Certificação de Modelo de Maturidade em Segurança Cibernética (CMMC, na sigla em inglês) dos EUA

Atualmente, o Departamento de Defesa (DoD, na sigla em inglês) dos EUA exige que todos os prestadores de serviços e subcontratados de defesa abrangidos implementem os controles de segurança descritos no NIST SP 800-171. Esse requisito foi desenvolvido para proteger as Informações Contratuais Federais (FCI, na sigla em inglês) e Informações Não Classificadas Controladas (CUI, na sigla em inglês) como parte dos compromissos contratuais das entidades abrangidas pela cláusula 252.204-7012 do Suplemento do Regulamento de Aquisição Federal de Defesa (DFARS, na sigla em inglês). 

Para formalizar esse requisito e fornecer ao DoD uma forma de verificar a conformidade com o NIST SP 800-171, o programa Certificação de Modelo de Maturidade em Segurança Cibernética (CMMC) está sendo desenvolvido pelo DoD. Todos os prestadores de serviços do Departamento de Defesa que tenham a cláusula 252.204-7012 do DFARS nos próprios contratos vão precisar atender ao nível da CMMC exigido no contrato do DoD como uma condição para a adjudicação do contrato quando o regulamento final for definido. 

Contexto da CMMC 2.0 

Em 26 de dezembro de 2023, o Departamento de Defesa lançou uma Proposta de Regulamento para comentário público. O período de comentários vai estar aberto por 60 dias e depois será analisado pelos criadores do regulamento para a publicação final. Com base nesse cronograma, analistas do setor estimam que o regulamento final será divulgado no início de 2025, e a primeira rodada de prestadores de serviços será certificada pela CMMC após essa publicação. A data pode mudar com base nos cronogramas de tomada de decisão do governo.

CMMC e Google Cloud

A CMMC 2.0 tem três níveis disponíveis que as organizações podem buscar, dependendo dos requisitos do DoD. Embora as organizações não possam passar por uma avaliação oficial da CMMC até que o regulamento final seja publicado, o Google Cloud está se preparando para a CMMC Nível 2 participando em análises simuladas. Além disso, nosso C3PAO designado está ajudando em nossos processos de permissão do FedRAMP (FedRAMP, na sigla em inglês) para os serviços do Google Cloud e o Google Workspace. Quando a CMMC 2.0 final for divulgada, o Google dará continuidade ao processo formal de certificação, conforme definido para Provedores de Serviços em Nuvem (CSPs, na sigla em inglês).

Ainda que nenhuma organização tenha recebido uma certificação CMMC, o Google buscou avaliações do NIST SP 800-171 para ajudar na preparação para o Programa CMMC 2.0. Esses relatórios de avaliação estão disponíveis na página NIST SP 800-171

De acordo com o rascunho atual da CMMC, os prestadores de serviços que utilizam soluções em nuvem para armazenar CUI precisam usar CSPs que mantenham uma autorização de nível médio do FedRAMP, no mínimo. Para se preparar para a CMMC, os prestadores de serviços da Base Industrial de Defesa (DIB) que usam os serviços do Google Cloud precisam consultar nossa Matriz de Responsabilidade do Cliente (CRM, na sigla em inglês) do FedRAMP, que é parte do nosso Plano de Segurança do Sistema (SSP, na sigla em inglês) do FedRAMP, para compreender o modelo de responsabilidade compartilhada, já que isso está relacionado à conformidade antecipada com a CMMC. Nossa equipe de vendas ou seu representante do Google Cloud está à disposição para responder às suas perguntas e fornecer a documentação de referência.

Vá além

Comece a criar no Google Cloud com US$ 300 em créditos e mais de 20 produtos do programa Sempre gratuito.

Comece a usar gratuitamente
Google Cloud
DocumentosSuporte
Console
Fazer login
Security
InícioDados e experiênciaSecOpsSegurança na nuvemRecursos de segurança
Assistência na resposta a incidentes
Entre em contato com nossa equipe
  • Acelere sua transformação digital
  • Seja no início da jornada ou já a caminho da transformação digital, o Google Cloud pode ajudar a superar os desafios mais difíceis.
  • Produtos do Google Cloud
  • Acesse mais de 100 produtos. Clientes novos ganham US$ 300,00 em créditos para executar, testar e implantar cargas de trabalho. Todos os clientes podem usar mais de 25 produtos gratuitamente até alcançarem os limites de uso mensais.
  • Economize com nossa abordagem de preços transparente
  • Os preços de pagamento por utilização do Google Cloud oferecem economia automática com base no uso mensal e preços com desconto para recursos pré-pagos. Entre em contato hoje mesmo para receber uma cotação.
Google Cloud