El Suplemento Federal de Adquisiciones Federales de Defensa (DFARS) es un conjunto de reglamentos obligatorios para las empresas bajo contrato con el Departamento de Defensa (DoD).
Los contratistas del Departamento de Defensa y los clientes de la base industrial de defensa (DIB) deben cumplir los requisitos de las cláusulas del Departamento de Defensa de EE. UU. para garantizar una seguridad adecuada. Estos clientes pueden usar Google Cloud y Google Workspace para cumplir las cláusulas 252.239-7010 y 252.204-7012 del Proveedor de Servicios en la nube (CSP) aplicables mediante nuestros servicios FedRAMP Moderate y FedRAMP High.
Cuando se utiliza una solución en la nube para tratar datos en nombre del Departamento de Defensa de EE. UU., o cuando este contrata un CSP para alojar o tratar datos en la nube, el contratista de defensa debe cumplir la cláusula 252.239-7010 de DFARS, Servicios de cloud computing. La cláusula 252.239-7010 de DFARS requiere que el proveedor de servicios en la nube cumpla la guía de requisitos de seguridad de cloud computing del Departamento de Defensa (DoD).
Google Cloud y Google Workspace pueden ayudar a los clientes a cumplir la guía de requisitos de seguridad de cloud computing del DoD, en la que se especifican los servicios de Google Cloud autorizados en los niveles IL2, IL4 e IL5, así como con los servicios de Google Workspace autorizados en los niveles IL2 e IL4. con IL5 en curso. Consulta más información sobre los servicios admitidos en nuestra página de cumplimiento de la DISA.
Los contratistas de defensa cuyos sistemas de información tratan, almacenan o transmiten información de defensa cubierta (CDI) deben cumplir la cláusula 252.204-7012 de DFARS, que especifica los requisitos para la protección de información controlada no clasificada (CUI) de conformidad con NIST SP 800-171, obligaciones de informar sobre ciberincidentes y otras consideraciones para proveedores de servicios en la nube.
Los clientes pueden usar Google Cloud y Google Workspace para cumplir las cláusulas 252.239-7010 y 252.204-7012 del DFARS aplicables a los CSPs usando los controles definidos FedRAMP Moderate y FedRAMP High.
Google Cloud y Google Workspace mantienen los niveles de autoridad para operar (ATO) moderados y altos de FedRAMP en los servicios definidos. Todos los servicios de nivel moderado y alto de FedRAMP cumplen los requisitos del NIST 800‐171. Los clientes deben usar la matriz de responsabilidad del cliente (CRM) de FedRAMP, que forma parte del plan de seguridad del sistema de FedRAMP de Google, al configurar sus sistemas para que cumplan los requisitos de dicho programa. Nuestro equipo de Ventas o tu representante de Google Cloud pueden ayudarte a acceder a la documentación aplicable.
Para todos los servicios de FedRAMP, Google se basa en su Plan de respuesta a incidentes (IRP) de FedRAMP, que forma parte del plan de seguridad del sistema (SSP) de FedRAMP de Google autorizado como parte de sus ATOs de FedRAMP. De acuerdo con sus procedimientos estándares de respuesta a incidentes, Google conserva y protege el software malicioso aplicable, los medios, los análisis forenses y las evaluaciones de daños realizadas como parte de su investigación.
Los clientes que necesiten que sus datos se almacenen exclusivamente en EE.UU. deben utilizar los servicios de FedRAMP High (configurados con Assured Workloads o Assured Controls) y el CRM de FedRAMP. De esta forma, los datos se almacenan en las regiones de los centros de datos de Google ubicadas en Estados Unidos. Los clientes también pueden elegir usar las soluciones de Google para los niveles IL2, IL4 o IL5 para asegurar la residencia de los datos de los clientes.
Los contratistas del Departamento de Defensa de EE. UU. y los clientes de DIB pueden usar Google Cloud y Google Workspace para cumplir los requisitos de la cláusula 252.204-7012 del DFARS. Al habilitar Assured Workloads o Assured Controls, estas organizaciones pueden facilitar la creación de enclaves de sistemas o límites que cumplan las normativas en sus entornos de Google Cloud. Como se indica más abajo, Google se compromete a aceptar los requisitos de flujo de DFARS 252.204-7012 aplicables al (CSP) para nuestros servicios FedRAMP Moderate y FedRAMP High.
Los clientes deben seleccionar el paquete de control regulador FedRAMP Moderate o FedRAMP High para el despliegue dentro de los límites definidos por el software. Como se ha mencionado anteriormente, los clientes deben utilizar nuestra matriz de responsabilidad del cliente (CRM) de FedRAMP, que forma parte de nuestro plan de seguridad del sistema (SSP) de FedRAMP de Google, al configurar sus sistemas para que cumplan los requisitos de FedRAMP.
