Compliance Frameworks Complete Guide
Navigating compliance requirements is essential for modern organizations. This guide provides a comprehensive overview of major compliance frameworks, helping you understand requirements, plan implementations, and maintain ongoing compliance.
Compliance Framework Landscape
┌─────────────────────────────────────────────────────────────────────────────┐
│ COMPLIANCE FRAMEWORK OVERVIEW │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ REGULATORY COMPLIANCE (Legally Mandated) │
│ ┌───────────────────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │
│ │ │ HIPAA │ │ PCI-DSS │ │ GDPR │ │ CCPA │ │ │
│ │ │ │ │ │ │ │ │ │ │ │
│ │ │ Healthcare │ │ Payment │ │ EU Personal │ │ California │ │ │
│ │ │ data (US) │ │ card data │ │ data │ │ Privacy │ │ │
│ │ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │ │
│ │ │ │
│ └───────────────────────────────────────────────────────────────────────┘ │
│ │
│ CERTIFICATION/ATTESTATION (Market-Driven) │
│ ┌───────────────────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │
│ │ │ SOC 2 │ │ ISO 27001 │ │ FedRAMP │ │ HITRUST │ │ │
│ │ │ │ │ │ │ │ │ │ │ │
│ │ │ SaaS/Cloud │ │ Global ISMS │ │ US Federal │ │ Healthcare │ │ │
│ │ │ services │ │ standard │ │ cloud │ │ unified │ │ │
│ │ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │ │
│ │ │ │
│ └───────────────────────────────────────────────────────────────────────┘ │
│ │
│ FRAMEWORKS & GUIDELINES (Best Practices) │
│ ┌───────────────────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │
│ │ │ NIST CSF │ │ NIST 800-53│ │ CIS Controls│ │ COBIT │ │ │
│ │ │ │ │ │ │ │ │ │ │ │
│ │ │ Cybersec │ │ Federal │ │ Technical │ │ IT Gov │ │ │
│ │ │ framework │ │ controls │ │ controls │ │ framework │ │ │
│ │ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │ │
│ │ │ │
│ └───────────────────────────────────────────────────────────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────────────────────┘
Framework Selection Decision Tree
┌─────────────────────────────────────────────────────────────────────────────┐
│ WHICH FRAMEWORK DO YOU NEED? │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ START HERE │
│ │ │
│ ▼ │
│ ┌───────────────────────────────┐ │
│ │ Do you process healthcare │ │
│ │ information (PHI) in the US? │ │
│ └───────────────┬───────────────┘ │
│ YES │ NO │
│ │ │ │ │
│ ▼ │ ▼ │
│ ┌─────────┐ │ ┌───────────────────────────┐ │
│ │ HIPAA │ │ │ Do you process payment │ │
│ │Required │ │ │ card data? │ │
│ └─────────┘ │ └───────────────┬───────────┘ │
│ │ YES │ NO │
│ │ │ │ │ │
│ │ ▼ │ ▼ │
│ │ ┌─────────┐ │ ┌───────────────────┐ │
│ │ │ PCI-DSS │ │ │ Do you have EU │ │
│ │ │Required │ │ │ customers/data? │ │
│ │ └─────────┘ │ └─────────┬─────────┘ │
│ │ │ YES │ NO │
│ │ │ │ │ │ │
│ │ │ ▼ │ ▼ │
│ │ │ ┌──────┐ │ ┌──────────────────┐ │
│ │ │ │ GDPR │ │ │ Do you sell to │ │
│ │ │ │Req'd │ │ │ enterprises? │ │
│ │ │ └──────┘ │ └────────┬─────────┘ │
│ │ │ │ YES │ NO │
│ │ │ │ │ │ │ │
│ │ │ │ ▼ │ ▼ │
│ │ │ │ ┌──────────┐ ┌─────┐ │
│ │ │ │ │ SOC 2 │ │Basic│ │
│ │ │ │ │ or ISO │ │SecOps│ │
│ │ │ │ │ 27001 │ └─────┘ │
│ │ │ │ └──────────┘ │
│ │ │ │ │
│ ┌───────────────┴───────────────────┴─────────────┴────────────┐ │
│ │ │ │
│ │ ADDITIONAL CONSIDERATIONS: │ │
│ │ │ │
│ │ US Federal Government contracts? ──────▶ FedRAMP │ │
│ │ US Defense contracts? ──────────────────▶ CMMC │ │
│ │ Global enterprise customers? ───────────▶ ISO 27001 │ │
│ │ Multiple frameworks needed? ────────────▶ Consider HITRUST │ │
│ │ │ │
│ └───────────────────────────────────────────────────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────────────────────┘
