Us Compliance MCP

🚀 美国法规MCP服务器

在人工智能时代助力您应对美国合规挑战

您可以直接通过Claude、Cursor或任何支持MCP的客户端查询**《健康保险流通与责任法案》（HIPAA）、《加州消费者隐私法案》（CCPA）、《萨班斯-奥克斯利法案》（SOX）、《格雷姆-利奇-比利雷法案》（GLBA）、《家庭教育权利和隐私法案》（FERPA）、《儿童在线隐私保护法案》（COPPA）、《美国食品药品监督管理局（FDA）21 CFR第11部分》、《FDA 21 CFR 820（质量体系法规/QMSR）》、《FDA上市前和上市后网络安全指南》、《联邦食品、药品和化妆品法案》第524B节（《PATCH法案》）、《关键基础设施网络事件报告法案》（CIRCIA）、《美国环境保护署（EPA）风险管理计划》（RMP）、《联邦金融机构检查委员会（FFIEC）指南》、《纽约州金融服务部（NYDFS）500号法规》以及4项州隐私法（弗吉尼亚州《消费者数据保护法案》（CDPA）、科罗拉多州《隐私法案》（CPA）、康涅狄格州《数据隐私法案》（CTDPA）、犹他州《消费者隐私法案》（UCPA））**。

如果您正在为美国市场开发医疗技术、消费应用程序或金融服务，那么这个合规参考工具将非常适合您。

本项目由 Ansvar Systems 开发 —— 瑞典斯德哥尔摩

🚀 快速开始

远程使用（无需安装）

直接连接到托管版本 —— 零依赖，无需安装任何东西。

端点： https://us-regulations-mcp.vercel.app/mcp

Claude桌面版 —— 添加到 claude_desktop_config.json：

{
  "mcpServers": {
    "us-regulations": {
      "type": "url",
      "url": "https://us-regulations-mcp.vercel.app/mcp"
    }
  }
}

GitHub Copilot —— 添加到VS Code settings.json：

{
  "github.copilot.chat.mcp.servers": {
    "us-regulations": {
      "type": "http",
      "url": "https://us-regulations-mcp.vercel.app/mcp"
    }
  }
}

本地使用（npm）

npx @ansvar/us-regulations-mcp

Claude桌面版 —— 添加到 claude_desktop_config.json：

macOS： ~/Library/Application Support/Claude/claude_desktop_config.json Windows： %APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "us-regulations": {
      "command": "npx",
      "args": ["-y", "@ansvar/us-regulations-mcp"]
    }
  }
}

Cursor / VS Code：

{
  "mcp.servers": {
    "us-regulations": {
      "command": "npx",
      "args": ["-y", "@ansvar/us-regulations-mcp"]
    }
  }
}

✨ 主要特性

• 法规查询便捷：可直接通过Claude、Cursor或任何MCP兼容客户端查询多种美国联邦和州法规。
• 数据来源可靠：所有法规文本均从官方来源获取，如eCFR.gov、California LegInfo等。
• 智能上下文管理：搜索返回带高亮匹配的32令牌片段，支持跨引用，方便导航。
• 安全合规保障：遵循OpenSSF最佳实践，进行自动化安全扫描、每日更新监控、安全发布和安全指标评估。
• 提供多种工具：服务器提供9种MCP工具，可进行全文搜索、特定法规章节检索、法规比较等操作。

📦 安装指南

远程使用

直接连接到托管版本，无需安装任何依赖，端点为 https://us-regulations-mcp.vercel.app/mcp ，不同客户端有不同的连接方式，具体见上文“快速开始 - 远程使用”部分。

本地使用

使用npm进行安装，命令为 npx @ansvar/us-regulations-mcp ，并根据不同客户端（Claude桌面版、Cursor / VS Code）进行相应的配置，具体配置内容见上文“快速开始 - 本地使用”部分。

💻 使用示例

基础用法

连接到服务器后，您可以自然地提出问题，例如：

• 医疗保健与HIPAA相关
  • “HIPAA安全规则对访问控制有哪些要求？”
  • “我的远程医疗应用程序是否需要遵守HIPAA？”
  • “HIPAA对电子受保护健康信息（ePHI）访问需要哪些审计日志？”
  • “我需要多长时间报告HIPAA违规事件？”
• 隐私与CCPA相关
  • “比较HIPAA和CCPA的违规通知时间线”
  • “CCPA为数据删除提供了哪些消费者权利？”
  • “如果我有10,000名加州客户，是否需要遵守CCPA？”
  • “根据CCPA，什么是个人信息的‘销售’？”
• 金融与SOX相关
  • “SOX第404节需要哪些IT控制措施？”
  • “哪些NIST 800 - 53控制措施满足SOX审计要求？”
  • “根据SOX，我必须保留财务记录多长时间？”
  • “SOX内部控制评估有哪些要求？”

