Il Defense Federal Acquisition Regulation Supplement (DFARS) degli Stati Uniti è un insieme di regolamenti obbligatori per le aziende che stipulano accordi con il Dipartimento della Difesa (DoD).
Gli appaltatori del Dipartimento della Difesa e i clienti della Defense Industrial Base (DIB) sono tenuti a rispettare i requisiti applicabili della clausola Campaign Manager per la sicurezza adeguata. Questi clienti possono utilizzare Google Cloud e Google Workspace per rispettare le clausole dei fornitori di servizi cloud (CSP) 252.239-7010 e 252.204-7012 applicabili ai sensi di queste norme utilizzando i servizi FedRAMP High e FedRAMP Moderate.
Quando viene utilizzata una soluzione cloud per elaborare i dati per conto del Dipartimento della Difesa, o se quest'ultimo stipula un contratto con un fornitore di servizi cloud per l'hosting o l'elaborazione dei dati in un cloud, l'appaltatore della difesa deve rispettare i requisiti delineati nel documento DFARS 252.239-7010, Servizi di cloud computing. Il documento DFARS 252.239-7010 richiede che il fornitore di servizi cloud rispetti la Guida ai requisiti di sicurezza per il cloud computing del Dipartimento della Difesa.
Google Cloud e Google Workspace possono supportare la conformità dei clienti con la guida ai requisiti di sicurezza per il cloud computing del DoD, con i servizi Google Cloud autorizzati a livello IL2, IL4 e IL5, nonché con i servizi Google Workspace autorizzati a livello IL2 e IL4, con IL5 in corso. Per scoprire di più sui servizi supportati, visita la pagina sulla conformità alla normativa DISA.
Gli appaltatori della difesa i cui sistemi informatici elaborano, archiviano o trasmettono informazioni di difesa coperte (CDI) devono rispettare la clausola di DFARS 252.204-7012, che specifica i requisiti per la protezione delle informazioni controllate non classificate (CUI) in conformità con il documento NIST SP 800-171, gli obblighi di segnalazione degli incidenti informatici e altre considerazioni per i fornitori di servizi cloud.
I clienti possono utilizzare Google Cloud e Google Workspace per rispettare le clausole FedRAMP 252.239-7010 e 252.204-7012 applicabili di DFARS utilizzando i controlli FedRAMP High e FedRAMP Moderate.
Google Cloud e Google Workspace mantengono le autorizzazioni a operare (ATO) FedRAMP Moderate e FedRAMP High per i servizi definiti. Tutti i servizi FedRAMP Moderate e FedRAMP High sono conformi allo standard NIST 800-171. Durante la configurazione dei loro sistemi per supportare la conformità a FedRAMP, i clienti devono utilizzare la FedRAMP Customer Responsibility Matrix (CRM), che fa parte del FedRAMP System Security Plan di Google. Il nostro team di vendita o il tuo rappresentante di Google Cloud possono aiutarti ad accedere alla documentazione pertinente.
Per tutti i servizi FedRAMP, Google si affida al suo FedRAMP Incident Response Plan (IRP), che fa parte del FedRAMP System Security Plan (SSP) di Google autorizzato nell'ambito dei suoi ATO FedRAMP. In conformità con le proprie procedure standard di risposta agli incidenti, Google conserva e protegge qualsiasi software dannoso, contenuto multimediale, analisi forense e valutazione dei danni eventualmente completata nell'ambito delle proprie indagini.
I clienti che richiedono l'archiviazione dei propri dati esclusivamente all'interno degli Stati Uniti devono utilizzare i servizi FedRAMP High (configurati con Assured Workloads o Assured Controls) e la CRM FedRAMP. In questo modo, i dati verranno archiviati nelle regioni dei data center di Google che si trovano negli Stati Uniti. I clienti possono anche scegliere di utilizzare le soluzioni Google per IL2, IL4 o IL5 al fine di garantire la residenza dei dati dei clienti.
Gli appaltatori del Dipartimento della Difesa (DoD) e i clienti della Defense Industrial Base (DIB) possono utilizzare Google Cloud e Google Workspace per soddisfare i requisiti di DFARS 252.204-7012. Abilitando Assured Workloads o Assured Controls, queste organizzazioni possono facilitare la creazione di confini o enclavi di sistema conformi all'interno dei loro ambienti Google Cloud. Come descritto di seguito, Google si impegna ad accettare i requisiti di flusso DFARS 252.204-7012 applicabili al CSP per i nostri servizi FedRAMP Moderate e FedRAMP High.
I clienti devono selezionare il pacchetto di controllo normativo FedRAMP Moderate o FedRAMP High per il deployment entro il confine software-defined. Come accennato in precedenza, i clienti devono utilizzare la CRM FedRAMP, che fa parte della SSP FedRAMP di Google, quando configurano i propri sistemi a supporto della conformità FedRAMP.