Framework Comparison
| Framework | Type | Scope | Timeline | Cost Estimate | Renewal |
|---|---|---|---|---|---|
| HIPAA | Regulation | Healthcare data (US) | Ongoing | $50k-$500k+ | Ongoing |
| PCI-DSS | Standard | Payment card data | 3-12 months | $20k-$500k+ | Annual |
| SOC 2 | Attestation | Service organizations | 6-12 months | $30k-$100k+ | Annual |
| ISO 27001 | Certification | Any organization | 6-12 months | $30k-$100k+ | 3-year cycle |
| GDPR | Regulation | EU personal data | Ongoing | $50k-$500k+ | Ongoing |
| FedRAMP | Authorization | US federal cloud | 12-18+ months | $100k-$1M+ | Annual |
| NIST CSF | Framework | Any organization | 3-12 months | Internal cost | As needed |
Learning Path
Beginner Level
- HIPAA Compliance Overview - Healthcare fundamentals
- PCI-DSS Compliance Overview - Payment card basics
- SOC 2 Compliance Overview - Service organization controls
Intermediate Level
- NIST Frameworks Comparison - Understanding NIST
- Compliance Gap Analysis - Assessment
- Compliance Audit Preparation - Getting ready
Advanced Level
- GDPR Technical Implementation - EU compliance
- ISO 27001 Certification - Certification path
- FedRAMP Authorization - Federal cloud
- Multi-Framework Compliance - Unified approach
HIPAA (Healthcare)
┌─────────────────────────────────────────────────────────────────────────────┐
│ HIPAA OVERVIEW │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ WHO MUST COMPLY: │
│ ┌───────────────────────────────────────────────────────────────────────┐ │
│ │ Covered Entities: Business Associates: │ │
│ │ • Healthcare providers • IT service providers │ │
│ │ • Health plans • Billing companies │ │
│ │ • Healthcare clearinghouses • Cloud providers (with PHI) │ │
│ │ • Any vendor handling PHI │ │
│ └───────────────────────────────────────────────────────────────────────┘ │
│ │
│ KEY RULES: │
│ ┌───────────────────────────────────────────────────────────────────────┐ │
│ │ Privacy Rule │ Who can access PHI and for what purposes │ │
│ │ Security Rule │ Administrative, physical, technical safeguards│ │
│ │ Breach Notification │ Reporting requirements for breaches │ │
│ │ Enforcement Rule │ Penalties and investigation procedures │ │
│ └───────────────────────────────────────────────────────────────────────┘ │
│ │
│ SECURITY RULE SAFEGUARDS: │
│ ┌───────────────────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ Administrative (Policies & Procedures): │ │
│ │ • Risk analysis and management │ │
│ │ • Workforce security training │ │
│ │ • Security incident procedures │ │
│ │ • Contingency planning │ │
│ │ │ │
│ │ Physical (Facility Controls): │ │
│ │ • Facility access controls │ │
│ │ • Workstation security │ │
│ │ • Device and media controls │ │
│ │ │ │
│ │ Technical (System Controls): │ │
│ │ • Access control (unique user IDs) │ │
│ │ • Audit controls (logging) │ │
│ │ • Integrity controls │ │
│ │ • Transmission security (encryption) │ │
│ │ │ │
│ └───────────────────────────────────────────────────────────────────────┘ │
│ │
│ PENALTIES: │
│ Tier 1 (Unknowing): $100-$50,000 per violation │
│ Tier 2 (Reasonable Cause): $1,000-$50,000 per violation │
│ Tier 3 (Willful Neglect - Corrected): $10,000-$50,000 per violation │
│ Tier 4 (Willful Neglect - Not Corrected): $50,000 per violation │
│ Annual cap: $1.5 million per violation category │
│ │
└─────────────────────────────────────────────────────────────────────────────┘
For detailed HIPAA guidance, see our HIPAA Compliance Guide and HIPAA Security Assessment Workflow.
