实施合规Skill implementing-compliance

实施合规技能专注于通过统一控制映射、政策代码执行和自动化证据收集,实现SOC 2、HIPAA、PCI-DSS和GDPR等合规框架的持续合规。适用于构建SaaS产品、处理医疗数据、处理支付卡数据或服务欧盟居民的系统。关键词:合规、安全控制、自动化、审计、SOC 2、HIPAA、PCI-DSS、GDPR、政策代码、证据收集。

合规 0 次安装 2 次浏览 更新于 3/23/2026

名称: 实施合规 描述: 通过统一控制映射、政策代码执行和自动化证据收集,实施和维护SOC 2、HIPAA、PCI-DSS和GDPR的合规性。在构建需要监管合规的系统、跨多个框架实施安全控制或自动化审计准备时使用。

合规框架

通过统一控制映射、政策代码执行和自动化证据收集,实现主要监管框架的持续合规。

目的

现代合规是一个需要安全控制技术实现的持续工程学科。本技能提供使用基础设施即代码、政策自动化和证据收集实现SOC 2 Type II、HIPAA、PCI-DSS 4.0和GDPR合规的模式。关注统一控制,同时满足多个框架,以减少60-80%的实施工作量。

何时使用

在以下情况调用:

  • 构建需要SOC 2 Type II用于企业销售的SaaS产品
  • 处理需要HIPAA合规的医疗数据(PHI)
  • 处理需要PCI-DSS验证的支付卡
  • 服务欧盟居民并在GDPR下处理个人数据
  • 实施满足多个合规框架的安全控制
  • 自动化合规证据收集和审计准备
  • 在CI/CD管道中执行合规政策

框架选择

第一层: 信任与安全认证

SOC 2 Type II

  • 受众: SaaS供应商、云服务提供商
  • 当需要时: 企业B2B销售、处理客户数据
  • 时间线: 6-12个月观察期
  • 2025年更新: 月度控制测试、AI治理、72小时违规披露

ISO 27001

  • 受众: 全球企业
  • 当需要时: 国际业务、政府合同
  • 时间线: 3-6个月认证、年度监督

第二层: 行业特定法规

HIPAA(医疗保健)

  • 受众: 医疗保健提供者、处理PHI的医疗科技
  • 当需要时: 处理受保护健康信息
  • 2025年重点: 零信任架构、EDR/XDR、AI评估

PCI-DSS 4.0(支付卡行业)

  • 受众: 商家、支付处理器
  • 当需要时: 处理、存储、传输持卡人数据
  • 生效: 2025年4月1日(强制性)
  • 关键变化: 客户端安全、12字符密码、增强MFA

第三层: 隐私法规

GDPR(欧盟隐私)

  • 受众: 处理欧盟居民数据的组织
  • 当需要时: 欧盟客户/用户(域外适用)
  • 2025年更新: 48小时违规报告、6%收入罚款、AI透明度

CCPA/CPRA(加州隐私)

  • 受众: 服务加州居民的企业
  • 当需要时: 收入>$2500万,或10万+加州居民,或50%+收入来自数据销售

详细框架要求,参见references/soc2-controls.md、references/hipaa-safeguards.md、references/pci-dss-requirements.md和references/gdpr-articles.md。

通用控制实施

统一控制策略

实施一次控制,映射到多个框架。减少60-80%工作量。

实施优先级:

  1. 加密 (ENC-001, ENC-002): AES-256静态加密,TLS 1.3传输加密
  2. 访问控制 (MFA-001, RBAC-001): MFA、RBAC、最小权限
  3. 审计日志 (LOG-001): 集中化、不可变、7年保留
  4. 监控 (MON-001): SIEM、入侵检测、告警
  5. 事件响应 (IR-001): 检测、升级、违规通知

控制类别

身份与访问:

  • 特权访问的多因素认证
  • 基于角色的访问控制与最小权限
  • 季度访问审查
  • 密码策略: 12+字符、复杂性

数据保护:

