O Departamento de Defesa (DoD, na sigla em inglês) dos EUA exige que todos os prestadores de serviços e subcontratados da base industrial de defesa (DIB, na sigla em inglês) implementem os controles de segurança descritos no NIST SP 800-171 r2 para proteger as Informações não classificadas controladas (CUI, na sigla em inglês), conforme descrito no DFARS 252.204-7012, Proteção de Informações de Defesa Cobertas e Relatório de Incidentes Cibernéticos. Os contratados federais (incluindo contratados de defesa) que lidam com Informações contratuais federais (FCI, na sigla em inglês) também precisam cumprir os requisitos de segurança da FAR 52.204-21, Proteção Básica de Sistemas de Informações Cobertos do Prestador de Serviços.
Para formalizar e verificar a conformidade com o NIST SP 800-171 r2, o DoD lançou o programa CMMC em 15 de outubro de 2024, por meio da regra do Programa CMMC da parte 170 do título 32 do CFR, que entrou em vigor em 16 de dezembro de 2024. Uma regra de aquisição proposta (parte 204 do título 48 do CFR) vai alterar a cláusula 252.204-7021 do DFARS para exigir a certificação do CMMC para os prestadores de serviços cobertos. Depois de finalizado, isso vai incorporar a conformidade com a CMMC aos contratos do DoD. O Google Cloud e o Google Workspace estão prontos para ajudar os prestadores de serviços a atender a esses requisitos.
Carta de atestado C3PAO CMMC do Google Cloud
Carta de atestado C3PAO CMMC do Google Workspace
Documento que comprova a compliance do Google Cloud e do Google Workspace com a NIST SP 800-171
CMMC do Departamento de Defesa
Guia de implementação do CMMC no Google Workspace
Guia de implementação do CMMC no Google Cloud
O programa CMMC tem três níveis:
Nível 1: proteção básica de FCI
Nível 2: proteção ampla de CUI
Nível 3: proteção de alto nível de CUI contra ameaças persistentes avançadas
Basicamente, quanto maior o nível do CMMC, mais sensíveis são os dados que estão sendo processados e mais rigorosos são os requisitos de cibersegurança.
Você pode usar o Google Cloud e o Google Workspace para atender aos requisitos de compliance do CMMC da sua organização em todos os níveis, contando com os serviços autorizados pelo FedRAMP High do Google. O Google Cloud e o Google Workspace mantêm a Autorização para Operar (ATO, na sigla em inglês) de nível alto do FedRAMP para serviços no escopo.
O Google oferece a seguinte documentação de orientação para ajudar você a atender aos requisitos de conformidade do CMMC:
Além disso, o Google fornece as seguintes cartas de atestado produzidas por uma organização independente de avaliação terceirizada:
No Google Cloud, você precisa usar o Assured Workloads Data Boundary para o FedRAMP High e utilizar a Matriz de responsabilidade do cliente (CRM) do CMMC ao configurar sistemas para oferecer suporte à conformidade com o CMMC. Entre em contato com a equipe de vendas do Google ou com seu representante do Google Cloud para receber qualquer documentação mencionada acima, como o CRM.
No Google Workspace, você precisa usar serviços autorizados pelo FedRAMP High para compliance com o CMMC, além do Assured Controls Plus para ativar o armazenamento de dados exclusivamente nos Estados Unidos. Se necessário, você pode desativar um serviço que ainda não foi autorizado pelo FedRAMP.
Comece a criar no Google Cloud com US$ 300 em créditos e mais de 20 produtos do programa Sempre gratuito.