compliance-mcp

Ein Python Model Context Protocol-Server, der SOC2 (Trust Services Criteria) und HIPAA (Security Rule) Compliance-Sanierungslogik als strukturierte Tools bereitstellt, die von KI-Agenten aufgerufen werden können.

Der Server wurde speziell für einen LLM-gesteuerten Workflow entwickelt:

erkennen → bewerten → sanieren → berichten

Jedes Tool liefert stark typisierte, strukturierte Inhalte (Pydantic-Modelle), sodass der aufrufende Agent Schritte verketten kann, ohne Prosa analysieren zu müssen.

Funktionen

• Kuratierte Kontrollkataloge für SOC2 (Common Criteria + Availability + Confidentiality-Beispiele) und HIPAA (Administrative, physische und technische Sicherheitsvorkehrungen gemäß 45 CFR 164.308 / .310 / .312).

• Bewertungs-Engine, die Kontrollen anhand bereitgestellter Nachweise und Beobachtungen bewertet und dabei übereinstimmende Nachweise, fehlende Nachweise, Erkenntnisse und priorisierte Sanierungsschritte aufzeigt.

• Vorgeschriebene Sanierungspläne mit geordneten Schritten, empfohlener Verantwortlichkeitsrolle und Aufwandsschätzungen.

• Framework-übergreifende Zuordnungen zwischen SOC2-Kontrollen und HIPAA-Sicherheitsvorkehrungen.

• Berichterstellung, die mehrere Einzelkontrollbewertungen zu einem priorisierten Sanierungsplan mit Gesamtstatus und einer für Menschen lesbaren Zusammenfassung zusammenfasst.

• Bereitstellung als MCP-Tools, Ressourcen und ein Prompt über das offizielle mcp Python SDK.

Installation

Erfordert Python 3.10+.

pip install -e ".[dev]"

Ausführung

compliance-mcp

Dies startet den MCP-Server über stdio. Binden Sie ihn in einen beliebigen MCP-fähigen Client ein (Claude Desktop, Claude Code, benutzerdefinierte Agenten usw.):

{
  "mcpServers": {
    "compliance": {
      "command": "compliance-mcp"
    }
  }
}

Tools

Ressourcen

• compliance://soc2/catalog – JSON-Dump jeder SOC2-Kontrolle

• compliance://hipaa/catalog – JSON-Dump jeder HIPAA-Sicherheitsvorkehrung

• compliance://mappings – JSON-Dump der SOC2 → HIPAA-Zuordnungen

Prompt

• remediation_review – führt einen Agenten durch die Verwendung der Tools zur Sanierung einer spezifischen Kontrolle.

Beispiel für einen Agenten-Workflow

1. list_soc2_controls(category="Logical and Physical Access")

2. assess_soc2_control(control_id="CC6.1", evidence=[...], observations=[...])

3. get_soc2_remediation(control_id="CC6.1", severity="high")

4. map_soc2_to_hipaa(soc2_control_id="CC6.1") und dann die verknüpften HIPAA-Sicherheitsvorkehrungen bewerten.

5. generate_soc2_report(generated_for="prod-platform", assessments=[...])

Testen

pytest

Die Test-Suite deckt die Bewertungs-Engine vollständig ab und überprüft, ob jedes Tool registriert ist und über die MCP-Laufzeit aufgerufen werden kann.

Projektstruktur

src/compliance_mcp/
  __init__.py
  models.py           # Pydantic data model
  engine.py           # Pure-Python assessment + remediation logic
  server.py           # FastMCP server: tools, resources, prompts
  data/
    soc2.py           # SOC2 control catalog
    hipaa.py          # HIPAA safeguard catalog
    mappings.py       # SOC2 ↔ HIPAA cross mappings
tests/
  test_engine.py
  test_server.py

Hinweise

Die Kontrollkataloge sind bewusst eine kuratierte Teilmenge, die sich für die Steuerung von Sanierungsüberlegungen eignet. Sie sind kein Ersatz für den AICPA TSC oder den Text der HHS HIPAA Security Rule selbst und sollten nicht das einzige Artefakt sein, auf das man sich bei einem Audit verlässt.

Lizenz

MIT