  • 加密: AES-256(静态),TLS 1.3(传输)
  • 数据分类和标签
  • 符合法规的保留政策
  • 数据最小化

日志与监控:

  • 集中化审计日志(所有认证和数据访问)
  • 7年保留(满足所有框架)
  • 不可变存储(S3对象锁)
  • 实时告警

网络安全:

  • 网络分段和VPC隔离
  • 默认拒绝防火墙
  • 入侵检测/预防
  • 定期漏洞扫描

事件响应:

  • 文档化事件响应计划
  • 自动化检测和告警
  • 违规通知: HIPAA 60天,GDPR 48小时,SOC 2 72小时,PCI-DSS 立即

业务连续性:

  • 自动化备份,定义RPO/RTO
  • 多区域灾难恢复
  • 定期故障转移测试

完整控制实施,参见references/control-mapping-matrix.md。

合规即代码

使用OPA的政策执行

在CI/CD基础设施部署前执行合规政策。

架构:

Git推送 → Terraform计划 → JSON → OPA评估
                                    ├─► 通过 → 部署
                                    └─► 失败 → 阻止

示例: 加密政策

强制执行加密要求(SOC 2 CC6.1,HIPAA §164.312(a)(2)(iv),PCI-DSS Req 3.4):

参见examples/opa-policies/encryption.rego获取完整实现。

CI/CD集成:

terraform plan -out=tfplan.binary
terraform show -json tfplan.binary > tfplan.json
opa eval --data policies/ --input tfplan.json 'data.compliance.main.deny'

完整CI/CD模式,参见references/cicd-integration.md。

使用Checkov的静态分析

扫描IaC,内置合规框架支持:

checkov -d ./terraform \
  --check SOC2 --check HIPAA --check PCI --check GDPR \
  --output cli --output json

创建自定义政策以满足组织特定要求。参见examples/checkov-policies/获取示例。

自动化测试

将合规验证集成到测试套件中:

def test_s3_encrypted(terraform_plan):
    """SOC2:CC6.1, HIPAA:164.312(a)(2)(iv)"""
    buckets = get_resources(terraform_plan, "aws_s3_bucket")
    encrypted = get_encryption_configs(terraform_plan)
    assert all_buckets_encrypted(buckets, encrypted)

def test_opa_policies():
    result = subprocess.run(["opa", "eval", "--data", "policies/",
        "--input", "tfplan.json", "data.compliance.main.deny"])
    assert not json.loads(result.stdout)

完整测试模式,参见references/compliance-testing.md。

技术控制实施

静态加密

标准: AES-256、托管KMS、自动轮换

AWS示例:

resource "aws_kms_key" "data" {
  enable_key_rotation = true
  tags = { Compliance = "ENC-001" }
}

resource "aws_s3_bucket_server_side_encryption_configuration" "data" {
  bucket = aws_s3_bucket.data.id
  rule {
    apply_server_side_encryption_by_default {
      sse_algorithm     = "aws:kms"
      kms_master_key_id = aws_kms_key.data.arn
    }
  }
}

resource "aws_db_instance" "main" {
  storage_encrypted = true
  kms_key_id       = aws_kms_key.data.arn
}

完整加密实现,包括Azure和GCP,参见references/encryption-implementations.md。

传输加密

标准: TLS 1.3(最低TLS 1.2)、强密码套件、HSTS

ALB示例:

resource "aws_lb_listener" "https" {
  port       = 443
  protocol   = "HTTPS"
  ssl_policy = "ELBSecurityPolicy-TLS13-1-2-2021-06"
}

多因素认证

标准: TOTP、硬件令牌、特权访问的生物识别

AWS IAM执行:

resource "aws_iam_policy" "require_mfa" {
  policy = jsonencode({
    Statement = [{
      Effect = "Deny"
      NotAction = ["iam:CreateVirtualMFADevice", "iam:EnableMFADevice"]
      Resource = "*"
      Condition = {
        BoolIfExists = { "aws:MultiFactorAuthPresent" = "false" }
      }
    }]
  })
}

