Gestione documentale per la compliance su Microsoft 365
ISO 9001, ISO 27001, GDPR, HIPAA, FDA 21 CFR Part 11, SOX, NIS2. Funzionalità di gestione documentale allineate alle normative che la tua organizzazione deve effettivamente rispettare — all'interno del tenant Microsoft 365 di cui già ti fidi.
Due livelli, dichiarati chiaramente
Posizionamo il prodotto onestamente rispetto a ciascun regime di compliance. Alcuni sono completamente supportati end-to-end. Per altri il prodotto può essere utilizzato — come parte del programma di compliance del cliente, senza essere posizionato come soluzione certificata o validata per quella specifica normativa.
La distinzione è importante. Dice al tuo team compliance esattamente cosa aspettarsi dallo strumento e cosa rimane responsabilità del tuo team.
Livello A — completamente supportato end-to-end
Costruito per supportare gli obblighi di document control
Per questi regimi normativi, il prodotto è progettato e costruito per supportare l'intero ambito di document control end-to-end. La certificazione del tuo programma resta tra la tua organizzazione e il tuo auditor; lo strumento è costruito per il regime.
ISO 9001
Mappa gli obblighi della clausola 8.5 di ISO 9001:2015 alle funzionalità del prodotto — clausola per clausola.
Approfondisci →ISO 27001
Documenti con accesso controllato e audit trail completo per la documentazione ISMS.
Approfondisci →GDPR
Conservazione orientata alla minimizzazione dei dati, ciclo di vita documentato e audit trail da mostrare all'autorità di controllo.
Approfondisci →Livello B — può essere utilizzato nel tuo programma di compliance
Funzionalità che i clienti utilizzano — la validazione rimane a te
Per questi regimi, il prodotto fornisce funzionalità generiche di document governance (log di audit, versioning, approvazione sequenziale, controllo accessi, promemoria di scadenza, archivio) che i clienti utilizzano come parte del loro programma di compliance. Non è posizionato come soluzione certificata o validata per il regime specifico.
HIPAA
Accesso controllato, gestione documentata e audit trail completo per la documentazione adiacente al PHI.
Approfondisci →FDA 21 CFR Part 11
Audit trail, approvazione controllata e firma elettronica PAdES per la documentazione farmaceutica e dei dispositivi medici.
Approfondisci →SOX
Modifica controllata, evidenze audit log e conservazione per la documentazione dei controlli finanziari.
Approfondisci →NIS2
Controlli del ciclo di vita documentale per la nuova direttiva UE sulla sicurezza delle reti e dei sistemi informativi.
Approfondisci →Cosa significa "gestione documentale per la compliance"
Ogni framework di compliance ha una componente di document control. ISO 9001 richiede di mantenere e conservare le informazioni documentate. ISO 27001 richiede il controllo delle informazioni documentate come evidenza del programma di sicurezza delle informazioni. Il GDPR richiede un Registro delle Attività di Trattamento. FDA 21 CFR Part 11 richiede audit trail, controllo degli accessi e integrità della firma elettronica per i record regolati. HIPAA richiede un audit log per le ePHI. I requisiti specifici differiscono; il bisogno infrastrutturale di base è lo stesso: creazione controllata, modifica controllata, approvazione controllata, accesso controllato, conservazione controllata, distruzione controllata.
docs365.ai fornisce questa infrastruttura all'interno del tuo tenant Microsoft 365. Le clausole qui sotto mostrano esattamente quale funzionalità del prodotto si mappa su quale obbligo normativo — così il tuo team compliance può tracciare la funzionalità al requisito anziché fidarsi di affermazioni di marketing.
