Quali framework di conformità richiedono procedure documentate?

Quasi tutti i principali framework di sicurezza delle informazioni e protezione dei dati richiedono procedure documentate. SOC 2, ISO/IEC 27001, HIPAA, PCI DSS, GDPR e ISO/IEC 20000 si aspettano tutti che tu metta per iscritto come proteggi i dati e gestisci i tuoi controlli, e che poi conservi le registrazioni che dimostrano che hai davvero seguito ciò che hai scritto. La formulazione esatta varia, ma la forma del requisito è la stessa in tutti: procedure documentate piu prove che siano state utilizzate.

Questa guida nomina con precisione ciascun framework, lo classifica correttamente (la differenza tra una certificazione, un'attestazione e una regolamentazione conta piu di quanto si pensi) e spiega quale documentazione richiede ognuno. Se stai per affrontare un audit e vuoi una risposta chiara alla domanda "quali framework richiedono SOP", parti da qui.

Punti chiave

• Le procedure documentate sono un'aspettativa di base per SOC 2, ISO 27001, HIPAA, PCI DSS, GDPR e ISO 20000. Nessuno di essi ti consente di operare con processi non documentati, custoditi nella testa di qualcuno.
• Questi framework non sono tutti dello stesso tipo. ISO 27001 e ISO 20000 sono certificazioni, SOC 2 e un'attestazione, e HIPAA e GDPR sono leggi. PCI DSS e uno standard contrattuale.
• SOC 2 e un'attestazione, non una certificazione. Non esiste alcun "certificato SOC 2": ricevi una relazione di un CPA sui tuoi controlli.
• La parte difficile non e scrivere il documento. SOC 2 Type II e PCI DSS v4.0.1 verificano nello specifico che le tue procedure siano state seguite nel tempo, con registrazioni a riprova.
• "Di' cio che fai, fai cio che dici, dimostralo" e il filo conduttore. Mantieni le procedure aggiornate e raccogli prove, altrimenti l'audit fallisce per quanto possa sembrare valida la documentazione.

Certificazione, attestazione e regolamentazione: perche l'etichetta conta

Prima della disamina framework per framework, conviene ordinarli in tre categorie, perche le persone usano la parola "certificato" per tutti ed e spesso sbagliato. La distinzione cambia chi ti giudica, cosa porti a casa e cosa conta come superamento.

Una certificazione significa che una terza parte accreditata ti sottopone ad audit rispetto a uno standard pubblicato e rilascia un certificato (ISO 27001, ISO 20000). Un'attestazione significa che un CPA abilitato esamina i tuoi controlli e rilascia una relazione che esprime la sua opinione, senza alcun certificato (SOC 2). Una regolamentazione e una legge che devi rispettare indipendentemente dal fatto che qualcuno ti sottoponga ad audit, e non vieni "certificato" in essa (HIPAA, GDPR). PCI DSS e un quarto caso: uno standard che sei contrattualmente obbligato a rispettare per i circuiti delle carte, non una legge statale.

ISO/IEC 27001: le informazioni documentate sono integrate nello standard

ISO/IEC 27001:2022 e lo standard internazionale per un sistema di gestione della sicurezza delle informazioni (ISMS), ed e una vera certificazione: un ente accreditato ti sottopone ad audit e rilascia un certificato. La documentazione non e un'aggiunta opzionale, e intessuta nello standard.

La clausola 7.5, informazioni documentate, richiede di creare, controllare e mantenere aggiornati i documenti di cui il tuo ISMS ha bisogno. Inoltre, i 93 controlli dell'Allegato A includono l'A.5.37, Procedure operative documentate, che si aspetta che le procedure operative per l'elaborazione delle informazioni siano messe per iscritto e rese disponibili alle persone che ne hanno bisogno. In pratica non puoi certificarti a ISO 27001 con operazioni di sicurezza non documentate.

SOC 2: un'attestazione, non un certificato

SOC 2 e un'attestazione AICPA. Un CPA abilitato esamina i tuoi controlli e rilascia una relazione con la sua opinione. Questo e il punto piu frainteso in tutto questo ambito, quindi per essere chiari: non esiste un "certificato SOC 2" e non sei "certificato SOC 2". Hai una relazione SOC 2. Dirlo correttamente e di per se un piccolo segnale di credibilità davanti agli auditor e ai clienti esperti di sicurezza.

SOC 2 si basa sui Trust Services Criteria: Security (sempre in ambito), piu Availability, Processing Integrity, Confidentiality e Privacy secondo necessità. Per ottenere una relazione pulita documenti i controlli che soddisfano tali criteri. Il punto cruciale e il tipo di relazione. Una relazione Type I riguarda se i tuoi controlli sono progettati in modo adeguato in un dato momento. Una relazione Type II riguarda se hanno operato efficacemente nell'arco di un periodo, di solito da tre a dodici mesi. Type II e dove la sola documentazione non basta: l'auditor campiona le prove per confermare che le tue procedure siano state effettivamente seguite per tutto quel periodo.

HIPAA: policy e procedure scritte sono la legge

HIPAA e una regolamentazione statunitense che disciplina le informazioni sanitarie protette, e in essa non vieni "certificato", la rispetti. La sua Security Rule (45 CFR Part 164) e esplicita sulla documentazione. Il §164.316 richiede alle entità coperte e ai business associate di mantenere policy e procedure scritte, di conservare tale documentazione per sei anni dalla creazione o dall'ultima data di efficacia, e di riesaminarla e aggiornarla periodicamente al variare delle condizioni.

