Us Compliance MCP

🚀 美國法規MCP服務器

在人工智能時代助力您應對美國合規挑戰

您可以直接通過Claude、Cursor或任何支持MCP的客戶端查詢**《健康保險流通與責任法案》（HIPAA）、《加州消費者隱私法案》（CCPA）、《薩班斯-奧克斯利法案》（SOX）、《格雷姆-利奇-比利雷法案》（GLBA）、《家庭教育權利和隱私法案》（FERPA）、《兒童在線隱私保護法案》（COPPA）、《美國食品藥品監督管理局（FDA）21 CFR第11部分》、《FDA 21 CFR 820（質量體系法規/QMSR）》、《FDA上市前和上市後網絡安全指南》、《聯邦食品、藥品和化妝品法案》第524B節（《PATCH法案》）、《關鍵基礎設施網絡事件報告法案》（CIRCIA）、《美國環境保護署（EPA）風險管理計劃》（RMP）、《聯邦金融機構檢查委員會（FFIEC）指南》、《紐約州金融服務部（NYDFS）500號法規》以及4項州隱私法（弗吉尼亞州《消費者數據保護法案》（CDPA）、科羅拉多州《隱私法案》（CPA）、康涅狄格州《數據隱私法案》（CTDPA）、猶他州《消費者隱私法案》（UCPA））**。

如果您正在為美國市場開發醫療技術、消費應用程序或金融服務，那麼這個合規參考工具將非常適合您。

本項目由 Ansvar Systems 開發 —— 瑞典斯德哥爾摩

🚀 快速開始

遠程使用（無需安裝）

直接連接到託管版本 —— 零依賴，無需安裝任何東西。

端點： https://us-regulations-mcp.vercel.app/mcp

Claude桌面版 —— 添加到 claude_desktop_config.json：

{
  "mcpServers": {
    "us-regulations": {
      "type": "url",
      "url": "https://us-regulations-mcp.vercel.app/mcp"
    }
  }
}

GitHub Copilot —— 添加到VS Code settings.json：

{
  "github.copilot.chat.mcp.servers": {
    "us-regulations": {
      "type": "http",
      "url": "https://us-regulations-mcp.vercel.app/mcp"
    }
  }
}

本地使用（npm）

npx @ansvar/us-regulations-mcp

Claude桌面版 —— 添加到 claude_desktop_config.json：

macOS： ~/Library/Application Support/Claude/claude_desktop_config.json Windows： %APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "us-regulations": {
      "command": "npx",
      "args": ["-y", "@ansvar/us-regulations-mcp"]
    }
  }
}

Cursor / VS Code：

{
  "mcp.servers": {
    "us-regulations": {
      "command": "npx",
      "args": ["-y", "@ansvar/us-regulations-mcp"]
    }
  }
}

✨ 主要特性

• 法規查詢便捷：可直接通過Claude、Cursor或任何MCP兼容客戶端查詢多種美國聯邦和州法規。
• 數據來源可靠：所有法規文本均從官方來源獲取，如eCFR.gov、California LegInfo等。
• 智能上下文管理：搜索返回帶高亮匹配的32令牌片段，支持跨引用，方便導航。
• 安全合規保障：遵循OpenSSF最佳實踐，進行自動化安全掃描、每日更新監控、安全發佈和安全指標評估。
• 提供多種工具：服務器提供9種MCP工具，可進行全文搜索、特定法規章節檢索、法規比較等操作。

📦 安裝指南

遠程使用

直接連接到託管版本，無需安裝任何依賴，端點為 https://us-regulations-mcp.vercel.app/mcp ，不同客戶端有不同的連接方式，具體見上文“快速開始 - 遠程使用”部分。

本地使用

使用npm進行安裝，命令為 npx @ansvar/us-regulations-mcp ，並根據不同客戶端（Claude桌面版、Cursor / VS Code）進行相應的配置，具體配置內容見上文“快速開始 - 本地使用”部分。

💻 使用示例

基礎用法

連接到服務器後，您可以自然地提出問題，例如：

• 醫療保健與HIPAA相關
  • “HIPAA安全規則對訪問控制有哪些要求？”
  • “我的遠程醫療應用程序是否需要遵守HIPAA？”
  • “HIPAA對電子受保護健康信息（ePHI）訪問需要哪些審計日誌？”
  • “我需要多長時間報告HIPAA違規事件？”
• 隱私與CCPA相關
  • “比較HIPAA和CCPA的違規通知時間線”
  • “CCPA為數據刪除提供了哪些消費者權利？”
  • “如果我有10,000名加州客戶，是否需要遵守CCPA？”
  • “根據CCPA，什麼是個人信息的‘銷售’？”
• 金融與SOX相關
  • “SOX第404節需要哪些IT控制措施？”
  • “哪些NIST 800 - 53控制措施滿足SOX審計要求？”
  • “根據SOX，我必須保留財務記錄多長時間？”
  • “SOX內部控制評估有哪些要求？”