ISO 9001:2015 — Livello A
Clausola 7.5 — Informazioni documentate
La clausola 7.5 della ISO 9001 definisce tre obblighi: l'organizzazione deve creare e aggiornare le informazioni documentate (7.5.2) e controllare le informazioni documentate per garantire che siano disponibili dove necessario, adeguatamente protette, distribuite, conservate e mantenute (7.5.3). La clausola 8.5 aggiunge requisiti specifici per le informazioni documentate relative alla produzione e all'erogazione di servizi.
| Clausola | Requisito | Funzionalità del prodotto |
|---|---|---|
| 7.5.2 | Identificazione e descrizione (titolo, data, autore, numero di riferimento) | Campi metadati obbligatori su ogni template documentale; ID documento autogenerato |
| 7.5.2 | Formato e supporto (es. carta, elettronico) | Formattazione applicata dal template; pubblicazione PDF/A; archiviazione su SharePoint Online |
| 7.5.2 | Riesame e approvazione per adeguatezza e idoneità | Workflow di approvazione sequenziale; revisori/approvatori configurabili per tipo di documento |
| 7.5.3(a) | Disponibile e adatta per l'uso, dove e quando necessario | Accesso basato sui ruoli; documenti pubblicati resi disponibili automaticamente al pubblico corretto |
| 7.5.3(b) | Adeguatamente protetta (da perdita di riservatezza, uso improprio, perdita di integrità) | Permessi Azure AD; cronologia versioni; audit log immutabile |
| 7.5.3(b) | Distribuzione, accesso, recupero e utilizzo; conservazione; controllo delle modifiche; conservazione e smaltimento | Distribuzione controllata all'approvazione; fasi del ciclo di vita del documento (bozza → approvato → scaduto → archiviato) |
ISO 27001:2022 — Livello A
Clausola 7.5 — Informazioni documentate
La clausola 7.5 della ISO 27001 richiede che le informazioni documentate vengano create, aggiornate e controllate come evidenza del sistema di gestione della sicurezza delle informazioni (ISMS). I controlli dell'Allegato A aggiungono requisiti specifici: A.5.33 (protezione dei record), A.5.34 (privacy e protezione dei dati personali), A.8.4 (accesso al codice sorgente).
| Clausola | Requisito | Funzionalità del prodotto |
|---|---|---|
| 7.5.1 | L'ISMS deve includere le informazioni documentate richieste da questa norma e quelle determinate necessarie dall'organizzazione | Tipi di documento configurabili e schemi di metadati per ambito ISMS |
| 7.5.2 | Creazione e aggiornamento: identificazione, formato, riesame e approvazione | Creazione da template; campi obbligatori; approvazione sequenziale con designazione dell'approvatore |
| 7.5.3 | Le informazioni documentate devono essere disponibili e protette da perdita di riservatezza, integrità o disponibilità | Controllo accessi Azure AD; versioning; criteri di conservazione; audit trail per ogni evento di accesso |
| A.5.33 | I record devono essere protetti da perdita, distruzione, falsificazione, accesso non autorizzato e divulgazione non autorizzata | Audit log immutabile; blocco in-place; accesso basato su permessi; archivio con retention lock |
GDPR — Livello A
Articoli 5, 24, 30 — Responsabilizzazione e registro dei trattamenti
L'articolo 5(2) del GDPR stabilisce il principio di responsabilizzazione (accountability): il titolare del trattamento è responsabile del rispetto dei principi di protezione dei dati e in grado di comprovarlo. L'articolo 30 richiede la tenuta del Registro delle Attività di Trattamento (RoPA). L'articolo 24 richiede l'adozione di misure tecniche e organizzative appropriate.
| Articolo | Requisito | Funzionalità del prodotto |
|---|---|---|
| Art. 5(2) | Il titolare è in grado di comprovare il rispetto dei principi | Audit trail immutabile; log del ciclo di vita del documento; record di approvazione come evidenza |
| Art. 30(1) | Tenere un registro delle attività di trattamento svolte sotto la responsabilità del titolare, in forma scritta, anche in formato elettronico | RoPA mantenuto come documento controllato con versioning, approvazione e audit log |
| Art. 30(4) | Il titolare mette il registro a disposizione dell'autorità di controllo su richiesta | Esportazione RoPA in PDF/A; controlli di accesso per accesso in sola lettura da parte del Garante se richiesto |
| Art. 32 | Adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio | Cifratura a riposo e in transito (piattaforma Microsoft 365); controllo accessi; audit log; conservazione |
| Artt. 33–34 | Notifica di violazione dei dati personali all'autorità di controllo e agli interessati | SOP di notifica violazione gestita come documento controllato; workflow di approvazione per la risposta alla violazione |
FDA 21 CFR Part 11 — Livello A
§11.10 Controlli per sistemi chiusi
Il 21 CFR Part 11 si applica ai record elettronici e alle firme elettroniche utilizzate nelle operations farmaceutiche, biotecnologiche e dei dispositivi medici regolamentate. Il §11.10 definisce i controlli richiesti per i sistemi chiusi. Il prodotto fornisce funzionalità che i clienti utilizzano nei loro programmi Part 11; la validazione CSV rimane in capo al team QA del cliente.
