标签：合规评估

1. 总体合规与风险评估概述 合规框架：常见目标为PCI-DSS、SOC2和GDPR（适用时），合规点包括日志完整性、访问控制和数据加密。 风险矩阵：按影响/概率分为高/中/低，常见高风险为公网口令泄露与未限速的API接口。 资产识别：列出所有美国节点、域名、证书和第三方CDN/DNS供应商清单。 审计要点：要求保留至少90天的访问日志、MFA