高級用法

您可以使用服務器提供的9種MCP工具進行更復雜的操作，例如：

• 使用 compare_requirements 工具比較多個法規中的特定主題要求。
• 使用 map_controls 工具將NIST控制措施映射到法規章節。
• 使用 check_applicability 工具確定哪些法規適用於您所在的行業。

詳細的工具參考請見 docs/tools.md。

📚 詳細文檔

包含的法規

v1.2版本法規（共20項，約192個章節）

醫療保健與隱私：

• HIPAA - 《健康保險流通與責任法案》
  • 隱私規則（45 CFR Part 164 Subpart E）
  • 安全規則（45 CFR 164 Subpart C）
  • 違規通知規則（45 CFR 164 Subpart D）
• CCPA/CPRA - 《加州消費者隱私法案》/《隱私權利法案》
  • 《加州民法典》§1798.100 - 1798.199
  • 消費者權利和企業義務

金融服務：

• SOX - 《薩班斯 - 奧克斯利法案》
  • 關鍵法規章節（第101、201、301、302、404、409、802、806、906節）
  • 美國證券交易委員會（SEC）實施法規（17 CFR 229.308、240.13a - 14、240.13a - 15）
  • 公眾公司會計監督委員會（PCAOB）審計標準（AS 2201）
  • IT通用控制指南
• GLBA - 《格雷姆 - 利奇 - 比利雷法案》安全規則（v1.1版本新增）
  • 16 CFR Part 314
  • 金融機構數據安全要求

教育：

• FERPA - 《家庭教育權利和隱私法案》（v1.1版本新增）
  • 34 CFR Part 99
  • 學生教育記錄隱私

兒童隱私：

• COPPA - 《兒童在線隱私保護法案》（v1.1版本新增）
  • 16 CFR Part 312
  • 收集13歲以下兒童數據的要求

製藥與醫療設備：

• FDA 21 CFR Part 11 - 電子記錄和簽名（v1.1版本新增）
  • 受FDA監管行業的電子記錄保存和數字簽名
• FDA上市前網絡安全指南 - 醫療設備網絡安全（新增）
  • 安全產品開發框架（SPDF）、威脅建模、軟件物料清單（SBOM）要求
  • 涵蓋網絡設備定義（第524B節）、OTS軟件和上市前提交內容
• FDA上市後網絡安全指南 - 上市後管理（新增）
  • 受控與不受控風險評估、網絡安全漏洞披露（CVD）、信息共享與分析組織（ISAO）參與、SBOM維護
  • 漏洞監控、補救時間線和FDA報告要求
• 《聯邦食品、藥品和化妝品法案》第524B節（《PATCH法案2022》） - 法定網絡安全要求（新增）
  • 網絡設備定義、強制性SBOM、上市前網絡安全計劃
  • FDA對不符合要求的提交拒絕接受的權力（2023年3月生效）
• FDA 21 CFR Part 820（質量體系法規/QMSR） - 質量體系法規（新增）
  • 設計控制（820.30）、糾正和預防措施（CAPA）（820.90/820.100）、軟件驗證（820.70(i)）
  • QMSR修正案（2026年2月2日生效）與ISO 13485:2016保持一致

關鍵基礎設施與事件報告：

• CIRCIA - 《2022年關鍵基礎設施網絡事件報告法案》（新增）
  • 72小時網絡事件報告和24小時贖金支付報告給美國網絡安全和基礎設施安全局（CISA）
  • 適用於16個關鍵基礎設施領域的實體（醫療保健、金融、IT等）
  • 最終實施規則預計2026年3月出臺

環境與化學安全：

• EPA RMP - 《風險管理計劃規則》（v1.1版本新增）
  • 40 CFR Part 68
  • 化學設施事故預防

銀行與金融機構：

• FFIEC - 《IT檢查手冊》（v1.1版本新增）
  • 聯邦金融機構檢查委員會指南
  • 銀行業信息安全和網絡安全

州金融服務：

• NYDFS 500 - 《紐約州金融服務部網絡安全法規》（v1.1版本新增）
  • 23 NYCRR 500
  • 紐約州金融服務機構的網絡安全要求

州隱私法：

• 弗吉尼亞州CDPA - 《消費者數據保護法案》（v1.2版本新增）
  • 《弗吉尼亞州法典》§59.1 - 575至59.1 - 585
  • 消費者隱私權利和企業義務
• 科羅拉多州CPA - 《科羅拉多州隱私法案》（v1.2版本新增）
  • 《科羅拉多州修訂法規》§6 - 1 - 1301至6 - 1 - 1313
  • 通用退出機制要求
• 康涅狄格州CTDPA - 《康涅狄格州數據隱私法案》（v1.2版本新增）
  • 《康涅狄格州普通法規》§42 - 515至42 - 524
  • 數據保護評估要求
• 猶他州UCPA - 《猶他州消費者隱私法案》（v1.2版本新增）
  • 《猶他州法典》§13 - 61 - 101至13 - 61 - 404
  • 對企業友好的隱私方法