| Sezione | Requisito | Funzionalità del prodotto |
|---|---|---|
| §11.10(d) | Limitare l'accesso al sistema alle sole persone autorizzate | Controllo accessi Azure AD; set di permessi per tipo di documento e stadio del ciclo di vita |
| §11.10(e) | Audit trail sicuri, generati dal computer, con timestamp | Log di audit SharePoint immutabile con timestamp UTC; chi ha visualizzato, modificato, approvato |
| §11.10(f) | Controlli operativi per imporre la sequenza permessa di passaggi ed eventi | Workflow di approvazione sequenziale; gate obbligatori; nessuna progressione fuori ordine |
| §11.10(g) | Controlli di autorità per garantire che solo le persone autorizzate possano firmare elettronicamente | Autorità di firma basata sui ruoli; firma elettronica PAdES tramite DocuSign |
| §11.50 | I record firmati devono riportare il nome del firmatario, data/ora e significato della firma | Il certificato PAdES include identità e timestamp UTC; significato della firma acquisito per passaggio del workflow |
| §11.70 | Le firme elettroniche devono essere collegate ai rispettivi record; le alterazioni devono essere rilevabili | PAdES incorporata nel PDF; ID transazione DocuSign nei metadati SharePoint; il versioning rileva le modifiche post-firma |
Domande frequenti sulla compliance
Il prodotto viene fornito con una certificazione di compliance?
No. Non forniamo un prodotto pre-certificato o pre-validato. La certificazione del tuo programma di compliance è il rapporto tra la tua organizzazione e il tuo ente certificatore o autorità di regolamentazione. Il prodotto fornisce l'infrastruttura di document control su cui si basa il tuo programma.
Siamo già su Microsoft 365. Questo sostituisce SharePoint o si aggiunge ad esso?
Si aggiunge. Il prodotto è costruito su SharePoint Online e utilizza il tuo tenant Microsoft 365 esistente. Non sostituisci SharePoint; aggiungi un ciclo di vita documentale governato sull'infrastruttura che già gestisci e di cui ti fidi.
Un'unica implementazione può coprire più normative contemporaneamente?
Sì — e questa è la configurazione più comune per i settori regolamentati. Un'azienda farmaceutica ha tipicamente bisogno contemporaneamente di ISO 9001 (gestione qualità), ISO 27001 (sicurezza delle informazioni), GDPR (protezione dei dati) e FDA 21 CFR Part 11 (record elettronici). Un'unica implementazione, un'unica libreria, un unico audit log — diversi tipi di documento e schemi di metadati per requisito normativo.
Come è definita la distinzione Livello A / Livello B?
Il Livello A significa che il prodotto è costruito e testato per supportare l'intero ambito di document control del regime — ogni requisito di audit, ogni requisito di approvazione, ogni requisito di controllo degli accessi ha una corrispondente funzionalità del prodotto. Il Livello B significa che il prodotto fornisce funzionalità generiche di document governance (versioning, approvazione, accesso, conservazione, audit log) che i clienti utilizzano come parte del loro programma di compliance, ma il prodotto non è specificamente progettato per i requisiti unici di quel regime.
Mappa le tue esigenze di compliance al prodotto
Prenota una valutazione gratuita di 30 minuti. Analizziamo le normative applicabili alla tua organizzazione e produciamo un'analisi di fit per livello.