高级用法

您可以使用服务器提供的9种MCP工具进行更复杂的操作，例如：

• 使用 compare_requirements 工具比较多个法规中的特定主题要求。
• 使用 map_controls 工具将NIST控制措施映射到法规章节。
• 使用 check_applicability 工具确定哪些法规适用于您所在的行业。

详细的工具参考请见 docs/tools.md。

📚 详细文档

包含的法规

v1.2版本法规（共20项，约192个章节）

医疗保健与隐私：

• HIPAA - 《健康保险流通与责任法案》
  • 隐私规则（45 CFR Part 164 Subpart E）
  • 安全规则（45 CFR 164 Subpart C）
  • 违规通知规则（45 CFR 164 Subpart D）
• CCPA/CPRA - 《加州消费者隐私法案》/《隐私权利法案》
  • 《加州民法典》§1798.100 - 1798.199
  • 消费者权利和企业义务

金融服务：

• SOX - 《萨班斯 - 奥克斯利法案》
  • 关键法规章节（第101、201、301、302、404、409、802、806、906节）
  • 美国证券交易委员会（SEC）实施法规（17 CFR 229.308、240.13a - 14、240.13a - 15）
  • 公众公司会计监督委员会（PCAOB）审计标准（AS 2201）
  • IT通用控制指南
• GLBA - 《格雷姆 - 利奇 - 比利雷法案》安全规则（v1.1版本新增）
  • 16 CFR Part 314
  • 金融机构数据安全要求

教育：

• FERPA - 《家庭教育权利和隐私法案》（v1.1版本新增）
  • 34 CFR Part 99
  • 学生教育记录隐私

儿童隐私：

• COPPA - 《儿童在线隐私保护法案》（v1.1版本新增）
  • 16 CFR Part 312
  • 收集13岁以下儿童数据的要求

制药与医疗设备：

• FDA 21 CFR Part 11 - 电子记录和签名（v1.1版本新增）
  • 受FDA监管行业的电子记录保存和数字签名
• FDA上市前网络安全指南 - 医疗设备网络安全（新增）
  • 安全产品开发框架（SPDF）、威胁建模、软件物料清单（SBOM）要求
  • 涵盖网络设备定义（第524B节）、OTS软件和上市前提交内容
• FDA上市后网络安全指南 - 上市后管理（新增）
  • 受控与不受控风险评估、网络安全漏洞披露（CVD）、信息共享与分析组织（ISAO）参与、SBOM维护
  • 漏洞监控、补救时间线和FDA报告要求
• 《联邦食品、药品和化妆品法案》第524B节（《PATCH法案2022》） - 法定网络安全要求（新增）
  • 网络设备定义、强制性SBOM、上市前网络安全计划
  • FDA对不符合要求的提交拒绝接受的权力（2023年3月生效）
• FDA 21 CFR Part 820（质量体系法规/QMSR） - 质量体系法规（新增）
  • 设计控制（820.30）、纠正和预防措施（CAPA）（820.90/820.100）、软件验证（820.70(i)）
  • QMSR修正案（2026年2月2日生效）与ISO 13485:2016保持一致

关键基础设施与事件报告：

• CIRCIA - 《2022年关键基础设施网络事件报告法案》（新增）
  • 72小时网络事件报告和24小时赎金支付报告给美国网络安全和基础设施安全局（CISA）
  • 适用于16个关键基础设施领域的实体（医疗保健、金融、IT等）
  • 最终实施规则预计2026年3月出台

环境与化学安全：

• EPA RMP - 《风险管理计划规则》（v1.1版本新增）
  • 40 CFR Part 68
  • 化学设施事故预防

银行与金融机构：

• FFIEC - 《IT检查手册》（v1.1版本新增）
  • 联邦金融机构检查委员会指南
  • 银行业信息安全和网络安全

州金融服务：

• NYDFS 500 - 《纽约州金融服务部网络安全法规》（v1.1版本新增）
  • 23 NYCRR 500
  • 纽约州金融服务机构的网络安全要求

州隐私法：

• 弗吉尼亚州CDPA - 《消费者数据保护法案》（v1.2版本新增）
  • 《弗吉尼亚州法典》§59.1 - 575至59.1 - 585
  • 消费者隐私权利和企业义务
• 科罗拉多州CPA - 《科罗拉多州隐私法案》（v1.2版本新增）
  • 《科罗拉多州修订法规》§6 - 1 - 1301至6 - 1 - 1313
  • 通用退出机制要求
• 康涅狄格州CTDPA - 《康涅狄格州数据隐私法案》（v1.2版本新增）
  • 《康涅狄格州普通法规》§42 - 515至42 - 524
  • 数据保护评估要求
• 犹他州UCPA - 《犹他州消费者隐私法案》（v1.2版本新增）
  • 《犹他州法典》§13 - 61 - 101至13 - 61 - 404
  • 对企业友好的隐私方法

