compliance-testing

compliance-testing 技能提供了一個全面的框架，用於驗證軟體是否符合 GDPR、CCPA、HIPAA、SOC2 和 PCI-DSS 等主要法規標準。此技能專為品質工程團隊、安全工程師和 DevOps 專業人員設計，協助組織減輕與法規不符相關的嚴重財務和聲譽風險。透過將合規驗證移至開發流程前端（Shift-Left），團隊可以在開發週期內識別法規缺口，而不必等到正式稽核，從而有效地將合規性轉變為持續且可觀察的品質指標。

• 自動將高階法規要求映射為具體、可測試的技術控制項目與斷言。

• 執行針對資料當事人權利的驗證測試，包括存取、刪除和可攜性機制。

• 驗證技術安全實作，例如靜態與傳輸中資料的加密、存取記錄與同意追蹤。

• 產生稽核就緒的報告，其中包含合規文件與產業認證所需的證據、時間戳記與元數據。

• 與更廣泛的 agentic-qe 代理集群整合，執行跨域安全掃描、API 合約驗證與依賴關係對應。

• 支援進階資料處理測試，例如確保信用卡號碼已標記化（tokenized）而非儲存，並確保 PII/PHI 資料受到防護，防止未經授權的存取。

• 調用此技能時，請指定合規範圍內的法規，以確保代理選取適當的控制對應。

• 確保資料庫與 API 端點可進行測試，因為此技能需要主動驗證資料狀態與記錄行為。

• 建議搭配 qe-security-scanner 與 qe-test-executor 代理程式使用，以獲得全方位的合規狀態檢查。

• 請注意稽核軌跡是強制性的；此技能依賴標準化的記錄模式來有效驗證合規性狀態。

• 此工具最適合在部署前的 CI/CD 階段使用，以防止隱私控制與資料保護機制出現退化。

• 專為高風險環境而設計，在這些環境中，不符合法規的處罰（如 GDPR 最高 4% 的營收罰款或 HIPAA 的高額罰款）代表著重大的業務風險。