compliance-testing

compliance-testing 技能是一款專為在受監管環境中運作的軟體團隊所設計的專業 QE 引擎。它將 GDPR、CCPA、HIPAA、SOC2 和 PCI-DSS 等主要全球法規的複雜法律與安全要求，映射為可測試的控制項目，從而簡化合規性驗證流程。此技能專為品質保證工程師、安全官及負責維護審計就緒系統且需處理 PII（個人身份識別資訊）、PHI（受保護健康資訊）及 PCI 支付卡數據的 DevOps 團隊所設計。

透過運用此代理技能，團隊能從被動的合規檢查轉向持續性驗證。它能直接整合至開發生命週期中，確保資料主體權利、加密標準及存取日誌記錄在每次建置或部署循環中皆得到驗證。此技能擅長識別數據處理中的缺口，確保審計軌跡被持續維護，有效降低因合規性缺失而帶來的鉅額罰款與聲譽受損風險。

• 自動產生符合 GDPR 與 CCPA 要求之資料主體權利測試套件（存取、刪除、可攜性）。

• 驗證靜態與傳輸中數據的加密協定，特別針對 HIPAA 規範應用程式中的敏感 PHI 欄位。

• 執行自動化檢查，確保支付卡數據不會以明文儲存，並符合 PCI-DSS 的標記化 (Tokenization) 要求。

• 促進持續性審計日誌驗證，確認每次存取事件皆已記錄相關元數據。

• 協助產生具備具體證據日誌的審計就緒報告，大幅縮短正式安全審查前的準備時間。

• 與 qe-security-scanner 及 qe-quality-gate 代理無縫整合，防止不合規代碼進入生產環境。

• 使用者應定義測試範圍（如 'full-application' 或特定模組）並列出適用法規，以啟用正確的驗證邏輯。

• 預期輸入包括應用程式 API 架構、用於日誌驗證的資料庫存取配置，以及特定的使用者同意模型。

• 輸出通常包含測試執行摘要、合規性儀表板，以及包含已通過或失敗控制項目結構化證據的可下載 PDF 報告。

• 請記住，合規性是一個持續的過程；應儘早在 CI/CD 管線中整合這些檢查，以便在正式審計前及早發現違規事項。

• 請注意，此技能需要小心配置測試環境，以在不違反隱私政策的前提下，安全地模擬生產數據結構。