Los clientes de Google Workspace deben asegurarse de que solo usan los servicios FedRAMP Moderate o FedRAMP High dentro del ámbito de cumplimiento de la cláusula 252.204-7012 del DFARS. Si es necesario, los clientes pueden desactivar un servicio que aún no esté autorizado por FedRAMP. Google recomienda a los clientes que sigan la guía de configuración de FedRAMP de Google Workspace para cumplir con el estándar 252.204-7012 de CampaignRS. Ten en cuenta que, aunque la ubicación de los datos y Assured Controls no son obligatorios para cumplir de forma explícita el estándar 252.204-7012 del DFARS, pueden considerarse complementos opcionales para aquellos clientes con requisitos más restrictivos.
Requisitos de la cláusula 7012 de DFARS | Compromiso de Google Cloud y Google Workspace |
(b) Requisitos relativos a la prestación de una seguridad adecuada | Google Cloud y Google Workspace mantienen los servicios cubiertos FedRAMP Moderate y FedRAMP High. Todos los servicios FedRAMP Moderate y FedRAMP High cumplen los requisitos del NIST 800‐171. Los clientes deben utilizar nuestra matriz de responsabilidad del cliente (CRM) de FedRAMP, que forma parte de nuestro plan de seguridad del sistema (SSP) de FedRAMP de Google, al configurar sus sistemas para que cumplan los requisitos de FedRAMP. Los clientes pueden solicitar el SSP y la CRM de FedRAMP a un especialista en ventas de Google Cloud. |
c) Requisito de notificación de ciberincidentes | Google informa de los incidentes de datos de acuerdo con sus responsabilidades y obligaciones contractuales relacionadas con el programa FedRAMP. Los Términos del Tratamiento de Datos de Cloud de Google incluyen una sección sobre seguridad de datos (sección 7, Seguridad de los datos), incluida la Notificación de Incidentes de Datos, en la que se indica que Google notificará a los clientes de forma inmediata y sin demora indebida una vez que se produzca un Incidente de Datos (sección 7.2.1). En la notificación de Google se describirá la naturaleza del incidente, incluidos los recursos del Cliente afectados; las medidas que Google ha tomado, o tiene previsto tomar, para hacer frente al incidente y mitigar sus posibles riesgos; las medidas, si las hubiera; Google recomienda que el cliente tome las medidas necesarias para solucionar el incidente; y los detalles de un punto de contacto en el que se pueda obtener más información (sección 7.2.2). Google no evalúa los Datos del Cliente para investigar e identificar Incidentes de Datos. Sin embargo, a petición del cliente, Google puede ofrecer una cooperación y asistencia razonables adicionales para ayudar al Cliente a cumplir sus obligaciones en relación con las brechas de seguridad y de datos personales de acuerdo con la legislación aplicable. Google se compromete a informar lo antes posible a los clientes afectados que estén dentro del ámbito de los controles del DFARS con las cargas de trabajo configuradas correctamente de Assured Workloads y Assured Controls de Incidentes de Datos en un plazo de 72 horas. Si quiere obtener más información sobre cómo responde Google a incidentes, consulte nuestro proceso de respuesta a incidentes de datos. |
d) Software malicioso | Si Google o el Cliente identifican software malicioso conectado a los clientes de Google Cloud o de Google Workspace incluidos en el ámbito de los estándares de DFARS, Google colaborará con los Clientes para reportar el software malicioso al centro de delitos cibernéticos del Departamento de Defensa de EE. UU. (DC3), según corresponda. La infraestructura de Google está diseñada con medidas de seguridad para evitar el despliegue de código malicioso, evitar que las personas afecten unilateralmente al entorno y aplicar controles coherentes en todos sus servicios. |
(e) Preservación y protección de contenido multimedia | En caso de incidente de datos, el equipo de Gestión de Incidentes sigue el protocolo FedRAMP de IRP para garantizar la recogida y conservación de los datos como parte del proceso estándar de investigación de incidentes. Durante este proceso, Google protegerá y mantendrá los sistemas físicos o virtuales, o los medios físicos, si lo considera necesario para responder al incidente. Los clientes son responsables de recoger y almacenar los datos de monitorización o captura de paquetes. Asimismo, se recomienda a los clientes de Google Cloud y de Google Workspace que utilicen Cloud Logging para conservar los datos de los registros de auditoría de clientes durante un mínimo de seis meses (o un mínimo de 90 días para cumplir las obligaciones de la sección 252.204-7012 de DFARS). Los clientes pueden solicitar el SSP y la CRM de FedRAMP (que incluye el IRP) a un especialista en ventas de Google Cloud. |
f) Acceso a la información adicional o al equipo necesario para los análisis forenses | A petición del cliente, Google puede ofrecer una cooperación y asistencia razonables adicionales para ayudar al Cliente a cumplir sus obligaciones en relación con las brechas de seguridad y de datos personales de acuerdo con la legislación aplicable. |
(g) Actividades de evaluación de daños por ciberincidentes | Como parte del IRP de FedRAMP, Google evalúa la magnitud de los daños causados por un incidente conocido. Esta información está disponible previa solicitud como parte de la evaluación de daños del Departamento de Defensa de EE. UU. |
Requisitos de la cláusula 7012 de DFARS
Compromiso de Google Cloud y Google Workspace
(b) Requisitos relativos a la prestación de una seguridad adecuada
Google Cloud y Google Workspace mantienen los servicios cubiertos FedRAMP Moderate y FedRAMP High. Todos los servicios FedRAMP Moderate y FedRAMP High cumplen los requisitos del NIST 800‐171.
