compliance-testing

compliance-testing 技能是一款专为在受监管环境中运作的软件团队所设计的专业 QE 引擎。它将 GDPR、CCPA、HIPAA、SOC2 和 PCI-DSS 等主要全球法规的复杂法律与安全要求，映射为可测试的控制项目，从而简化合规性验证流程。此技能专为质量保证工程师、安全官及负责维护审计就绪系统且需处理 PII（个人身份识别信息）、PHI（受保护健康信息）及 PCI 支付卡数据的 DevOps 团队所设计。

通过运用此代理技能，团队能从被动的合规检查转向持续性验证。它能直接整合至开发生命周期中，确保数据主体权利、加密标准及访问日志记录在每次构建或部署循环中皆得到验证。此技能擅长识别数据处理中的缺口，确保审计轨迹被持续维护，有效降低因合规性缺失而带来的巨额罚款与声誉受损风险。

• 自动生成符合 GDPR 与 CCPA 要求之数据主体权利测试套件（访问、删除、可携带性）。

• 验证静态与传输中数据的加密协议，特别针对 HIPAA 规范应用程序中的敏感 PHI 字段。

• 执行自动化检查，确保支付卡数据不会以明文存储，并符合 PCI-DSS 的标记化 (Tokenization) 要求。

• 促进持续性审计日志验证，确认每次访问事件皆已记录相关元数据。

• 协助生成具备具体证据日志的审计就绪报告，大幅缩短正式安全审查前的准备时间。

• 与 qe-security-scanner 及 qe-quality-gate 代理无缝整合，防止不合规代码进入生产环境。

• 使用者应定义测试范围（如 'full-application' 或特定模块）并列出适用法规，以启用正确的验证逻辑。

• 预期输入包括应用程序 API 架构、用于日志验证的数据库访问配置，以及特定的用户同意模型。

• 输出通常包含测试执行摘要、合规性仪表板，以及包含已通过或失败控制项目结构化证据的可下载 PDF 报告。

• 请记住，合规性是一个持续的过程；应尽早在 CI/CD 管线中整合这些检查，以便在正式审计前及早发现违规事项。

• 请注意，此技能需要小心配置测试环境，以在不违反隐私政策的前提下，安全地模拟生产数据结构。