compliance-testing

compliance-testing 技能提供了一个全面的框架，用于验证软件是否符合 GDPR、CCPA、HIPAA、SOC2 和 PCI-DSS 等主要法规标准。此技能专为质量工程团队、安全工程师和 DevOps 专业人员设计，帮助组织减轻与法规不符相关的严重财务和声誉风险。通过将合规验证移至开发流程前端（Shift-Left），团队可以在开发周期内识别法规缺口，而不必等到正式审计，从而有效地将合规性转变为持续且可观察的质量指标。

• 自动将高阶法规要求映射为具体、可测试的技术控制项目与断言。

• 执行针对数据当事人权利的验证测试，包括访问、删除和可移植性机制。

• 验证技术安全实施，例如静态与传输中数据的加密、访问记录与同意追踪。

• 生成审计就绪的报告，其中包含合规文件与行业认证所需的证据、时间戳与元数据。

• 与更广泛的 agentic-qe 代理集群集成，执行跨域安全扫描、API 合约验证与依赖关系映射。

• 支持高级数据处理测试，例如确保信用卡号码已标记化（tokenized）而非存储，并确保 PII/PHI 数据受到防护，防止未经授权的访问。

• 调用此技能时，请指定合规范围内的法规，以确保代理选取适当的控制映射。

• 确保数据库与 API 端点可进行测试，因为此技能需要主动验证数据状态与记录行为。

• 建议搭配 qe-security-scanner 与 qe-test-executor 代理程序使用，以获得全方位的合规状态检查。

• 请注意审计轨迹是强制性的；此技能依赖标准化的记录模式来有效验证合规性状态。

• 此工具最适合在部署前的 CI/CD 阶段使用，以防止隐私控制与数据保护机制出现退化。

• 专为高风险环境而设计，在这些环境中，不符合法规的处罚（如 GDPR 最高 4% 的营收罚款或 HIPAA 的高额罚款）代表着重大的业务风险。