El Departamento de Defensa de EE.UU. exige que todos los contratistas y subcontratistas de la base industrial de defensa (DIB) implementen los controles de seguridad que se describen en el documento NIST SP 800-171 r2 para proteger la información controlada no clasificada (CUI) tal como se indica en la cláusula 252.204-7012 del DFARS, Safeguarding Covered Defense Information and Cyber Incident Reporting. Los contratistas federales (incluidos los contratistas de defensa) que gestionan información sobre contratos federales (FCI) también deben cumplir los requisitos de seguridad que se indican en la cláusula 52.204-21 del FAR, Protección básica de los sistemas de información de contratistas cubiertos.
Para formalizar y verificar el cumplimiento del NIST SP 800-171 r2, el Departamento de Defensa de EE. UU. lanzó el programa CMMC el 15 de octubre del 2024 mediante la regla del programa CMMC de la sección 170 del capítulo 32 del CFR, que entró en vigor el 16 de diciembre del 2024. Una norma de adquisición propuesta (sección 204 del capítulo 48 del CFR) modificará el DFARS 252.204-7021 para exigir la certificación de la CMMC a los contratistas incluidos en ella. Una vez que se haya finalizado, se incorporará el cumplimiento de la CMMC en los contratos del Departamento de Defensa de EE. UU. Google Cloud y Google Workspace están preparados para ayudar a los contratistas a cumplir estos requisitos.
Carta de certificación de CMMC de C3PAO de Google Cloud
Carta de atestación de CMMC de C3PAO de Google Workspace
Carta de atestación de cumplimiento de NIST SP 800-171 para Google Cloud y Google Workspace
CMMC del Departamento de Defensa
Guía de implementación de CMMC de Google Workspace
Guía de implementación de CMMC de Google Cloud
El programa CMMC tiene tres niveles:
Nivel 1: Protección básica de información sobre contratos federales
Nivel 2: Protección general de la información sin clasificar controlada (CUI)
Nivel 3: protección de alto nivel de la información confidencial de identificación de clientes frente a amenazas persistentes avanzadas
En esencia, cuanto mayor sea el nivel del CMMC, más sensibles serán los datos que se gestionen y más estrictos serán los requisitos de ciberseguridad.
Puedes usar Google Cloud y Google Workspace para cumplir los requisitos de cumplimiento de CMMC de tu organización en todos los niveles, ya que se basan en los servicios autorizados por FedRAMP High de Google. Google Cloud y Google Workspace mantienen la autoridad para operar (ATO) de nivel alto de FedRAMP en los servicios incluidos.
Google proporciona la siguiente documentación de orientación para ayudarte a cumplir los requisitos de cumplimiento del CMMC:
Además, Google proporciona las siguientes cartas de certificación elaboradas por una organización de evaluación externa independiente:
En el caso de Google Cloud, debes usar el límite de datos de Assured Workloads para FedRAMP High y utilizar la matriz de responsabilidad del cliente (CRM) de CMMC al configurar los sistemas para que cumplan los requisitos de CMMC. Ponte en contacto con el equipo de Ventas de Google o con tu representante de Google Cloud para obtener la documentación mencionada anteriormente, como el CRM.
En el caso de Google Workspace, debes usar servicios autorizados por FedRAMP High para cumplir el CMMC, así como Assured Controls Plus para habilitar el almacenamiento de datos exclusivamente en Estados Unidos. Si es necesario, los clientes pueden desactivar un servicio que aún no esté autorizado por FedRAMP.
Empieza a crear en Google Cloud con 300 USD en crédito gratis y más de 20 productos Always Free.