PCI-DSS (Payment Cards)
┌─────────────────────────────────────────────────────────────────────────────┐
│ PCI-DSS OVERVIEW │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ MERCHANT LEVELS: │
│ ┌───────────────────────────────────────────────────────────────────────┐ │
│ │ Level │ Transactions/Year │ Validation Requirements │ │
│ ├───────┼───────────────────────┼──────────────────────────────────────┤ │
│ │ 1 │ >6 million │ Annual ROC by QSA + quarterly scans │ │
│ │ 2 │ 1-6 million │ Annual SAQ + quarterly scans │ │
│ │ 3 │ 20,000-1 million │ Annual SAQ + quarterly scans │ │
│ │ 4 │ <20,000 │ Annual SAQ + quarterly scans │ │
│ └───────────────────────────────────────────────────────────────────────┘ │
│ │
│ 12 REQUIREMENTS: │
│ ┌───────────────────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ BUILD & MAINTAIN SECURE NETWORK: │ │
│ │ 1. Install and maintain a firewall configuration │ │
│ │ 2. Do not use vendor-supplied defaults │ │
│ │ │ │
│ │ PROTECT CARDHOLDER DATA: │ │
│ │ 3. Protect stored cardholder data │ │
│ │ 4. Encrypt transmission of cardholder data │ │
│ │ │ │
│ │ MAINTAIN VULNERABILITY MANAGEMENT: │ │
│ │ 5. Protect against malware and update antivirus │ │
│ │ 6. Develop and maintain secure systems │ │
│ │ │ │
│ │ IMPLEMENT STRONG ACCESS CONTROL: │ │
│ │ 7. Restrict access to cardholder data (need-to-know) │ │
│ │ 8. Identify and authenticate access to systems │ │
│ │ 9. Restrict physical access to cardholder data │ │
│ │ │ │
│ │ MONITOR AND TEST NETWORKS: │ │
│ │ 10. Track and monitor all access │ │
│ │ 11. Regularly test security systems │ │
│ │ │ │
│ │ MAINTAIN INFORMATION SECURITY POLICY: │ │
│ │ 12. Maintain security policies for all personnel │ │
│ │ │ │
│ └───────────────────────────────────────────────────────────────────────┘ │
│ │
│ SAQ TYPES: │
│ SAQ A - Card-not-present, fully outsourced │
│ SAQ A-EP - E-commerce, partially outsourced │
│ SAQ B - Imprint/standalone dial-out terminals │
│ SAQ B-IP - Standalone IP-connected terminals │
│ SAQ C - Payment applications connected to internet │
│ SAQ C-VT - Virtual payment terminals │
│ SAQ D - All other merchants / service providers │
│ │
└─────────────────────────────────────────────────────────────────────────────┘
For detailed PCI-DSS guidance, see our PCI-DSS Compliance Guide and PCI-DSS Validation Workflow.
