security-compliance-compliance-check

法规合规检查 - Regulatory Compliance Check

技能概述

专业的合规审计专家，帮助软件系统完成 GDPR、HIPAA、SOC2、PCI-DSS 等行业标准的合规评估与实施。

适用场景

合规准备评估：在正式认证前，评估系统对 GDPR、HIPAA、SOC2 或 PCI-DSS 的合规准备情况，识别差距和风险点

审计证据管理：构建控制检查清单，收集和组织审计所需的技术证据，确保符合第三方审计要求

持续合规监控：设计自动化的合规监控和报告机制，建立持续的审计跟踪，确保系统始终符合法规要求

核心功能

合规状态评估：全面分析系统在各项适用法规下的当前合规状态，生成详细的合规差距报告和严重程度评级

技术控制实施：提供具体的技术控制代码实现，包括访问控制、数据加密、审计日志等安全功能的代码示例和最佳实践

合规文档生成：自动生成合规所需的各类文档模板，包括隐私政策、用户同意书、合规声明、培训材料和审计程序脚本

常见问题

合规检查工具能替代法律顾问或正式认证吗？

不能。本技能专注于技术层面的合规评估和实施指导，帮助您识别差距、建立控制措施并准备审计证据。但正式的合规认证需要经过授权的第三方审计机构评估，法律建议应咨询专业律师。本技能是合规准备工作的有力辅助工具，而非认证机构的替代品。

SOC2、GDPR、HIPAA、PCI-DSS 应该优先做哪个？

这取决于您的业务类型和目标市场：

SOC2：面向美国市场的 SaaS/B2B 服务商最常被要求

GDPR：处理欧盟用户数据的任何企业必须遵守

HIPAA：处理美国受保护健康信息的医疗服务相关企业必备

PCI-DSS：处理信用卡支付的电商和金融企业必需

建议根据目标客户要求和业务优先级来确定。如果不确定，可以先用本技能进行多标准的合规差距评估，了解各项投入。

使用这个技能需要提供什么信息？

为了获得准确的合规评估，建议准备好：

系统架构和数据流图

现有的安全控制和策略文档

数据分类和处理流程

访问控制和身份认证机制说明

现有的审计日志和监控能力

技能会通过提问的方式逐步收集必要信息，您也可以直接描述您的合规目标和系统现状。