compliance-mcp

Сервер на Python для Model Context Protocol, который предоставляет логику устранения несоответствий SOC2 (Критерии доверенных услуг) и HIPAA (Правило безопасности) в виде структурированных инструментов, доступных для вызова ИИ-агентами.

Сервер специально разработан для рабочего процесса на базе LLM:

обнаружение → оценка → устранение → отчетность

Каждый инструмент возвращает строго типизированный структурированный контент (модели Pydantic), чтобы вызывающий агент мог связывать шаги в цепочку без необходимости парсинга текста.

Возможности

• Курируемые каталоги средств контроля для SOC2 (Общие критерии + Доступность + примеры Конфиденциальности) и HIPAA (Административные, физические и технические меры защиты согласно 45 CFR 164.308 / .310 / .312).

• Механизм оценки, который оценивает средства контроля на основе предоставленных доказательств и наблюдений, выявляя соответствующие доказательства, недостающие доказательства, результаты и приоритетные шаги по устранению.

• Предписанные планы устранения с упорядоченными шагами, рекомендуемой ролью ответственного и оценкой трудозатрат.

• Перекрестные сопоставления фреймворков между средствами контроля SOC2 и мерами защиты HIPAA.

• Генерация отчетов, которая объединяет оценки по нескольким средствам контроля в приоритетный план устранения с общим статусом и кратким изложением, понятным для человека.

• Предоставляется как инструменты, ресурсы и промпт MCP через официальный SDK mcp для Python.

Установка

Требуется Python 3.10+.

pip install -e ".[dev]"

Запуск

compliance-mcp

Это запускает MCP-сервер через stdio. Подключите его к любому клиенту с поддержкой MCP (Claude Desktop, Claude Code, пользовательские агенты и т. д.):

{
  "mcpServers": {
    "compliance": {
      "command": "compliance-mcp"
    }
  }
}

Инструменты

Ресурсы

• compliance://soc2/catalog – JSON-дамп всех средств контроля SOC2

• compliance://hipaa/catalog – JSON-дамп всех мер защиты HIPAA

• compliance://mappings – JSON-дамп сопоставлений SOC2 → HIPAA

Промпт

• remediation_review – направляет агента в процессе использования инструментов для устранения конкретного средства контроля.

Пример потока работы агента

1. list_soc2_controls(category="Logical and Physical Access")

2. assess_soc2_control(control_id="CC6.1", evidence=[...], observations=[...])

3. get_soc2_remediation(control_id="CC6.1", severity="high")

4. map_soc2_to_hipaa(soc2_control_id="CC6.1") затем оцените связанные меры защиты HIPAA.

5. generate_soc2_report(generated_for="prod-platform", assessments=[...])

Тестирование

pytest

Набор тестов охватывает механизм оценки от начала до конца и проверяет, что каждый инструмент зарегистрирован и доступен для вызова через среду выполнения MCP.

Структура проекта

src/compliance_mcp/
  __init__.py
  models.py           # Pydantic data model
  engine.py           # Pure-Python assessment + remediation logic
  server.py           # FastMCP server: tools, resources, prompts
  data/
    soc2.py           # SOC2 control catalog
    hipaa.py          # HIPAA safeguard catalog
    mappings.py       # SOC2 ↔ HIPAA cross mappings
tests/
  test_engine.py
  test_server.py

Предостережения

Каталоги средств контроля намеренно являются курируемым подмножеством, подходящим для обоснования процесса устранения несоответствий. Они не являются заменой текста AICPA TSC или Правила безопасности HIPAA HHS и не должны быть единственным артефактом, на который полагаются при аудите.

Лицензия

MIT