El Defense Federal Acquisition Regulation Supplement de EE.UU. (DFARS) es un conjunto de reglamentaciones obligatorias para las empresas que celebran contratos con el Departamento de Defensa (DoD).
Los contratistas del Departamento de Defensa y los clientes de la Base Industrial de Defensa (DIB) deben cumplir con los requisitos aplicables de la cláusula del DFARS para lograr una seguridad adecuada. Estos clientes pueden usar Google Cloud y Google Workspace para cumplir con las cláusulas de FedRAMP 252.239-7010 y 252.204-7012 correspondientes al proveedor de servicios en la nube (CSP) mediante nuestros servicios FedRAMP Moderate y FedRAMP High.
Cuando se usa una solución en la nube para procesar datos en nombre del Departamento de Defensa, o cuando el Departamento de Defensa contrata a un CSP para alojar o procesar datos en una nube, el contratista de defensa debe cumplir con lo siguiente:DFARS 252.239-7010, Servicios de computación en la nube. DFARS 252.239-7010 requiere que el proveedor de servicios en la nube cumpla con la Guía de requisitos de seguridad para la computación en la nube del DoD.
Google Cloud y Google Workspace pueden respaldar el cumplimiento de los clientes de la Guía de Requisitos de Seguridad para la Computación en la Nube de DoD, los servicios de Google Cloud autorizados en los niveles IL2, IL4 e IL5, y los servicios de Google Workspace autorizados en IL2 e IL4, con la IL5 en curso. Para obtener más información sobre los servicios admitidos, visita nuestra página de cumplimiento de la DISA.
Los contratistas de defensa cuyos sistemas de información procesan, almacenan o transmiten información de defensa cubierta (CDI) deben cumplir con la cláusula 252.204-7012 de DFARS, que especifica los requisitos para la protección de la información controlada y no clasificada (CUI) de acuerdo con NIST SP 800-171, obligaciones de informes de incidentes cibernéticos y otras consideraciones para los proveedores de servicios en la nube.
Los clientes pueden usar Google Cloud y Google Workspace para cumplir con las cláusulas de FedRAMP 252.239-7010 y 252.204-7012 aplicables para CSP mediante nuestros controles de FedRAMP Moderate y FedRAMP high.
Google Cloud y Google Workspace mantienen FedRAMP Moderate y FedRAMP High Authority to Operate (ATO) para los servicios definidos. Todos los servicios FedRAMP Moderate y FedRAMP High se alinean con NIST 800-171. Los clientes deben usar la Matriz de responsabilidad del cliente (CRM) de FedRAMP, que forma parte del plan de seguridad del sistema FedRAMP de Google, cuando configuren sus sistemas para garantizar el cumplimiento de FedRAMP. Nuestro equipo de ventas o tu representante de Google Cloud pueden ayudarte a obtener acceso a esta documentación aplicable.
Para todos los servicios de FedRAMP, Google se basa en su Plan de respuesta ante incidentes (IRP) de FedRAMP, que forma parte del Plan de seguridad (SSP) del sistema FedRAMP de Google autorizado como parte de sus ATO de FedRAMP. De acuerdo con sus procedimientos estándares de respuesta ante incidentes, Google preserva y protege cualquier software malicioso, medios, análisis forense y evaluaciones de daños aplicables completadas como parte de su investigación.
Los clientes que requieren que sus datos se almacenen de forma exclusiva en EE.UU. deben usar los servicios de FedRAMP High (configurados con Assured Workloads o Assured Controls) y el CRM de FedRAMP. Esto garantizará que los datos se almacenen en las regiones de los centros de datos de Google ubicadas dentro de Estados Unidos. Los clientes también pueden optar por usar las soluciones de Google para IL2, IL4 o IL5 para garantizar la residencia de los datos del cliente.
Los contratistas del DoD y los clientes de DIB pueden usar Google Cloud y Google Workspace para cumplir con los requisitos de DFARS 252.204-7012. Cuando se habilitan Assured Workloads o Assured Controls, estas organizaciones pueden facilitar la creación de límites o enclaves de sistema que cumplan con las reglamentaciones dentro de sus entornos de Google Cloud. Como se describe a continuación, Google se compromete a aceptar los requisitos del flujo descendente DFARS 252.204-7012 que son aplicables al (CSP) de nuestros servicios FedRAMP Modetate y FedRAMP High.
Los clientes deben seleccionar el paquete de control regulatorio FedRAMP Moderate o FedRAMP High para la implementación dentro del límite definido por el software. Como se mencionó antes, los clientes deben usar el CRM de FedRAMP, que forma parte de la SSP de FedRAMP de Google, cuando configuren sus sistemas para garantizar el cumplimiento de FedRAMP.
