你手动编写的策略一样。

3. 那条诚实的边界——CDE 是你的

一个 PCI 项目远不止是一个脱敏过滤器。网关覆盖一个数据平面实际 能执行的控制;其余一切仍归你的组织。这里是这条区分,以与 责任共担地图 相同的 方式画出:
控制领域网关执行你的组织拥有
流量中的 PAN拦截提示词中 Luhn 校验的 PAN、IBAN、SWIFT/BIC界定哪些字段是持卡人数据
卡密钥拦截穿越网关的 API / 私钥网关路径之外的密钥托管
危险工具拒绝 CDE 附近的 shell / exec 调用保护绕过网关的工具
CDE 与策略—(披露为被证明 / 缺口)分段;物理访问;信息安全策略
网关是被审计的路径,而非内核级拦截器。一个你的智能体完全 在进程内运行的工具——一个从不穿越 https://api.orcarouter.ai 也从不报告 egress 目的地的工具——在防火墙的视野之外。把触碰 持卡人数据的工具和 MCP 调用路由经过网关(通过 防火墙 MCP 网关),让危险工具控制能 看到它们,或者在你的 CDE 内部自己保护它们。

4. 证明它——签名、区域戳记的证据

包一旦上线,生成一份 PCI DSS 报告。报告是 Ed25519 签名和 SHA-256 戳记的,可导出为 CSV / JSON / PDF,且公开可验证—— 评估师无需登录就能确认一份报告的真实性。每一行把一条要求追踪 到执行它的确切防护栏或防火墙策略以及它在周期内产生的匹配; 两个组织性条款渲染为被披露的缺口或所有者证明。 你还为报告制品声明一个数据驻留区域us / eu / uk / ap / cn / global)——签名报告只在你声明的区域下存储和提供 服务,且跨区域读取被扣留。这戳记证据制品,而非推理的地理 位置。
安装一个包和上线需要付费套餐上的工作区 Admin,在服务端执行。 报告生成需要 Admin(免费套餐:一份 PDF;CSV/JSON 和额外报告 付费);设置驻留地受 Admin 门控。浏览目录和检查就绪度保持免费。 参见 套餐门控

5. 接下来去哪里

安装一个包

完整的安装流程——控制选择、观察模式和上线。

签名报告

Ed25519 签名的 PCI DSS 证据报告包含什么。

验证一份报告

评估师如何在无登录的情况下确认一份报告真实。

防护栏参考

包实体化的内容平面——PII 实体、Secrets Blocker、动作。

危险工具调用

防火墙控制所防御的威胁。

数据驻留

声明你的签名证据被存储和提供服务所在的区域。
PCI DSS 包把你能放在一个数据平面上的 4.0 要求转化为 PAN 掩码、 密钥拦截、危险工具拒绝,以及你可以交给评估师的签名证据——同时 明确说明 CDE、分段和你的信息安全策略仍归你。关于目录的其余 部分,参见 框架