SOC 2 (Service Organizations)
┌─────────────────────────────────────────────────────────────────────────────┐
│ SOC 2 OVERVIEW │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ TRUST SERVICE CRITERIA (TSC): │
│ ┌───────────────────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ ┌─────────────────┐ Required for all SOC 2 reports │ │
│ │ │ SECURITY │ Protection against unauthorized access │ │
│ │ │ (Required) │ Includes: access control, encryption, │ │
│ │ │ │ firewalls, intrusion detection │ │
│ │ └─────────────────┘ │ │
│ │ │ │
│ │ ┌─────────────────┐ ┌─────────────────┐ ┌─────────────────┐ │ │
│ │ │ AVAILABILITY │ │ CONFIDENTIALITY │ │ PROCESSING │ │ │
│ │ │ (Optional) │ │ (Optional) │ │ INTEGRITY │ │ │
│ │ │ │ │ │ │ (Optional) │ │ │
│ │ │ System uptime, │ │ Data protection,│ │ Complete, │ │ │
│ │ │ disaster │ │ restricted │ │ accurate │ │ │
│ │ │ recovery │ │ access │ │ processing │ │ │
│ │ └─────────────────┘ └─────────────────┘ └─────────────────┘ │ │
│ │ │ │
│ │ ┌─────────────────┐ │ │
│ │ │ PRIVACY │ For personal information handling │ │
│ │ │ (Optional) │ Based on AICPA Privacy criteria │ │
│ │ └─────────────────┘ │ │
│ │ │ │
│ └───────────────────────────────────────────────────────────────────────┘ │
│ │
│ REPORT TYPES: │
│ ┌───────────────────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ SOC 2 Type I SOC 2 Type II │ │
│ │ ┌────────────────────────┐ ┌────────────────────────┐ │ │
│ │ │ Point-in-time │ │ Period of time │ │ │
│ │ │ assessment │ │ (typically 6-12 months)│ │ │
│ │ │ │ │ │ │ │
│ │ │ Controls designed │ │ Controls designed │ │ │
│ │ │ appropriately? │ │ AND operating │ │ │
│ │ │ │ │ effectively? │ │ │
│ │ │ │ │ │ │ │
│ │ │ Good for: First │ │ Good for: Ongoing │ │ │
│ │ │ compliance milestone │ │ customer assurance │ │ │
│ │ └────────────────────────┘ └────────────────────────┘ │ │
│ │ │ │
│ └───────────────────────────────────────────────────────────────────────┘ │
│ │
│ TYPICAL TIMELINE: │
│ Type I: 3-6 months (readiness + audit) │
│ Type II: 6-12+ months (readiness + observation period + audit) │
│ │
└─────────────────────────────────────────────────────────────────────────────┘
For detailed SOC 2 guidance, see our SOC 2 Compliance Guide and SOC 2 Readiness Workflow.
ISO 27001 (Information Security Management)
┌─────────────────────────────────────────────────────────────────────────────┐
│ ISO 27001 OVERVIEW │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ ISMS STRUCTURE: │
│ ┌───────────────────────────────────────────────────────────────────────┐ │
│ │ │ │
│ │ ┌─────────────────────────────────────────────────────────────┐ │ │
│ │ │ PLAN-DO-CHECK-ACT CYCLE │ │ │
│ │ │ │ │ │
│ │ │ ┌──────────┐ ┌──────────┐ │ │ │
│ │ │ │ PLAN │───────────────────▶│ DO │ │ │ │
│ │ │ │ │ │ │ │ │ │
│ │ │ │ Establish│ │Implement │ │ │ │
│ │ │ │ ISMS │ │ ISMS │ │ │ │
│ │ │ └──────────┘ └────┬─────┘ │ │ │
│ │ │ ▲ │ │ │ │
│ │ │ │ ▼ │ │ │
│ │ │ ┌──────────┐ ┌──────────┐ │ │ │
│ │ │ │ ACT │◀───────────────────│ CHECK │ │ │ │
│ │ │ │ │ │ │ │ │ │
│ │ │ │ Maintain │ │ Monitor │ │ │ │
│ │ │ │& Improve │ │ & Review │ │ │ │
│ │ │ └──────────┘ └──────────┘ │ │ │
│ │ │ │ │ │
│ │ └─────────────────────────────────────────────────────────────┘ │ │
│ │ │ │
│ └───────────────────────────────────────────────────────────────────────┘ │
│ │
│ ANNEX A CONTROL DOMAINS (93 Controls in ISO 27001:2022): │
│ ┌───────────────────────────────────────────────────────────────────────┐ │
│ │ A.5 Organizational Controls (37) Policy, roles, responsibilities │ │
│ │ A.6 People Controls (8) HR security, training │ │
│ │ A.7 Physical Controls (14) Physical security │ │
│ │ A.8 Technological Controls (34) Technical security controls │ │
│ └───────────────────────────────────────────────────────────────────────┘ │
│ │
│ CERTIFICATION PROCESS: │
│ ┌───────────────────────────────────────────────────────────────────────┐ │
│ │ Stage 1 Audit: Documentation review (ISMS readiness) │ │
│ │ Stage 2 Audit: Implementation effectiveness (on-site/remote) │ │
│ │ Certificate Issued: Valid for 3 years │ │
│ │ Surveillance Audits: Annual (years 1 and 2) │ │
│ │ Recertification: Full audit every 3 years │ │
│ └───────────────────────────────────────────────────────────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────────────────────┘
For detailed ISO 27001 guidance, see our ISO 27001 Certification Guide.