Los clientes de Google Workspace deben asegurarse de usar solo los servicios que cumplen con el estándar FedRAMP Moderate o FedRAMP High. Si es necesario, un cliente puede desactivar un servicio que aún no está autorizado por FedRAMP. Google recomienda que los clientes sigan la guía de configuración de FedRAMP de Google Workspace para garantizar el cumplimiento de DFARS 252.204-7012. Tenga en cuenta que, si bien la ubicación de los datos y Assured Controls no son obligatorios de forma explícita para cumplir con el estándar de DFARS 252.204-7012, pueden considerarse complementos opcionales para aquellos clientes con requisitos más restrictivos.
Requisitos de la cláusula DFARS 7012 | Compromiso de Google Cloud y Google Workspace |
(b) Requisitos relativos a la prestación de seguridad adecuada | Google Cloud y Google Workspace mantienen FedRAMP Moderate y FedRAMP High ATO para los servicios cubiertos. Todos los servicios FedRAMP Moderate y FedRAMP High se alinean con NIST 800-171. Los clientes deben usar el CRM de FedRAMP, que forma parte de la SSP de FedRAMP de Google, cuando configuren sus sistemas para garantizar el cumplimiento de FedRAMP. Los clientes pueden solicitar el CRM y la SSP de FedRAMP a un especialista en ventas de Google Cloud. |
c) Requisito de informes de incidentes cibernéticos | Google informa los incidentes de datos de acuerdo con sus responsabilidades y obligaciones contractuales del FedRAMP. Las Condiciones del Tratamiento de Datos de Cloud de Google incluyen un artículo sobre la seguridad de los datos (Artículo 7, Seguridad de los Datos), incluida la Notificación de Incidentes de Datos, donde se establece que Google notificará a los clientes de inmediato y sin retrasos injustificados después de que se entere de un Incidente de Datos (Artículo 7.2.1). En la notificación de Google, se describirá la naturaleza del incidente, incluidos los recursos del Cliente afectados; Las medidas que Google tomó, o los planes que se implementarán para abordar el incidente y mitigar su riesgo potencial; las medidas que Google le recomienda tomar al cliente para abordar el incidente; y los detalles de un punto de contacto para obtener más información (sección 7.2.2). Google no evalúa los Datos del Cliente para investigar e identificar Incidentes de Datos. Sin embargo, a pedido del Cliente, Google puede brindar cooperación y asistencia adicionales razonables para ayudar al Cliente a garantizar el cumplimiento de sus obligaciones relacionadas con la seguridad y las violaciones de la seguridad de los datos personales en virtud de la ley aplicable. Google se compromete a informar de inmediato a los clientes afectados que se encuentren dentro del alcance de DFARS con Assured Workloads y Assured Controls de Incidentes de datos configurados correctamente en un período de 72 horas. Para obtener más información sobre el enfoque de Google en cuanto a la respuesta ante incidentes, consulte nuestro Proceso de respuesta ante incidentes de datos. |
(d) Software malicioso | Si Google o el Cliente identifican software malicioso conectado a clientes de Google Cloud o Google Workspace dentro del alcance de DFARS, Google trabajará con los Clientes para enviar el software malicioso al Cyber Crime Center (DC3) del DoD, según corresponda. La infraestructura de Google está diseñada con medidas de seguridad para ayudar a prevenir la implementación de código malicioso, eliminar la posibilidad de que individuos generen un impacto unilateral en el entorno y aplicar controles coherentes en todos sus servicios. |
(e) Conservación y protección de los medios de comunicación | En caso de que ocurra un incidente de datos, el equipo de administración de incidentes sigue el protocolo IRP de FedRAMP de Google para garantizar la recopilación y conservación de los datos como parte del proceso estándar de investigación de incidentes. Durante este proceso, Google protegerá y mantendrá sistemas físicos o virtuales, o medios físicos, si se considera necesario para la respuesta ante incidentes. Los clientes son responsables de recopilar y almacenar cualquier dato de supervisión o captura de paquetes. También se recomienda a los clientes de Google Cloud y Google Workspace que usen Cloud Logging para conservar los datos de registros de auditoría de los clientes durante un mínimo de seis meses (o al menos 90 días para cumplir con las obligaciones de la DFA 252.204-7012). Los clientes pueden solicitar el CRM y la SSP de FedRAMP (que incluyen el IRP) a un especialista en ventas de Google Cloud. |
(f) Acceso a la información o los equipos adicionales necesarios para el análisis forense | A pedido del Cliente, Google puede brindar cooperación y asistencia adicionales razonables para ayudar al Cliente a garantizar el cumplimiento de sus obligaciones relacionadas con la seguridad y las violaciones de la seguridad de los datos personales en virtud de la ley aplicable. |
(g) Actividades de evaluación de daños por incidentes cibernéticos | Como parte del IRP del FedRAMP, Google evalúa el alcance de los daños causados por un incidente conocido. Esta información está disponible si se solicita como parte de una evaluación de daños del DoD. |
Requisitos de la cláusula DFARS 7012
Compromiso de Google Cloud y Google Workspace
(b) Requisitos relativos a la prestación de seguridad adecuada
Google Cloud y Google Workspace mantienen FedRAMP Moderate y FedRAMP High ATO para los servicios cubiertos. Todos los servicios FedRAMP Moderate y FedRAMP High se alinean con NIST 800-171.
