Defense Federal Acquisition Regulation Supplement (DFARS) Amerika Serikat

Defense Federal Acquisition Regulation Supplement (DFARS) Amerika Serikat adalah serangkaian peraturan yang diperlukan bagi perusahaan yang mengadakan kontrak dengan Departemen Pertahanan (DoD).

Kontraktor Departemen Pertahanan dan pelanggan Defense Industrial Base (DIB) diwajibkan untuk mematuhi persyaratan klausul DFARS yang berlaku untuk keamanan yang memadai. Pelanggan tersebut dapat menggunakan Google Cloud dan Google Workspace untuk mematuhi Penyedia Layanan Cloud (CSP) yang berlaku, yakni klausul DFARS 252.239-7010 dan 252.204-7012, menggunakan layanan FedRAMP high dan FedRAMP moderate.

Mematuhi DFARS 252.239-7010

Jika solusi cloud digunakan untuk memproses data atas nama Departemen Pertahanan, atau Departemen Pertahanan melakukan kontrak dengan CSP untuk menghosting atau memproses data di cloud, kontraktor pertahanan harus mematuhi DFARS 252.239-7010, Layanan Cloud Computing. DFARS 252.239-7010 mewajibkan penyedia layanan cloud untuk mematuhi Panduan Persyaratan Keamanan Cloud Computing DoD.

Google Cloud dan Google Workspace dapat mendukung kepatuhan pelanggan terhadap Panduan Persyaratan Keamanan Cloud Computing DoD, dengan layanan Google Cloud yang diberi otorisasi di tingkat IL2, IL4, dan IL5, serta layanan Google Workspace yang diberi otorisasi di tingkat IL2 dan IL4, dengan IL5 yang saat ini dalam tahap pemrosesan. Pelajari lebih lanjut layanan yang didukung dengan membuka halaman kepatuhan terhadap DISA kami.

Mematuhi DFARS 252.204-7012

Kontraktor pertahanan yang sistem informasinya memproses, menyimpan, atau mengirimkan informasi pertahanan yang dicakup (CDI) harus mematuhi Klausul DFARS 252.204-7012, yang menentukan persyaratan untuk perlindungan informasi yang terkontrol dan bersifat tidak rahasia (CUI) sesuai dengan NIST SP 800-171, kewajiban pelaporan insiden cyber, dan pertimbangan lainnya untuk penyedia layanan cloud.

Google Cloud dan Google Workspace mendukung DFARS

Pelanggan dapat menggunakan Google Cloud dan Google Workspace untuk mematuhi klausul CSP 252.239-7010 dan 252.204-7012 yang berlaku dari CSP dan menggunakan kontrol FedRAMP moderate dan FedRAMP high.

Google Cloud dan Google Workspace mempertahankan Authority to Operate (ATO) FedRAMP Moderate dan FedRAMP High untuk layanan yang ditetapkan. Semua Layanan FedRAMP Moderate dan FedRAMP High selaras dengan NIST 800-171. Pelanggan harus menggunakan Customer Responsibility Matrix (CRM) FedRAMP, yang merupakan bagian dari Rencana Keamanan Sistem FedRAMP milik Google, saat mengonfigurasi sistem agar mendukung kepatuhan terhadap FedRAMP. Tim penjualan kami atau perwakilan Google Cloud Anda dapat membantu memberikan akses ke dokumentasi yang berlaku.

Untuk semua layanan FedRAMP, Google mengandalkan Rencana Respons Insiden (IRP) FedRAMP miliknya, yang merupakan bagian dari Rencana Keamanan Sistem (SSP) FedRAMP Google yang diotorisasi sebagai bagian dari ATO FedRAMP. Sesuai dengan prosedur standar respons insidennya, Google menyimpan dan melindungi semua software berbahaya, media, analisis forensik, dan penilaian kerusakan yang dilaksanakan dan relevan sebagai bagian dari penyelidikan. 

Pelanggan yang mewajibkan data mereka disimpan secara eksklusif di Amerika Serikat harus menggunakan layanan FedRAMP High (yang dikonfigurasi dengan Assured Workloads atau Assured Controls) dan CRM FedRAMP. Tindakan ini akan memastikan data mereka disimpan di region pusat data Google yang berlokasi di Amerika Serikat. Pelanggan juga dapat memilih untuk menggunakan solusi Google tingkat IL2, IL4, atau IL5 guna memastikan residensi data pada data pelanggan.