支付卡行業：

• PCI DSS - 《支付卡行業數據安全標準》（交叉引用）
  • 有關PCI DSS v4.0要求，請參閱 security-controls-mcp
  • 此MCP提供PCI安全標準委員會（PCI SSC）的官方要求和測試程序

控制框架映射

• NIST 800 - 53 - 安全和隱私控制（第5版）
• NIST CSF 2.0 - 網絡安全框架
• ISO 27001 - 信息安全管理（計劃中）

路線圖

正在開發的其他法規：

• 州違規通知法（50個州） - 美國所有州的違規報告要求
• 《聯邦信息安全管理法案》（FISMA） - 聯邦機構網絡安全
• 《反垃圾郵件法案》（CAN - SPAM） - 電子郵件營銷法規 - 商業電子郵件要求
• 州隱私法 - 擴展到其他州（蒙大拿州、愛荷華州、印第安納州、田納西州、俄勒岡州）

詳細覆蓋範圍請見 docs/coverage.md。

🔧 技術細節

工作原理

原始文本來源（無大語言模型處理）：

• 所有法規文本均從官方來源（eCFR.gov、California LegInfo）獲取。
• 從SQLite FTS5數據庫行中返回的片段保持不變。
• 零大語言模型總結或釋義 —— 數據庫包含法規文本，而非人工智能解釋。
• 注意：HTML到文本的轉換會規範空格/格式，但保留內容。

智能上下文管理：

• 搜索返回帶高亮匹配的32令牌片段（適合上下文）。
• 章節檢索會提醒令牌使用情況（某些章節可能很大）。
• 跨引用有助於在不一次性加載所有內容的情況下進行導航。

技術架構：

eCFR/LegInfo HTML → 解析 → SQLite → FTS5 snippet() → MCP響應
                      ↑                    ↑
               僅格式化      原始數據庫查詢

與regulations.gov對比

regulations.gov示例：下載HIPAA PDF → Ctrl + F “breach” → 閱讀§164.410 → 谷歌搜索 “什麼是‘可報告的違規行為’？” → 交叉引用CCPA → 檢查加州網站 → 對SOX重複上述步驟。

本MCP示例：“比較HIPAA、CCPA和SOX的違規通知要求” → 完成。

📄 許可證

本項目採用Apache License 2.0許可協議。詳情請見 LICENSE。

⚠️ 重要提示

🚨 本工具不提供法律建議 🚨 本工具提供法規文本用於研究和教育目的。然而：

• 控制映射（NIST 800 - 53、NIST CSF）是解釋性指導，並非美國衛生與公眾服務部（HHS）、NIST或相關機構的官方交叉引用。
• 適用性規則是一般性概括，並非法律判定。
• 交叉引用是研究輔助工具，並非合規要求。

始終要對照官方來源進行驗證，並諮詢合格的法律顧問以做出合規決策。

💡 使用建議

• 數據來源透明度：本工具的數據來源分為三個層級，不同層級的數據來源有不同的獲取方式和驗證要求，用戶應檢查官方來源以獲取更新。HIPAA - to - NIST和CCPA - to - NIST的映射是解釋性指導，並非官方機構的交叉引用，如需權威映射，請參考NIST SP 800 - 66和官方機構指南。
• 令牌使用：某些法規章節可能很大，MCP服務器的搜索工具返回智能片段（適合上下文），獲取章節工具返回全文（可能消耗大量令牌），建議先使用搜索功能，再按需獲取特定章節。Claude桌面版有200k令牌的上下文窗口，在檢索多個大章節時要監控令牌使用情況。
• MVP狀態：本項目是一個功能完備的最小可行產品（MVP），具有三個基礎法規（HIPAA、CCPA、SOX），數據庫架構和所有9個MCP工具都已完全功能化並經過全面測試（100%測試覆蓋率）。數據從官方API來源（eCFR.gov、California LegInfo）的自動攝入已可運行，更多法規正在添加到數據庫中。即將推出更多聯邦法規（GLBA、FERPA、FISMA）和州違規通知法。
• NIST標準：本工具不包含受版權保護的NIST標準，控制映射僅引用NIST 800 - 53控制ID（如 “AC - 1”、“SI - 4”）。雖然NIST標準可從NIST免費獲取，但本工具有助於將法規映射到控制措施，但不能替代閱讀標準本身。