El Departamento de Defensa de EE.UU. (DoD) exige que todos los contratistas y subcontratistas de la base industrial de defensa (DIB) implementen los controles de seguridad que se describen en NIST SP 800-171 r2 para proteger la información controlada no clasificada (CUI) como se describe en DFARS 252.204-7012, Protección de la información contemplada de defensa y notificación de incidentes cibernéticos. Los contratistas federales (incluidos los contratistas de defensa) que manejan información de contratos federales (FCI) también deben cumplir con los requisitos de seguridad de la FAR 52.204-21, Protección básica de los sistemas de información de contratistas contemplados.
Para formalizar y verificar el cumplimiento de NIST SP 800-171 r2, el DoD lanzó el programa CMMC el 15 de octubre de 2024 a través de la regla del programa CMMC de la parte 170 de 32 CFR, que entró en vigencia el 16 de diciembre de 2024. Una regla de adquisición propuesta (parte 204 de 48 CFR) enmendará la DFARS 252.204-7021 para exigir la certificación de CMMC a los contratistas cubiertos. Una vez finalizado, esto incorporará el cumplimiento de CMMC en los contratos del DoD. Google Cloud y Google Workspace están listos para ayudar a los contratistas a cumplir con estos requisitos.
Carta de certificación C3PAO CMMC de Google Cloud
Carta de certificación C3PAO CMMC de Google Workspace
Carta de certificación de cumplimiento de NIST SP 800-171 de Google Cloud y Google Workspace
CMMC del Departamento de Defensa
Guía de implementación de CMMC de Google Workspace
Guía de implementación de CMMC de Google Cloud
El programa de la CMMC tiene tres niveles:
Nivel 1: Protección básica de la información de contratos federales (FCI)
Nivel 2: Protección amplia de la CUI
Nivel 3: Protección de nivel superior de la CUI contra amenazas persistentes avanzadas
En esencia, cuanto más alto sea el nivel de CMMC, más sensibles serán los datos que se manejan y más estrictos serán los requisitos de ciberseguridad.
Puedes usar Google Cloud y Google Workspace para cumplir con los requisitos de cumplimiento de CMMC de tu organización en todos los niveles, basándote en los servicios autorizados de FedRAMP High de Google. Google Cloud y Google Workspace mantienen FedRAMP High Authority to Operate (ATO) para los servicios incluidos en el alcance.
Google proporciona la siguiente documentación de orientación para ayudarte a cumplir con los requisitos de cumplimiento de CMMC:
Además, Google proporciona las siguientes cartas de certificación producidas por una organización de evaluación independiente de terceros:
En Google Cloud, debes usar el límite de datos de Assured Workloads para FedRAMP High y utilizar la Matriz de responsabilidad del cliente (CRM) de CMMC cuando configures sistemas para respaldar el cumplimiento de CMMC. Comunícate con el equipo de ventas de Google o con tu representante de Google Cloud para obtener la documentación mencionada anteriormente, como el CRM.
Para Google Workspace, debes usar los servicios autorizados de FedRAMP High para el cumplimiento de CMMC, así como Assured Controls Plus para habilitar el almacenamiento de datos exclusivamente en Estados Unidos. Si es necesario, puedes desactivar un servicio que aún no está autorizado por FedRAMP.
Comienza a desarrollar en Google Cloud con el crédito gratis de $300 y los más de 20 productos del nivel Siempre gratuito.