Menggunakan Google untuk mematuhi DFARS 252.204-7012

Kontraktor Departemen Pertahanan dan pelanggan DIB dapat menggunakan Google Cloud dan Google Workspace untuk memenuhi persyaratan DFARS 252.204-7012. Dengan mengaktifkan Assured Workloads atau Assured Controls, organisasi ini dapat memfasilitasi pembuatan batas atau kantong sistem yang sesuai dengan lingkungan Google Cloud mereka. Sebagaimana diuraikan di bawah, Google berkomitmen untuk menyetujui persyaratan alur DFARS 252.204-7012 yang berlaku bagi (CSP) untuk layanan FedRAMP moderate dan FedRAMP high.

Pelanggan harus memilih paket kontrol peraturan FedRAMP Moderate atau FedRAMP High untuk deployment dalam batas software-defined. Seperti disebutkan di atas, Pelanggan harus menggunakan CRM FedRAMP, yang merupakan bagian dari SSP FedRAMP Google, saat mengonfigurasi sistem mereka untuk mendukung kepatuhan terhadap FedRAMP.

Pelanggan Google Workspace harus memastikan bahwa mereka hanya menggunakan layanan dengan FedRAMP moderate atau FedRAMP high dalam cakupan kepatuhan mereka terhadap DFARS 252.204-7012. Jika diperlukan, pelanggan dapat menonaktifkan layanan yang belum mendapatkan otorisasi FedRAMP. Google merekomendasikan agar pelanggan mengikuti panduan konfigurasi FedRAMP Google Workspace untuk mendukung kepatuhan terhadap DFARS 252.204-7012. Perhatikan bahwa meskipun lokasi data dan Assured Controls tidak secara eksplisit diperlukan untuk memenuhi kepatuhan terhadap DFARS 252.204-7012, keduanya dapat dianggap sebagai add-on opsional bagi pelanggan dengan persyaratan yang lebih ketat.

Komitmen Google Cloud dan Google Workspace menurut persyaratan klausul DFARS 7012

Persyaratan Klausul DFARS 7012

Komitmen Google Cloud dan Google Workspace

(b) Persyaratan yang berkaitan dengan penyediaan Keamanan yang memadai

Google Cloud dan Google Workspace mempertahankan ATO FedRAMP Moderate dan FedRAMP High untuk layanan yang tercakup. Semua Layanan FedRAMP Moderate dan FedRAMP High selaras dengan NIST 800-171.

Pelanggan harus menggunakan CRM FedRAMP, yang merupakan bagian dari SSP FedRAMP milik Google, saat mengonfigurasi sistem agar mendukung kepatuhan terhadap FedRAMP. Pelanggan dapat meminta SSP dan CRM FedRAMP dari spesialis penjualan Google Cloud

c) Persyaratan pelaporan insiden cyber

Google melaporkan insiden data sesuai dengan tanggung jawab dan kewajiban kontrak FedRAMP.

Persyaratan Pemrosesan Data Cloud Google mencakup pasal tentang keamanan data (pasal 7, Keamanan Data), termasuk Notifikasi terkait Insiden Data, yang menyatakan bahwa Google akan memberi tahu pelanggan dengan segera dan tanpa penundaan yang tidak semestinya setelah mengetahui terjadinya Insiden Data (pasal 7.2.1). Notifikasi Google akan menjelaskan: sifat insiden, termasuk sumber daya Pelanggan yang terpengaruh; langkah-langkah yang telah diambil, atau akan diambil oleh Google untuk mengatasi insiden tersebut serta mengurangi potensi risikonya; tindakan, jika ada, yang direkomendasikan Google agar dilakukan oleh pelanggan untuk mengatasi insiden tersebut; dan detail titik kontak tempat informasi lebih lanjut bisa didapatkan (pasal 7.2.2).

Google tidak menilai Data Pelanggan untuk menyelidiki dan mengidentifikasi Insiden Data. Namun, atas permintaan pelanggan, Google dapat memberikan kerja sama dan bantuan tambahan yang wajar untuk membantu Pelanggan memastikan kepatuhannya terhadap kewajiban yang berkaitan dengan keamanan dan pelanggaran data pribadi berdasarkan hukum yang berlaku.

Google berkomitmen untuk segera memberi tahu pelanggan yang terdampak dan berada dalam cakupan DFARS dengan Assured Workloads dan Assured Controls Insiden Data yang telah dikonfigurasi dengan benar dalam jangka waktu 72 jam.