NIST Frameworks
┌─────────────────────────────────────────────────────────────────────────────┐
│ NIST FRAMEWORKS COMPARISON │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ NIST CYBERSECURITY FRAMEWORK (CSF 2.0) │
│ ┌───────────────────────────────────────────────────────────────────────┐ │
│ │ Purpose: Voluntary framework for managing cybersecurity risk │ │
│ │ Audience: Any organization (private sector focus) │ │
│ │ │ │
│ │ FUNCTIONS: │ │
│ │ ┌─────────┬─────────┬─────────┬─────────┬─────────┬─────────┐ │ │
│ │ │ GOVERN │IDENTIFY │ PROTECT │ DETECT │ RESPOND │ RECOVER │ │ │
│ │ │ (New) │ │ │ │ │ │ │ │
│ │ └─────────┴─────────┴─────────┴─────────┴─────────┴─────────┘ │ │
│ │ │ │
│ │ Best for: General cybersecurity program, risk-based approach │ │
│ └───────────────────────────────────────────────────────────────────────┘ │
│ │
│ NIST 800-53 (Security and Privacy Controls) │
│ ┌───────────────────────────────────────────────────────────────────────┐ │
│ │ Purpose: Catalog of security/privacy controls │ │
│ │ Audience: Federal agencies (required), private sector (optional) │ │
│ │ │ │
│ │ CONTROL FAMILIES (20): │ │
│ │ AC (Access Control) MP (Media Protection) │ │
│ │ AT (Awareness Training) PE (Physical) │ │
│ │ AU (Audit) PL (Planning) │ │
│ │ CA (Assessment) PM (Program Mgmt) │ │
│ │ CM (Configuration) PS (Personnel) │ │
│ │ CP (Contingency) PT (PII Processing) │ │
│ │ IA (Identification) RA (Risk Assessment) │ │
│ │ IR (Incident Response) SA (System Acquisition) │ │
│ │ MA (Maintenance) SC (System/Comms) │ │
│ │ ...and more SI (System/Info Integrity) │ │
│ │ │ │
│ │ Best for: Federal requirements, detailed control implementation │ │
│ └───────────────────────────────────────────────────────────────────────┘ │
│ │
│ NIST 800-171 (CUI Protection) │
│ ┌───────────────────────────────────────────────────────────────────────┐ │
│ │ Purpose: Protecting Controlled Unclassified Information (CUI) │ │
│ │ Audience: Defense contractors, federal contractors handling CUI │ │
│ │ │ │
│ │ 110 security requirements across 14 families │ │
│ │ Required for: DFARS compliance, CMMC Level 2 │ │
│ │ │ │
│ │ Best for: Defense/federal contractors │ │
│ └───────────────────────────────────────────────────────────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────────────────────┘
For detailed NIST guidance, see our NIST Compliance Guide and NIST Frameworks Comparison.
