compliance-mcp

一个 Python Model Context Protocol 服务器，它将 SOC2（信任服务标准）和 HIPAA（安全规则）合规性补救逻辑作为结构化工具暴露出来，供 AI 代理调用。

该服务器专为 LLM 驱动的工作流而构建：

发现 → 评估 → 补救 → 报告

每个工具都返回强类型的结构化内容（Pydantic 模型），因此调用代理可以在无需解析文本的情况下链接各个步骤。

特性

• 精选控制目录：涵盖 SOC2（通用标准 + 可用性 + 机密性样本）和 HIPAA（45 CFR 164.308 / .310 / .312 下的行政、物理和技术保障措施）。

• 评估引擎：根据提供的证据和观察结果对控制措施进行评分，并呈现匹配的证据、缺失的证据、发现的问题以及优先补救步骤。

• 规范性补救计划：包含有序步骤、推荐的所有者角色和工作量估算。

• 跨框架映射：SOC2 控制与 HIPAA 保障措施之间的映射。

• 报告生成：将多个针对控制的评估汇总为一份包含整体状态和人类可读摘要的优先补救计划。

• 通过官方 mcp Python SDK 暴露为 MCP 工具、资源和提示词。

安装

需要 Python 3.10+。

pip install -e ".[dev]"

运行

compliance-mcp

这将在 stdio 上启动 MCP 服务器。在任何支持 MCP 的客户端（Claude Desktop、Claude Code、自定义代理等）中进行配置：

{
  "mcpServers": {
    "compliance": {
      "command": "compliance-mcp"
    }
  }
}

工具

资源

• compliance://soc2/catalog – 所有 SOC2 控制的 JSON 转储

• compliance://hipaa/catalog – 所有 HIPAA 保障措施的 JSON 转储

• compliance://mappings – SOC2 → HIPAA 映射的 JSON 转储

提示词

• remediation_review – 指导代理使用工具来补救特定的控制措施。

代理工作流示例

1. list_soc2_controls(category="Logical and Physical Access")

2. assess_soc2_control(control_id="CC6.1", evidence=[...], observations=[...])

3. get_soc2_remediation(control_id="CC6.1", severity="high")

4. map_soc2_to_hipaa(soc2_control_id="CC6.1") 然后评估关联的 HIPAA 保障措施。

5. generate_soc2_report(generated_for="prod-platform", assessments=[...])

测试

pytest

测试套件涵盖了评估引擎的端到端测试，并验证了每个工具都已注册且可以通过 MCP 运行时调用。

项目布局

src/compliance_mcp/
  __init__.py
  models.py           # Pydantic data model
  engine.py           # Pure-Python assessment + remediation logic
  server.py           # FastMCP server: tools, resources, prompts
  data/
    soc2.py           # SOC2 control catalog
    hipaa.py          # HIPAA safeguard catalog
    mappings.py       # SOC2 ↔ HIPAA cross mappings
tests/
  test_engine.py
  test_server.py

注意事项

控制目录是有意挑选的子集，适用于驱动补救推理。它们不能替代 AICPA TSC 或 HHS HIPAA 安全规则的原文，也不应作为审计中唯一依赖的凭证。

许可证

MIT