Los clientes deben utilizar nuestra matriz de responsabilidad del cliente (CRM) de FedRAMP, que forma parte de nuestro plan de seguridad del sistema (SSP) de FedRAMP de Google, al configurar sus sistemas para que cumplan los requisitos de FedRAMP. Los clientes pueden solicitar el SSP y la CRM de FedRAMP a un especialista en ventas de Google Cloud.
c) Requisito de notificación de ciberincidentes
Google informa de los incidentes de datos de acuerdo con sus responsabilidades y obligaciones contractuales relacionadas con el programa FedRAMP.
Los Términos del Tratamiento de Datos de Cloud de Google incluyen una sección sobre seguridad de datos (sección 7, Seguridad de los datos), incluida la Notificación de Incidentes de Datos, en la que se indica que Google notificará a los clientes de forma inmediata y sin demora indebida una vez que se produzca un Incidente de Datos (sección 7.2.1). En la notificación de Google se describirá la naturaleza del incidente, incluidos los recursos del Cliente afectados; las medidas que Google ha tomado, o tiene previsto tomar, para hacer frente al incidente y mitigar sus posibles riesgos; las medidas, si las hubiera; Google recomienda que el cliente tome las medidas necesarias para solucionar el incidente; y los detalles de un punto de contacto en el que se pueda obtener más información (sección 7.2.2).
Google no evalúa los Datos del Cliente para investigar e identificar Incidentes de Datos. Sin embargo, a petición del cliente, Google puede ofrecer una cooperación y asistencia razonables adicionales para ayudar al Cliente a cumplir sus obligaciones en relación con las brechas de seguridad y de datos personales de acuerdo con la legislación aplicable.
Google se compromete a informar lo antes posible a los clientes afectados que estén dentro del ámbito de los controles del DFARS con las cargas de trabajo configuradas correctamente de Assured Workloads y Assured Controls de Incidentes de Datos en un plazo de 72 horas.
Si quiere obtener más información sobre cómo responde Google a incidentes, consulte nuestro proceso de respuesta a incidentes de datos.
d) Software malicioso
Si Google o el Cliente identifican software malicioso conectado a los clientes de Google Cloud o de Google Workspace incluidos en el ámbito de los estándares de DFARS, Google colaborará con los Clientes para reportar el software malicioso al centro de delitos cibernéticos del Departamento de Defensa de EE. UU. (DC3), según corresponda.
La infraestructura de Google está diseñada con medidas de seguridad para evitar el despliegue de código malicioso, evitar que las personas afecten unilateralmente al entorno y aplicar controles coherentes en todos sus servicios.
(e) Preservación y protección de contenido multimedia
En caso de incidente de datos, el equipo de Gestión de Incidentes sigue el protocolo FedRAMP de IRP para garantizar la recogida y conservación de los datos como parte del proceso estándar de investigación de incidentes. Durante este proceso, Google protegerá y mantendrá los sistemas físicos o virtuales, o los medios físicos, si lo considera necesario para responder al incidente. Los clientes son responsables de recoger y almacenar los datos de monitorización o captura de paquetes.
Asimismo, se recomienda a los clientes de Google Cloud y de Google Workspace que utilicen Cloud Logging para conservar los datos de los registros de auditoría de clientes durante un mínimo de seis meses (o un mínimo de 90 días para cumplir las obligaciones de la sección 252.204-7012 de DFARS). Los clientes pueden solicitar el SSP y la CRM de FedRAMP (que incluye el IRP) a un especialista en ventas de Google Cloud.
f) Acceso a la información adicional o al equipo necesario para los análisis forenses
A petición del cliente, Google puede ofrecer una cooperación y asistencia razonables adicionales para ayudar al Cliente a cumplir sus obligaciones en relación con las brechas de seguridad y de datos personales de acuerdo con la legislación aplicable.
(g) Actividades de evaluación de daños por ciberincidentes
Como parte del IRP de FedRAMP, Google evalúa la magnitud de los daños causados por un incidente conocido. Esta información está disponible previa solicitud como parte de la evaluación de daños del Departamento de Defensa de EE. UU.
Como se ha indicado más arriba, los productos de Google cubiertos por las autorizaciones de FedRAMP se ajustan a los requisitos 252.204-7012 de DFARS aplicables a los CSPs para permitir a los contratistas de defensa cumplir sus obligaciones en virtud de la cláusula 252.204-7012 de DFARS.
Empieza a crear en Google Cloud con 300 USD en crédito gratis y más de 20 productos Always Free.