Untuk mengetahui informasi lebih lanjut tentang pendekatan Google terhadap respons insiden, lihat proses respons Insiden Data kami.

(d) Software berbahaya

Jika Google atau Pelanggan mengidentifikasi software berbahaya yang terhubung ke pelanggan Google Cloud atau Google Workspace dan termasuk dalam cakupan DFARS, Google akan bekerja sama dengan Pelanggan agar mengirimkan software berbahaya tersebut ke Cyber Crime Center (DC3) Departemen Pertahanan, jika diperlukan. 

Infrastruktur Google dirancang dengan menerapkan langkah keamanan untuk membantu mencegah deployment kode berbahaya, menghilangkan pengaruh individu terhadap lingkungan secara sepihak, dan menerapkan kontrol yang konsisten di seluruh layanannya.

(e) Preservasi dan perlindungan media

Jika terjadi insiden data, Tim Manajemen Insiden akan mengikuti protokol IRP FedRAMP Google untuk menjamin pengumpulan dan preservasi data sebagai bagian dari proses investigasi insiden standar. Selama proses ini berlangsung, Google akan mengamankan dan mengelola sistem fisik atau virtual, atau media fisik, jika dianggap perlu untuk respons insiden. Pelanggan bertanggung jawab untuk mengumpulkan dan menyimpan data pemantauan atau data penangkapan paket apa pun.

Pelanggan Google Cloud dan Google Workspace juga disarankan untuk menggunakan Cloud Logging guna menyimpan data log audit pelanggan selama minimal enam bulan (atau setidaknya 90 hari untuk memenuhi kewajiban DFARS 252.204-7012). Pelanggan dapat meminta SSP dan CRM FedRAMP (yang mencakup IRP) dari spesialis penjualan Google Cloud.

(f) Akses ke informasi atau peralatan tambahan yang diperlukan untuk analisis forensik

Atas permintaan Pelanggan, Google dapat memberikan kerja sama dan bantuan tambahan yang wajar untuk membantu Pelanggan memastikan kepatuhannya terhadap kewajiban yang berkaitan dengan keamanan dan pelanggaran data pribadi berdasarkan hukum yang berlaku.

(g) Aktivitas penilaian kerusakan insiden cyber

Sebagai bagian dari IRP FedRAMP, Google mengevaluasi tingkat kerusakan dari insiden yang diketahui. Informasi ini tersedia berdasarkan permintaan sebagai bagian dari penilaian kerusakan Departemen Pertahanan.

Persyaratan Klausul DFARS 7012

Komitmen Google Cloud dan Google Workspace

(b) Persyaratan yang berkaitan dengan penyediaan Keamanan yang memadai

Google Cloud dan Google Workspace mempertahankan ATO FedRAMP Moderate dan FedRAMP High untuk layanan yang tercakup. Semua Layanan FedRAMP Moderate dan FedRAMP High selaras dengan NIST 800-171.

Pelanggan harus menggunakan CRM FedRAMP, yang merupakan bagian dari SSP FedRAMP milik Google, saat mengonfigurasi sistem agar mendukung kepatuhan terhadap FedRAMP. Pelanggan dapat meminta SSP dan CRM FedRAMP dari spesialis penjualan Google Cloud

c) Persyaratan pelaporan insiden cyber

Google melaporkan insiden data sesuai dengan tanggung jawab dan kewajiban kontrak FedRAMP.

Persyaratan Pemrosesan Data Cloud Google mencakup pasal tentang keamanan data (pasal 7, Keamanan Data), termasuk Notifikasi terkait Insiden Data, yang menyatakan bahwa Google akan memberi tahu pelanggan dengan segera dan tanpa penundaan yang tidak semestinya setelah mengetahui terjadinya Insiden Data (pasal 7.2.1). Notifikasi Google akan menjelaskan: sifat insiden, termasuk sumber daya Pelanggan yang terpengaruh; langkah-langkah yang telah diambil, atau akan diambil oleh Google untuk mengatasi insiden tersebut serta mengurangi potensi risikonya; tindakan, jika ada, yang direkomendasikan Google agar dilakukan oleh pelanggan untuk mengatasi insiden tersebut; dan detail titik kontak tempat informasi lebih lanjut bisa didapatkan (pasal 7.2.2).

Google tidak menilai Data Pelanggan untuk menyelidiki dan mengidentifikasi Insiden Data. Namun, atas permintaan pelanggan, Google dapat memberikan kerja sama dan bantuan tambahan yang wajar untuk membantu Pelanggan memastikan kepatuhannya terhadap kewajiban yang berkaitan dengan keamanan dan pelanggaran data pribadi berdasarkan hukum yang berlaku.