Complete Guide Directory
Regulatory Compliance
- HIPAA Compliance Guide - Healthcare data protection
- HIPAA Security Assessment - Implementation workflow
- PCI-DSS Compliance Guide - Payment card security
- PCI-DSS Validation Workflow - Validation process
- GDPR Technical Implementation - EU data protection
Certifications & Attestations
- SOC 2 Compliance Guide - Service organization controls
- SOC 2 Readiness Workflow - Preparation guide
- ISO 27001 Certification - ISMS certification
- FedRAMP Authorization - Federal cloud authorization
Frameworks & Standards
- NIST Compliance Guide - Federal frameworks
- NIST Frameworks Comparison - CSF vs 800-53 vs 800-171
Implementation & Operations
- Compliance Gap Analysis - Assessment guide
- Compliance Audit Preparation - Audit readiness
- Compliance Risk Assessment - Risk management
- Continuous Compliance Monitoring - Ongoing compliance
- Multi-Framework Mapping - Unified compliance
- Compliance Automation Tools - Tool comparison
Business Considerations
- Compliance Budget Impact - Cost planning
- SMB Compliance Solutions - Small business guide
- Cloud Compliance Governance - Cloud considerations
Control Mapping Overview
┌─────────────────────────────────────────────────────────────────────────────┐
│ COMMON CONTROLS ACROSS FRAMEWORKS │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ CONTROL AREA │ HIPAA │PCI-DSS │ SOC 2 │ISO 27001│ NIST CSF │ │
│ ────────────────────┼────────┼────────┼───────┼─────────┼──────────│ │
│ Access Control │ ✓ Tech │ Req 7,8│ CC6.1 │ A.9 │ PR.AC │ │
│ Encryption │ ✓ Tech │ Req 3,4│ CC6.7 │ A.10 │ PR.DS │ │
│ Audit Logging │ ✓ Tech │ Req 10 │ CC7.2 │ A.12 │ DE.AE │ │
│ Incident Response │ ✓ Admin│ Req 12 │ CC7.3 │ A.16 │ RS.RP │ │
│ Risk Assessment │ ✓ Admin│ Req 12 │ CC3.2 │ Clause 6│ ID.RA │ │
│ Security Training │ ✓ Admin│ Req 12 │ CC1.4 │ A.7 │ PR.AT │ │
│ Vendor Management │ ✓ BAA │ Req 12 │ CC9.2 │ A.15 │ ID.SC │ │
│ Change Management │ ✓ Tech │ Req 6 │ CC8.1 │ A.12 │ PR.IP │ │
│ Business Continuity │ ✓ Admin│ Req 12 │ A1.2 │ A.17 │ PR.IP │ │
│ Physical Security │ ✓ Phys │ Req 9 │ CC6.4 │ A.11 │ PR.AC │ │
│ │
│ KEY: Implement once, map to multiple frameworks! │
│ │
└─────────────────────────────────────────────────────────────────────────────┘
Implementation Roadmap
Phase 1: Foundation (Months 1-2)
- Determine applicable frameworks
- Conduct gap assessment
- Define scope and boundaries
- Assign roles and responsibilities
- Create security policies
Phase 2: Core Controls (Months 2-4)
- Implement access control
- Deploy encryption (at-rest, in-transit)
- Configure audit logging
- Establish change management
- Document procedures
Phase 3: Operational Controls (Months 4-6)
- Implement vulnerability management
- Deploy monitoring and alerting
- Establish incident response
- Conduct security training
- Perform risk assessments
Phase 4: Audit Preparation (Months 6-8)
- Collect evidence
- Conduct internal audit
- Remediate findings
- Prepare for external audit
- Schedule audit engagement
Phase 5: Ongoing Compliance
- Continuous monitoring
- Regular control testing
- Evidence management
- Annual assessments
- Improvement initiatives
Related Tools
- Security Policy Generator - Create compliant policies
- Compliance Checklist Generator - Framework checklists