Los clientes deben usar el CRM de FedRAMP, que forma parte de la SSP de FedRAMP de Google, cuando configuren sus sistemas para garantizar el cumplimiento de FedRAMP. Los clientes pueden solicitar el CRM y la SSP de FedRAMP a un especialista en ventas de Google Cloud.
c) Requisito de informes de incidentes cibernéticos
Google informa los incidentes de datos de acuerdo con sus responsabilidades y obligaciones contractuales del FedRAMP.
Las Condiciones del Tratamiento de Datos de Cloud de Google incluyen un artículo sobre la seguridad de los datos (Artículo 7, Seguridad de los Datos), incluida la Notificación de Incidentes de Datos, donde se establece que Google notificará a los clientes de inmediato y sin retrasos injustificados después de que se entere de un Incidente de Datos (Artículo 7.2.1). En la notificación de Google, se describirá la naturaleza del incidente, incluidos los recursos del Cliente afectados; Las medidas que Google tomó, o los planes que se implementarán para abordar el incidente y mitigar su riesgo potencial; las medidas que Google le recomienda tomar al cliente para abordar el incidente; y los detalles de un punto de contacto para obtener más información (sección 7.2.2).
Google no evalúa los Datos del Cliente para investigar e identificar Incidentes de Datos. Sin embargo, a pedido del Cliente, Google puede brindar cooperación y asistencia adicionales razonables para ayudar al Cliente a garantizar el cumplimiento de sus obligaciones relacionadas con la seguridad y las violaciones de la seguridad de los datos personales en virtud de la ley aplicable.
Google se compromete a informar de inmediato a los clientes afectados que se encuentren dentro del alcance de DFARS con Assured Workloads y Assured Controls de Incidentes de datos configurados correctamente en un período de 72 horas.
Para obtener más información sobre el enfoque de Google en cuanto a la respuesta ante incidentes, consulte nuestro Proceso de respuesta ante incidentes de datos.
(d) Software malicioso
Si Google o el Cliente identifican software malicioso conectado a clientes de Google Cloud o Google Workspace dentro del alcance de DFARS, Google trabajará con los Clientes para enviar el software malicioso al Cyber Crime Center (DC3) del DoD, según corresponda.
La infraestructura de Google está diseñada con medidas de seguridad para ayudar a prevenir la implementación de código malicioso, eliminar la posibilidad de que individuos generen un impacto unilateral en el entorno y aplicar controles coherentes en todos sus servicios.
(e) Conservación y protección de los medios de comunicación
En caso de que ocurra un incidente de datos, el equipo de administración de incidentes sigue el protocolo IRP de FedRAMP de Google para garantizar la recopilación y conservación de los datos como parte del proceso estándar de investigación de incidentes. Durante este proceso, Google protegerá y mantendrá sistemas físicos o virtuales, o medios físicos, si se considera necesario para la respuesta ante incidentes. Los clientes son responsables de recopilar y almacenar cualquier dato de supervisión o captura de paquetes.
También se recomienda a los clientes de Google Cloud y Google Workspace que usen Cloud Logging para conservar los datos de registros de auditoría de los clientes durante un mínimo de seis meses (o al menos 90 días para cumplir con las obligaciones de la DFA 252.204-7012). Los clientes pueden solicitar el CRM y la SSP de FedRAMP (que incluyen el IRP) a un especialista en ventas de Google Cloud.
(f) Acceso a la información o los equipos adicionales necesarios para el análisis forense
A pedido del Cliente, Google puede brindar cooperación y asistencia adicionales razonables para ayudar al Cliente a garantizar el cumplimiento de sus obligaciones relacionadas con la seguridad y las violaciones de la seguridad de los datos personales en virtud de la ley aplicable.
(g) Actividades de evaluación de daños por incidentes cibernéticos
Como parte del IRP del FedRAMP, Google evalúa el alcance de los daños causados por un incidente conocido. Esta información está disponible si se solicita como parte de una evaluación de daños del DoD.
Como se indicó anteriormente, los productos de Google cubiertos por las autorizaciones de FedRAMP se alinean con los requisitos de DCMA 252.204-7012 aplicables a los CSP para permitir que los contratistas de defensa cumplan con sus obligaciones en virtud de la DFARS 252.204-7012.
Comienza a desarrollar en Google Cloud con el crédito gratis de $300 y los más de 20 productos del nivel Siempre gratuito.