支付卡行业：

• PCI DSS - 《支付卡行业数据安全标准》（交叉引用）
  • 有关PCI DSS v4.0要求，请参阅 security-controls-mcp
  • 此MCP提供PCI安全标准委员会（PCI SSC）的官方要求和测试程序

控制框架映射

• NIST 800 - 53 - 安全和隐私控制（第5版）
• NIST CSF 2.0 - 网络安全框架
• ISO 27001 - 信息安全管理（计划中）

路线图

正在开发的其他法规：

• 州违规通知法（50个州） - 美国所有州的违规报告要求
• 《联邦信息安全管理法案》（FISMA） - 联邦机构网络安全
• 《反垃圾邮件法案》（CAN - SPAM） - 电子邮件营销法规 - 商业电子邮件要求
• 州隐私法 - 扩展到其他州（蒙大拿州、爱荷华州、印第安纳州、田纳西州、俄勒冈州）

详细覆盖范围请见 docs/coverage.md。

🔧 技术细节

工作原理

原始文本来源（无大语言模型处理）：

• 所有法规文本均从官方来源（eCFR.gov、California LegInfo）获取。
• 从SQLite FTS5数据库行中返回的片段保持不变。
• 零大语言模型总结或释义 —— 数据库包含法规文本，而非人工智能解释。
• 注意：HTML到文本的转换会规范空格/格式，但保留内容。

智能上下文管理：

• 搜索返回带高亮匹配的32令牌片段（适合上下文）。
• 章节检索会提醒令牌使用情况（某些章节可能很大）。
• 跨引用有助于在不一次性加载所有内容的情况下进行导航。

技术架构：

eCFR/LegInfo HTML → 解析 → SQLite → FTS5 snippet() → MCP响应
                      ↑                    ↑
               仅格式化      原始数据库查询

与regulations.gov对比

regulations.gov示例：下载HIPAA PDF → Ctrl + F “breach” → 阅读§164.410 → 谷歌搜索 “什么是‘可报告的违规行为’？” → 交叉引用CCPA → 检查加州网站 → 对SOX重复上述步骤。

本MCP示例：“比较HIPAA、CCPA和SOX的违规通知要求” → 完成。

📄 许可证

本项目采用Apache License 2.0许可协议。详情请见 LICENSE。

⚠️ 重要提示

🚨 本工具不提供法律建议 🚨 本工具提供法规文本用于研究和教育目的。然而：

• 控制映射（NIST 800 - 53、NIST CSF）是解释性指导，并非美国卫生与公众服务部（HHS）、NIST或相关机构的官方交叉引用。
• 适用性规则是一般性概括，并非法律判定。
• 交叉引用是研究辅助工具，并非合规要求。

始终要对照官方来源进行验证，并咨询合格的法律顾问以做出合规决策。

💡 使用建议

• 数据来源透明度：本工具的数据来源分为三个层级，不同层级的数据来源有不同的获取方式和验证要求，用户应检查官方来源以获取更新。HIPAA - to - NIST和CCPA - to - NIST的映射是解释性指导，并非官方机构的交叉引用，如需权威映射，请参考NIST SP 800 - 66和官方机构指南。
• 令牌使用：某些法规章节可能很大，MCP服务器的搜索工具返回智能片段（适合上下文），获取章节工具返回全文（可能消耗大量令牌），建议先使用搜索功能，再按需获取特定章节。Claude桌面版有200k令牌的上下文窗口，在检索多个大章节时要监控令牌使用情况。
• MVP状态：本项目是一个功能完备的最小可行产品（MVP），具有三个基础法规（HIPAA、CCPA、SOX），数据库架构和所有9个MCP工具都已完全功能化并经过全面测试（100%测试覆盖率）。数据从官方API来源（eCFR.gov、California LegInfo）的自动摄入已可运行，更多法规正在添加到数据库中。即将推出更多联邦法规（GLBA、FERPA、FISMA）和州违规通知法。
• NIST标准：本工具不包含受版权保护的NIST标准，控制映射仅引用NIST 800 - 53控制ID（如 “AC - 1”、“SI - 4”）。虽然NIST标准可从NIST免费获取，但本工具有助于将法规映射到控制措施，但不能替代阅读标准本身。