compliance-check
$
npx mdskill add 686f6c61/alfred-dev/compliance-checkVerify GDPR, NIS2, and CRA compliance for European projects.
- Identify regulatory gaps in software data handling and security.
- Depends on project scope to determine applicable European laws.
- Analyzes technical requirements against specific legal frameworks.
- Outputs a structured report with required remediation actions.
SKILL.md
.github/skills/compliance-checkView on GitHub ↗
--- name: compliance-check description: "Usar para verificar cumplimiento RGPD, NIS2 y CRA. También: verificar RGPD, cumplimiento normativo, NIS2, CRA, Cyber Resilience Act, protección de datos, regulación europea." --- # Verificación de cumplimiento normativo ## Resumen Este skill evalúa el proyecto contra tres marcos regulatorios europeos fundamentales: RGPD (protección de datos), NIS2 (ciberseguridad de infraestructuras) y CRA (Cyber Resilience Act, seguridad de productos con elementos digitales). El resultado es un informe de conformidad con el estado actual del proyecto frente a cada requisito y las acciones necesarias para alcanzar el cumplimiento. No se trata de un dictamen jurídico, sino de una evaluación técnica que identifica las lagunas y orienta las acciones de desarrollo necesarias. ## Proceso 1. **Determinar qué normativas aplican.** No todos los proyectos están sujetos a las tres: - **RGPD:** aplica si el software trata datos personales de personas en la UE. - **NIS2:** aplica si la organización opera en sectores críticos o es proveedor de servicios digitales. - **CRA:** aplica a productos con elementos digitales comercializados en la UE (incluyendo software open source con uso comercial). 2. **Checklist RGPD:** - [ ] Base jurídica para el tratamiento de datos (consentimiento, interés legítimo, contrato, etc.). - [ ] Minimización de datos: solo se recogen los datos estrictamente necesarios. - [ ] Evaluación de impacto (DPIA) para tratamientos de alto riesgo. - [ ] Registro de actividades de tratamiento documentado. - [ ] Derecho de acceso: el usuario puede consultar sus datos. - [ ] Derecho de rectificación: el usuario puede corregir sus datos. - [ ] Derecho al olvido: el usuario puede solicitar la eliminación de sus datos. - [ ] Portabilidad: el usuario puede exportar sus datos en formato estándar. - [ ] Notificación de brechas en 72 horas. - [ ] Cifrado de datos personales en tránsito y en reposo. - [ ] Delegado de Protección de Datos (DPO) designado si aplica. 3. **Checklist NIS2:** - [ ] Gestión de riesgos de ciberseguridad documentada. - [ ] Política de seguridad de la información aprobada por la dirección. - [ ] Notificación de incidentes: alerta temprana en 24h, informe completo en 72h. - [ ] Seguridad de la cadena de suministro: evaluación de proveedores. - [ ] Gobernanza: responsabilidades de ciberseguridad asignadas. - [ ] Plan de continuidad de negocio y recuperación ante desastres. - [ ] Formación en ciberseguridad para el personal. - [ ] Gestión de vulnerabilidades y actualizaciones. - [ ] Autenticación multifactor para accesos críticos. 4. **Checklist CRA (Cyber Resilience Act):** - [ ] SBOM (Software Bill of Materials) generado y mantenido. - [ ] Actualizaciones de seguridad disponibles durante todo el ciclo de vida. - [ ] Diseño seguro por defecto (secure by default). - [ ] Documentación técnica del producto disponible. - [ ] Gestión de vulnerabilidades con proceso de reporte. - [ ] Notificación de vulnerabilidades activamente explotadas en 24h a ENISA. - [ ] Evaluación de conformidad (autoevaluación o certificación según categoría). - [ ] Marcado CE para productos conformes. 5. **Generar informe de conformidad.** Para cada requisito: estado (cumple/no cumple/parcial), evidencia, acciones necesarias y prioridad. ## Criterios de éxito - Se han identificado las normativas aplicables al proyecto. - Cada checklist se ha revisado punto por punto con estado documentado. - Las acciones necesarias están priorizadas por riesgo e impacto. - El informe es accionable: un desarrollador puede tomar cada acción y ejecutarla. - El estado de cumplimiento se ha registrado en la memoria del proyecto. ## Paso final: registro en memoria Registrar el estado de cumplimiento en la memoria del proyecto con `memory_log_decision` para seguimiento entre sesiones. Esto permite comparar la evolución del cumplimiento a lo largo del tiempo y detectar regresiones normativas. ## Nota de versión Este skill se basa en RGPD (Reglamento 2016/679), NIS2 (Directiva 2022/2555) y CRA (Reglamento 2024/2847). Verificar si han entrado en vigor actualizaciones posteriores a estas referencias antes de dar por válida la evaluación. ## Qué NO hacer - No tratar esta evaluación como sustituto de asesoría legal. Es una evaluación técnica que identifica lagunas, pero las decisiones jurídicas requieren un profesional cualificado. - No marcar un requisito como cumplido sin evidencia técnica que lo respalde (código, configuración, documentación verificable). - No ignorar el CRA por tratarse de software open source. El CRA aplica a OSS con uso comercial; la exención solo cubre al software libre sin ánimo de lucro ni actividad comercial. - No dar por cerrada la evaluación sin documentar los requisitos que no aplican y la justificación de por qué no aplican.
More from 686f6c61/alfred-dev
- acceptance-criteriaGenerar criterios de aceptación en formato Given/When/Then. Activar cuando el usuario quiera definir criterios de aceptacion, usar formato Given When Then, escribir en Gherkin, saber como determinar que algo esta terminado o establecer una definicion de hecho.
- architecture-docsUsar para documentar la arquitectura del sistema. Activar ante: documentar arquitectura, diagrama del sistema, como funciona el proyecto, vision general tecnica
- bundle-sizeAnalizar y reducir el tamaño de bundles frontend. Activar cuando el bundle sea grande, se quiera reducir tamaño, aplicar tree shaking, configurar lazy loading, usar webpack analyzer o analizar el peso de la aplicacion.
- choose-stackUsar para evaluar y elegir tecnologías con matriz de decisión ponderada. Activar cuando el usuario quiera elegir tecnología, comparar frameworks, decidir entre alternativas técnicas, construir una matriz de decisión, evaluar stack, seleccionar base de datos, elegir lenguaje o comparar herramientas.
- ci-cd-pipelineConfigurar pipeline CI/CD adaptado al proyecto. Activar cuando el usuario quiera configurar CI, crear GitHub Actions, configurar GitLab CI, montar un pipeline de despliegue, automatizar tests o implementar integracion continua.
- code-review-responseUsar al recibir feedback de code review para responder técnicamente. Activar cuando el usuario quiera responder a comentarios de PR, gestionar feedback de code review, resolver comentarios de un revisor, o cuando el revisor pide cambios en el código.
- copy-reviewRevisar textos publicos: claridad, tono, ortografia y CTAs. Activar ante: revisar textos, mejorar copy, tono de comunicacion, textos de la web, landing page copy
- dependency-strategyEstrategia integral de gestion de dependencias: inventario, evaluacion de riesgo, politica de actualizaciones y documentacion. Usar para auditar el estado global de las dependencias del proyecto.
- dependency-updateRevisar dependencias desactualizadas, con CVEs o end-of-life, y proponer actualizaciones seguras. También: actualizar paquetes, actualizar dependencias, Dependabot, Renovate, versión desactualizada, breaking changes.
- deploy-configConfigurar despliegue según hosting. Activar cuando el usuario quiera desplegar en Vercel, Railway, AWS, configurar hosting, preparar para produccion o gestionar variables de entorno de despliegue.