应用级MFA(TOTP),参见examples/mfa-implementation.py。

基于角色的访问控制

标准: 最小权限、基于职务角色的角色、季度审查

Kubernetes示例:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: developer
  namespace: development
rules:
- apiGroups: ["", "apps"]
  resources: ["pods", "deployments", "services"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get", "list"]  # 只读

完整RBAC模式,包括AWS IAM和OPA政策,参见references/access-control-patterns.md。

审计日志

标准: 结构化JSON、7年保留、不可变存储

必需事件: 认证、授权、数据访问、管理操作、安全事件

Python示例:

class AuditLogger:
    def log_event(self, event_type, user_id, resource_type,
                  resource_id, action, result, ip_address):
        audit_event = {
            "timestamp": datetime.utcnow().isoformat() + "Z",
            "event_type": event_type.value,
            "user_id": user_id,
            "action": action,
            "result": result,
            "resource": {"type": resource_type, "id": resource_id},
            "source": {"ip": ip_address}
        }
        self.logger.info(json.dumps(audit_event))

日志保留:

resource "aws_cloudwatch_log_group" "audit" {
  retention_in_days = 2555  # 7年
  kms_key_id        = aws_kms_key.logs.arn
}

resource "aws_s3_bucket_object_lock_configuration" "audit" {
  bucket = aws_s3_bucket.audit_logs.id
  rule {
    default_retention { mode = "COMPLIANCE"; years = 7 }
  }
}

完整审计日志模式,包括HIPAA PHI访问日志,参见references/audit-logging-patterns.md。

证据收集自动化

持续监控

自动化证据收集以进行持续合规验证。

架构:

AWS配置 → EventBridge → Lambda → S3(证据)
                                   → DynamoDB(状态)

证据收集:

class EvidenceCollector:
    def collect_encryption_evidence(self):
        evidence = {
            "control_id": "ENC-001",
            "frameworks": ["SOC2-CC6.1", "HIPAA-164.312(a)(2)(iv)"],
            "timestamp": datetime.utcnow().isoformat(),
            "status": "PASS",
            "findings": []
        }
        # 检查S3、RDS、EBS加密状态
        # 记录发现
        return evidence

完整证据收集器,参见examples/evidence-collection/evidence_collector.py。

审计报告生成

自动生成合规报告:

class AuditReportGenerator:
    def generate_soc2_report(self, start_date, end_date):
        controls = self.get_control_status("SOC2")
        return {
            "framework": "SOC 2 Type II",
            "compliance_score": self.calculate_score(controls),
            "trust_services_criteria": {...},
            "controls": self.format_controls(controls)
        }

完整报告生成器,参见examples/evidence-collection/report_generator.py。

控制映射矩阵

跨框架的统一控制映射:

控制 SOC 2 HIPAA PCI-DSS GDPR ISO 27001
MFA CC6.1 §164.312(d) Req 8.3 Art 32 A.9.4.2
静态加密 CC6.1 §164.312(a)(2)(iv) Req 3.4 Art 32 A.10.1.1
传输加密 CC6.1 §164.312(e)(1) Req 4.1 Art 32 A.13.1.1
审计日志 CC7.2 §164.312(b) Req 10.2 Art 30 A.12.4.1
访问审查 CC6.1 §164.308(a)(3)(ii)© Req 8.2.4 Art 32 A.9.2.5
漏洞扫描 CC7.1 §164.308(a)(8) Req 11.2 Art 32 A.12.6.1
事件响应 CC7.3 §164.308(a)(6) Req 12.10 Art 33 A.16.1.1

策略: 用适当标签实施一次,映射到所有适用框架。

完整控制映射,含45+控制,参见references/control-mapping-matrix.md。

违规通知要求

框架特定时间线:

  • HIPAA: 60天内通知HHS和受影响个人
  • GDPR: 48小时内通知监管机构(2025年更新)
  • SOC 2: 72小时内通知受影响客户
  • PCI-DSS: 立即通知支付品牌

必需元素:

  • 事件描述及涉及数据
  • 受影响个人估计数量
  • 采取的缓解措施
  • 问题联系信息
  • 补救行动和时间线

事件响应模板,参见references/incident-response-templates.md。

供应商管理

业务关联协议(HIPAA):

  • 所有处理PHI的供应商必需
  • 指定允许使用和披露
  • 要求适当保护措施
  • 年度审查和更新

数据处理协议(GDPR):

  • 所有处理个人数据的供应商必需
  • 仅根据控制者指示处理
  • 实施适当技术措施
  • 子处理器批准必需

评估过程:

  1. 按数据访问级别进行风险分类
  2. 安全问卷评估
  3. BAA/DPA执行
  4. SOC 2报告收集(≤90天旧)
  5. 年度重新评估

供应商管理模板,参见references/vendor-management.md。

工具与库

政策即代码:

  • Open Policy Agent(OPA): 通用政策引擎
  • Checkov: 带合规框架的IaC安全扫描
  • tfsec: Terraform安全扫描器
  • Trivy: 容器和IaC扫描器

合规自动化:

  • AWS配置: AWS资源合规监控
  • Cloud Custodian: 多云合规自动化
  • Drata/Vanta/Secureframe: 持续合规平台

工具选择指南,参见references/tool-recommendations.md。

与其他技能集成

相关技能:

  • security-hardening: 技术安全控制实施
  • secret-management: 按HIPAA/PCI-DSS处理秘密
  • infrastructure-as-code: 实施合规控制的IaC
  • kubernetes-operations: K8s RBAC、网络政策
  • building-ci-pipelines: CI/CD中政策执行
  • siem-logging: 审计日志和监控
  • incident-management: 事件响应程序

快速参考

实施检查清单:

  • [ ] 识别适用框架
  • [ ] 实施加密(AES-256,TLS 1.3)
  • [ ] 配置特权访问的MFA
  • [ ] 实施最小权限的RBAC
  • [ ] 设置审计日志(7年保留)
  • [ ] 配置安全监控/告警
  • [ ] 创建事件响应计划
  • [ ] 执行供应商协议(BAAs,DPAs)
  • [ ] 实施政策即代码(OPA,Checkov)
  • [ ] 自动化证据收集
  • [ ] 进行季度访问审查
  • [ ] 执行年度风险评估

常见错误:

  • 将合规视为一次性项目而非持续过程
  • 按框架实施而非统一控制
  • 手动证据收集而非自动化
  • 日志保留不足(<7年)
  • 缺少MFA执行
  • 未加密备份/日志
  • 供应商尽职调查不足

参考

框架详情:

  • references/soc2-controls.md - SOC 2 TSC控制目录
  • references/hipaa-safeguards.md - HIPAA保护措施
  • references/pci-dss-requirements.md - PCI-DSS 4.0要求
  • references/gdpr-articles.md - GDPR关键条款

实施模式:

  • references/control-mapping-matrix.md - 统一控制映射
  • references/encryption-implementations.md - 加密模式
  • references/access-control-patterns.md - MFA、RBAC实施
  • references/audit-logging-patterns.md - 日志要求
  • references/incident-response-templates.md - IR程序

自动化:

  • references/cicd-integration.md - OPA/Checkov CI/CD集成
  • references/compliance-testing.md - 自动化测试模式
  • references/vendor-management.md - 供应商评估模板
  • references/tool-recommendations.md - 工具选择指南

代码示例:

  • examples/opa-policies/ - OPA政策示例
  • examples/terraform/ - Terraform控制实施
  • examples/evidence-collection/ - 证据自动化
  • examples/mfa-implementation.py - TOTP MFA实施

咨询合格法律顾问和审计师以进行法律解释和审计准备。