Compliance — Kiểm tra tuân thủ

Validate tuân thủ các quy chuẩn bảo mật và privacy: GDPR, SOC 2, HIPAA, PCI-DSS.

Cú pháp

/compliance-check                  # Kiểm tra toàn diện

Luồng hoạt động

1

Bước 1: Identify applicable frameworks

Xác định quy chuẩn áp dụng dựa trên: loại data, geography, industry.
2

Bước 2: Scan codebase

Kiểm tra code against compliance requirements:
  • Data handling, encryption, access controls
  • Logging, audit trail
  • PII processing, data retention
3

Bước 3: Evidence collection

Thu thập evidence: configs, policies, code patterns.
4

Bước 4: Report

Compliance report: pass/fail per requirement, action items.

Frameworks hỗ trợ

FrameworkFocusCommon Requirements
GDPREU data privacyConsent, data deletion, DPO, breach notification
SOC 2Service organization controlsAccess control, encryption, monitoring, incident response
HIPAAHealthcare dataPHI encryption, access logs, BAA
PCI-DSSPayment card dataCard data encryption, network segmentation, pen testing

Ví dụ thực tế

COMPLIANCE CHECK REPORT
├── Framework: SOC 2 Type II
├── Status: 85% compliant (17/20 controls)
├── PASS:
│   ├── CC6.1: Encryption at rest (AES-256) ✓
│   ├── CC6.2: Encryption in transit (TLS 1.3) ✓
│   ├── CC7.1: Monitoring enabled (CloudWatch) ✓
│   └── ... (14 more)
├── FAIL:
│   ├── CC6.3: No MFA for admin access
│   ├── CC7.2: Incident response plan missing
│   └── CC8.1: No formal change management process
└── ACTION ITEMS:
    ├── [ ] Enable MFA for all admin accounts
    ├── [ ] Document incident response procedure
    └── [ ] Implement change management with PR approvals

Khi nào dùng / không dùng

DùngKhông dùng
Trước audit chính thứcInternal tool, không có compliance requirements
Khi xử lý PII, payment dataCode review thường (dùng /code-review)
Onboarding compliance framework mớiSecurity vulnerability scan (dùng /ck-security)