I clienti di Google Workspace devono assicurarsi di utilizzare solo i servizi con livello FedRAMP Moderate o FedRAMP High nell'ambito della conformità con lo standard FedRAMP 252.204-7012. Se necessario, un cliente può disattivare un servizio che non è ancora stato autorizzato da FedRAMP. Google consiglia ai clienti di seguire la guida alla configurazione di FedRAMP di Google Workspace per supportare la conformità con Campaign Manager 252.204-7012. Tieni presente che, anche se la posizione dei dati e Assured Controls non sono esplicitamente tenuti a rispettare la conformità allo standard DFARS 252.204-7012, potrebbero essere considerati componenti aggiuntivi facoltativi per i clienti con requisiti più restrittivi.
Requisiti delle clausole di DCM 7012 | L'impegno di Google Cloud e Google Workspace |
(b) Requisiti relativi alla fornitura di misure di sicurezza adeguate | Google Cloud e Google Workspace mantengono sia FedRAMP Moderate che FedRAMP High ATO per i servizi coperti. Tutti i servizi FedRAMP Moderate e FedRAMP High sono conformi allo standard NIST 800-171. Quando configurano i sistemi per supportare la conformità FedRAMP, i clienti devono utilizzare FedRAMP CRM, che fa parte della SSP FedRAMP di Google. I clienti possono richiedere l'SSP e il CRM FedRAMP a un esperto delle vendite di Google Cloud. |
c) Requisito di segnalazione degli incidenti informatici | Google segnala gli incidenti relativi ai dati in linea con le responsabilità e gli obblighi contrattuali di FedRAMP. I Termini per il trattamento dei dati Cloud di Google includono una sezione sulla sicurezza dei dati (sezione 7, Sicurezza dei dati), che include la Notifica degli incidenti relativi ai dati, in base alla quale Google informerà i clienti tempestivamente e senza indebito ritardo dopo essere venuto a conoscenza di un incidente relativo ai dati (sezione 7.2.1). La notifica di Google descriverà: la natura dell'incidente, comprese le risorse del Cliente interessate; le misure che Google ha adottato (o che prevede di adottare) per affrontare l'incidente e mitigare il rischio potenziale; le eventuali misure adottate da Google per risolvere l'incidente; e dettagli di un punto di contatto dal quale è possibile ottenere maggiori informazioni (sezione 7.2.2). Google non valuta i Dati dei clienti al fine di indagare e identificare gli incidenti relativi ai dati. Tuttavia, su richiesta del Cliente, Google può fornire ulteriore collaborazione e assistenza ragionevoli per aiutare il Cliente a garantire il rispetto dei propri obblighi in materia di sicurezza e violazioni dei dati personali ai sensi della legge vigente. Google si impegna a informare tempestivamente i clienti interessati che rientrano nell'ambito di DFARS con carichi di lavoro Assured Workloads e Assured Controls degli incidenti relativi ai dati configurati correttamente entro un periodo di 72 ore. Per ulteriori informazioni sull'approccio di Google alla risposta agli incidenti, consulta la nostra procedura di risposta agli incidenti relativi ai dati. |
(d) Software dannoso | Se Google o il Cliente individuano un software dannoso collegato a clienti di Google Cloud o Google Workspace nell'ambito di DFARS, Google collaborerà con i Clienti per inviare software dannoso al DoD Cyber Crime Center (DC3), a seconda dei casi. L'infrastruttura di Google è progettata con misure di sicurezza per prevenire la diffusione di codice dannoso, impedire agli utenti di avere un impatto unilaterale sull'ambiente e applicare controlli coerenti su tutti i suoi servizi. |
(e) Conservazione e protezione dei contenuti multimediali | In caso di incidente relativo ai dati, il team di gestione degli incidenti segue il protocollo IRP FedRAMP di Google per garantire la raccolta e la conservazione dei dati come parte del processo di indagine standard per gli incidenti. Durante questo processo, Google proteggerà e manterrà in vigore sistemi fisici o virtuali o supporti fisici, se ritenuto necessario per la risposta agli incidenti. I clienti sono responsabili della raccolta e dell'archiviazione di tutti i dati di monitoraggio o di intercettazione dei pacchetti. Consigliamo inoltre ai clienti di Google Cloud e Google Workspace di utilizzare Cloud Logging per conservare i dati del log di controllo dei clienti per un minimo di sei mesi (o almeno 90 giorni per soddisfare gli obblighi di Campaign Manager 252.204-7012). I clienti possono richiedere l'SSP e il CRM FedRAMP (che include l'IRP) a un esperto delle vendite di Google Cloud. |
(f) Accesso alle informazioni o alle attrezzature aggiuntive necessarie per l'analisi forense | Su richiesta del Cliente, Google può fornire ulteriore collaborazione e assistenza ragionevoli per aiutare il Cliente a garantire il rispetto dei propri obblighi in materia di sicurezza e violazioni dei dati personali ai sensi della legge vigente. |
(g) Attività di valutazione dei danni informatici | Nell'ambito dell'IRP FedRAMP, Google valuta la portata di eventuali danni derivanti da un incidente noto. Queste informazioni sono disponibili su richiesta nell'ambito della valutazione dei danni del Dipartimento della Difesa. |
Requisiti delle clausole di DCM 7012
L'impegno di Google Cloud e Google Workspace
(b) Requisiti relativi alla fornitura di misure di sicurezza adeguate
Google Cloud e Google Workspace mantengono sia FedRAMP Moderate che FedRAMP High ATO per i servizi coperti. Tutti i servizi FedRAMP Moderate e FedRAMP High sono conformi allo standard NIST 800-171.