In altre parole, HIPAA non ti chiede solo di essere sicuro, ti chiede di mettere per iscritto come sei sicuro, di conservare quei documenti per anni e di aggiornarli. La pratica non documentata, per quanto valida, non soddisfa la norma.

GDPR: responsabilizzazione significa procedure scritte e dimostrabili

GDPR e la regolamentazione europea sulla protezione dei dati e, come HIPAA, e una legge, non una certificazione, quindi "certificato GDPR" non e uno status reale (esistono meccanismi di certificazione ai sensi dell'Art. 42 ma non sono un certificato GDPR generale). Cio che il GDPR esige e la responsabilizzazione: ai sensi dell'Art. 5(2) non devi solo essere conforme, ma essere in grado di dimostrarlo.

Tale dimostrazione e documentale. L'Art. 24 si aspetta policy di protezione dei dati adeguate. L'Art. 30 richiede un Registro delle attività di trattamento (RoPA), un inventario scritto di quali dati personali tratti e perche. Gli Articoli 33 e 34 richiedono procedure per rilevare, documentare e segnalare le violazioni dei dati personali, inclusa la notifica all'autorità di controllo entro 72 ore ove richiesto. Se non puoi mostrare i documenti, non puoi dimostrare la responsabilizzazione.

PCI DSS: "documentato e in uso" su quasi ogni requisito

PCI DSS protegge i dati delle carte di pagamento. Non e una legge statale, e uno standard che i circuiti delle carte ti impongono di rispettare per contratto. La versione attuale, PCI DSS v4.0.1, e diventata pienamente obbligatoria il 31 marzo 2025, quindi le aspettative della precedente v3.2.1 non si applicano piu.

La documentazione e ovunque in PCI DSS. Quasi ognuno dei suoi 12 requisiti comporta un sotto-requisito di mantenere policy di sicurezza e procedure operative documentate che siano mantenute aggiornate, in uso e note a tutte le parti interessate. La v4.0 ha reso piu rigorosa questa esigenza: non basta avere un raccoglitore di policy impolverato, le procedure devono essere attivamente utilizzate e dimostrabilmente aggiornate. Come per SOC 2 Type II, un valutatore cerca le prove che il processo documentato sia il processo che le persone seguono davvero.

ISO/IEC 20000 e la continuità operativa

ISO/IEC 20000-1:2018 e lo standard internazionale per la gestione dei servizi IT (ITSM), ed e una certificazione come ISO 27001. Si aspetta procedure documentate lungo tutto il ciclo di vita della gestione dei servizi, inclusa la gestione di incidenti, problemi, modifiche e rilasci. Se il tuo service desk e i team operativi funzionano sulla conoscenza tacita, non puoi certificarti.

Vale una breve menzione accanto a esso: ISO 22301, lo standard per la gestione della continuità operativa, richiede analogamente piani e procedure documentate affinche l'organizzazione possa continuare a operare durante un'interruzione. Stesso schema, dominio diverso.

Il filo conduttore: di' cio che fai, fai cio che dici, dimostralo

Leggendo trasversalmente tutti e sei i framework si ripete un principio: di' cio che fai, fai cio che dici, dimostralo. Scrivi la procedura (di' cio che fai), seguila con coerenza (fai cio che dici) e conserva le registrazioni che dimostrano che lo hai fatto (dimostralo). Auditor e autorità di regolamentazione verificano tutti e tre gli aspetti, non solo il primo.

Ecco perche SOC 2 Type II e PCI DSS v4.0.1 contano cosi tanto nella pratica. Entrambi vanno oltre il "e messo per iscritto" per arrivare a "e stato seguito, nel tempo, con prove". Una policy perfetta che nessuno usa fallisce un esame Type II con la stessa certezza con cui fallirebbe non avere alcuna policy. L'implicazione per i team e chiara: la documentazione deve essere aggiornata, accessibile e collegata a registrazioni reali, non un risultato una tantum che marcisce in una cartella condivisa.

Ed e proprio qui che mantenere le procedure operative acquisite e pronte per l'audit ripaga. sopmodo e costruito attorno al catturare come il lavoro viene effettivamente svolto e trasformarlo in una procedura scritta chiara: qualcuno registra una dimostrazione passo passo dell'attività reale, l'AI redige i passaggi in ordine e un revisore modifica ed esporta il risultato in PDF o DOCX. Il pubblico principale di sopmodo e il lavoro in officina, dove le certificazioni di produzione manifatturiera e regolamentata generano le stesse esigenze di documentazione, ma le SOP e le procedure operative contano per qualsiasi team che affronti un audit, e la stessa abitudine di catturare il processo reale e mantenerlo aggiornato e cio che questi framework premiano.

Domande frequenti

In conclusione

Se gestisci dati, eroghi servizi IT o elabori pagamenti, le procedure documentate non sono opzionali. SOC 2, ISO 27001, HIPAA, PCI DSS, GDPR e ISO 20000 richiedono ciascuno policy e procedure scritte, e si classificano in modo diverso: ISO 27001 e ISO 20000 sono certificazioni, SOC 2 e un'attestazione senza certificato, e HIPAA e GDPR sono leggi, mentre PCI DSS e uno standard contrattuale. Il framework che mette in difficoltà i team e quello che credevano di aver capito, quindi usa le etichette corrette. Soprattutto, ricorda la forma di ogni requisito: scrivi la procedura, seguila e conserva le prove. Di' cio che fai, fai cio che dici, dimostralo.