Google berkomitmen untuk segera memberi tahu pelanggan yang terdampak dan berada dalam cakupan DFARS dengan Assured Workloads dan Assured Controls Insiden Data yang telah dikonfigurasi dengan benar dalam jangka waktu 72 jam.

Untuk mengetahui informasi lebih lanjut tentang pendekatan Google terhadap respons insiden, lihat proses respons Insiden Data kami.

(d) Software berbahaya

Jika Google atau Pelanggan mengidentifikasi software berbahaya yang terhubung ke pelanggan Google Cloud atau Google Workspace dan termasuk dalam cakupan DFARS, Google akan bekerja sama dengan Pelanggan agar mengirimkan software berbahaya tersebut ke Cyber Crime Center (DC3) Departemen Pertahanan, jika diperlukan. 

Infrastruktur Google dirancang dengan menerapkan langkah keamanan untuk membantu mencegah deployment kode berbahaya, menghilangkan pengaruh individu terhadap lingkungan secara sepihak, dan menerapkan kontrol yang konsisten di seluruh layanannya.

(e) Preservasi dan perlindungan media

Jika terjadi insiden data, Tim Manajemen Insiden akan mengikuti protokol IRP FedRAMP Google untuk menjamin pengumpulan dan preservasi data sebagai bagian dari proses investigasi insiden standar. Selama proses ini berlangsung, Google akan mengamankan dan mengelola sistem fisik atau virtual, atau media fisik, jika dianggap perlu untuk respons insiden. Pelanggan bertanggung jawab untuk mengumpulkan dan menyimpan data pemantauan atau data penangkapan paket apa pun.

Pelanggan Google Cloud dan Google Workspace juga disarankan untuk menggunakan Cloud Logging guna menyimpan data log audit pelanggan selama minimal enam bulan (atau setidaknya 90 hari untuk memenuhi kewajiban DFARS 252.204-7012). Pelanggan dapat meminta SSP dan CRM FedRAMP (yang mencakup IRP) dari spesialis penjualan Google Cloud.

(f) Akses ke informasi atau peralatan tambahan yang diperlukan untuk analisis forensik

Atas permintaan Pelanggan, Google dapat memberikan kerja sama dan bantuan tambahan yang wajar untuk membantu Pelanggan memastikan kepatuhannya terhadap kewajiban yang berkaitan dengan keamanan dan pelanggaran data pribadi berdasarkan hukum yang berlaku.

(g) Aktivitas penilaian kerusakan insiden cyber

Sebagai bagian dari IRP FedRAMP, Google mengevaluasi tingkat kerusakan dari insiden yang diketahui. Informasi ini tersedia berdasarkan permintaan sebagai bagian dari penilaian kerusakan Departemen Pertahanan.

Seperti diuraikan di atas, produk Google yang tercakup dalam otorisasi FedRAMP selaras dengan persyaratan DFARS 252.204-7012 yang berlaku bagi CSP untuk memungkinkan kontraktor pertahanan memenuhi kewajibannya berdasarkan DFARS 252.204-7012.

Langkah selanjutnya

Mulailah membangun solusi di Google Cloud dengan kredit gratis senilai $300 dan lebih dari 20 produk yang selalu gratis.

Mulai secara gratis
Google Cloud
DokumenDukungan
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Konsol
Login
Security
BerandaKecerdasan dan keahlianSecOpsKeamanan cloudResource keamanan
Bantuan Respons Insiden
Hubungi Kami
  • Percepat transformasi digital Anda
  • Google Cloud dapat membantu mengatasi tantangan terberat Anda, baik saat bisnis Anda baru memulai transformasi digital atau sudah di tingkat lanjut.
Lihat semua solusi
Lihat semua produk (100+)
  • Produk Unggulan
  • Business Intelligence
  • Hybrid dan Multicloud
  • Khusus Industri
  • Layanan Media
  • Mixed Reality
  • Produktivitas dan Kolaborasi
  • Hemat uang dengan pendekatan transparan kami soal harga
  • Harga bayar sesuai penggunaan dari Google Cloud menawarkan penghematan otomatis berdasarkan penggunaan bulanan dan tarif diskon untuk resource prabayar. Hubungi kami sekarang untuk mendapatkan penawaran harga.
Google Cloud