Quando configurano i sistemi per supportare la conformità FedRAMP, i clienti devono utilizzare FedRAMP CRM, che fa parte della SSP FedRAMP di Google. I clienti possono richiedere l'SSP e il CRM FedRAMP a un esperto delle vendite di Google Cloud.
c) Requisito di segnalazione degli incidenti informatici
Google segnala gli incidenti relativi ai dati in linea con le responsabilità e gli obblighi contrattuali di FedRAMP.
I Termini per il trattamento dei dati Cloud di Google includono una sezione sulla sicurezza dei dati (sezione 7, Sicurezza dei dati), che include la Notifica degli incidenti relativi ai dati, in base alla quale Google informerà i clienti tempestivamente e senza indebito ritardo dopo essere venuto a conoscenza di un incidente relativo ai dati (sezione 7.2.1). La notifica di Google descriverà: la natura dell'incidente, comprese le risorse del Cliente interessate; le misure che Google ha adottato (o che prevede di adottare) per affrontare l'incidente e mitigare il rischio potenziale; le eventuali misure adottate da Google per risolvere l'incidente; e dettagli di un punto di contatto dal quale è possibile ottenere maggiori informazioni (sezione 7.2.2).
Google non valuta i Dati dei clienti al fine di indagare e identificare gli incidenti relativi ai dati. Tuttavia, su richiesta del Cliente, Google può fornire ulteriore collaborazione e assistenza ragionevoli per aiutare il Cliente a garantire il rispetto dei propri obblighi in materia di sicurezza e violazioni dei dati personali ai sensi della legge vigente.
Google si impegna a informare tempestivamente i clienti interessati che rientrano nell'ambito di DFARS con carichi di lavoro Assured Workloads e Assured Controls degli incidenti relativi ai dati configurati correttamente entro un periodo di 72 ore.
Per ulteriori informazioni sull'approccio di Google alla risposta agli incidenti, consulta la nostra procedura di risposta agli incidenti relativi ai dati.
(d) Software dannoso
Se Google o il Cliente individuano un software dannoso collegato a clienti di Google Cloud o Google Workspace nell'ambito di DFARS, Google collaborerà con i Clienti per inviare software dannoso al DoD Cyber Crime Center (DC3), a seconda dei casi.
L'infrastruttura di Google è progettata con misure di sicurezza per prevenire la diffusione di codice dannoso, impedire agli utenti di avere un impatto unilaterale sull'ambiente e applicare controlli coerenti su tutti i suoi servizi.
(e) Conservazione e protezione dei contenuti multimediali
In caso di incidente relativo ai dati, il team di gestione degli incidenti segue il protocollo IRP FedRAMP di Google per garantire la raccolta e la conservazione dei dati come parte del processo di indagine standard per gli incidenti. Durante questo processo, Google proteggerà e manterrà in vigore sistemi fisici o virtuali o supporti fisici, se ritenuto necessario per la risposta agli incidenti. I clienti sono responsabili della raccolta e dell'archiviazione di tutti i dati di monitoraggio o di intercettazione dei pacchetti.
Consigliamo inoltre ai clienti di Google Cloud e Google Workspace di utilizzare Cloud Logging per conservare i dati del log di controllo dei clienti per un minimo di sei mesi (o almeno 90 giorni per soddisfare gli obblighi di Campaign Manager 252.204-7012). I clienti possono richiedere l'SSP e il CRM FedRAMP (che include l'IRP) a un esperto delle vendite di Google Cloud.
(f) Accesso alle informazioni o alle attrezzature aggiuntive necessarie per l'analisi forense
Su richiesta del Cliente, Google può fornire ulteriore collaborazione e assistenza ragionevoli per aiutare il Cliente a garantire il rispetto dei propri obblighi in materia di sicurezza e violazioni dei dati personali ai sensi della legge vigente.
(g) Attività di valutazione dei danni informatici
Nell'ambito dell'IRP FedRAMP, Google valuta la portata di eventuali danni derivanti da un incidente noto. Queste informazioni sono disponibili su richiesta nell'ambito della valutazione dei danni del Dipartimento della Difesa.
Come indicato in precedenza, i prodotti Google coperti dalle autorizzazioni FedRAMP sono conformi ai requisiti dei moduli FedRAMP 252.204-7012 applicabili ai CSP per consentire agli appaltatori della difesa di adempiere ai propri obblighi ai sensi di tale normativa.
Inizia a creare su Google Cloud con 300 $ di crediti gratuiti e oltre 20 prodotti Always Free.