Suplemento à Regulamentação de Aquisição Federal de Defesa dos EUA (DFARS)

O Suplemento da Regulamentação de Aquisição Federal de Defesa dos EUA (DFARS, na sigla em inglês) é um conjunto de normas obrigatórias para empresas que têm contrato com o Departamento de Defesa (DoD, na sigla em inglês).

Empreiteiros do Departamento de Defesa e clientes da Base Industrial de Defesa (DIB, na sigla em inglês) devem cumprir com os requisitos aplicáveis da cláusula do DFARS para uma segurança adequada. Esses clientes podem usar o Google Cloud e o Google Workspace para obedecer às cláusulas do Provedor de serviços de nuvem (CSP, na sigla em inglês) aplicáveis das cláusulas 252.239-7010 e 252.204-7012 do DFARS usando nossos serviços de alto nível e nível médio do FedRAMP.

Como obedecer ao DFARS 252.239-7010

Quando uma solução de nuvem é usada para processar dados em nome do Departamento de Defesa ou o Departamento de Defesa está firmando contrato com um CSP para hospedar ou processar dados em uma nuvem, o fornecedor de defesa precisa obedecer à cláusula 252.239-7010 do DFARS, serviços de computação em nuvem. O DFARS 252.239-7010 exige que o provedor de serviços em nuvem esteja em conformidade com o Guia de requisitos de segurança de computação em nuvem do DoD (em inglês).

O Google Cloud e o Google Workspace podem garantir compliance do cliente com o Guia de requisitos de segurança da computação em nuvem DoD, com os serviços do Google Cloud autorizados nos níveis IL2, IL4 e IL5, e os serviços do Google Workspace autorizados nos IL2 e IL4. com IL5 em andamento. Saiba mais sobre os serviços compatíveis na nossa página de compliance com a DISA.

Como obedecer ao DFARS 252.204-7012

Os prestadores de serviços de defesa cujos sistemas de informações processam, armazenam ou transmitem informações de defesa coberta (CDI, na sigla em inglês) precisam obedecer à Cláusula 252.204-7012 do DFARS, que especifica requisitos para a proteção de informações não classificadas controladas (CUI, na sigla em inglês) de acordo com a NIST SP 800-171, obrigações de relatórios de incidentes cibernéticos e outras considerações para provedores de serviços de nuvem.

Suporte do Google Cloud e do Google Workspace ao DFARS

Os clientes podem usar o Google Cloud e o Google Workspace para obedecer às cláusulas 252.239-7010 e 252.204-7012 do DFARS aplicáveis ao CSP usando nossos controles de FedRAMP moderado e alto do FedRAMP.

O Google Cloud e o Google Workspace mantêm o nível médio de autoridade do FedRAMP e o de alta autoridade para operar (ATO, na sigla em inglês) para serviços definidos. Todos os serviços de nível médio e alto do FedRAMP estão alinhados à NIST 800-171. Ao configurar os sistemas para garantir compliance com o FedRAMP, os clientes precisam usar a matriz de responsabilidade do cliente (CRM) do FedRAMP, que faz parte do plano de segurança do sistema FedRAMP do Google. Nossa equipe de vendas ou seu representante do Google Cloud pode ajudar a fornecer acesso à documentação aplicável.

Para todos os serviços do FedRAMP, o Google conta com seu Plano de Resposta a Incidentes (IRP, na sigla em inglês) da FedRAMP, que faz parte do Plano de Segurança do Sistema (SSP) do  FedRAMP do Google autorizado como parte dos ATOs do FedRAMP. De acordo com seus procedimentos padrão de resposta a incidentes, o Google preserva e protege qualquer software malicioso, mídia, análise forense e avaliação de danos concluídos como parte da sua investigação. 

Os clientes que precisam que os dados sejam armazenados exclusivamente nos EUA precisam usar os serviços de alto nível do FedRAMP (configurados com Assured Workloads ou Assured Controls) e a CRM do FedRAMP. Isso vai garantir que os dados sejam armazenados nas regiões de data centers do Google localizadas nos Estados Unidos. Os clientes também podem usar as soluções do Google para IL2, IL4 ou IL5 para garantir a residência dos dados do cliente.

Como usar o Google para cumprir com a cláusula 252.204-7012 do DFARS

Os prestadores de serviços do Departamento de Defesa e os clientes do DIB podem usar o Google Cloud e o Google Workspace para atender aos requisitos da cláusula 252.204-7012 do DFARS. Ao ativar o Assured Workloads ou o Assured Controls, essas organizações podem facilitar a criação de limites de compliance ou enclaves de sistema nos ambientes do Google Cloud. Conforme descrito abaixo, o Google se compromete a aceitar os requisitos do fluxo da cláusula 252.204-7012 do DFARS aplicáveis ao (CSP) para nossos serviços de FedRAMP de nível médio e alto.

Os clientes precisam selecionar o pacote de controle regulatório de nível médio ou alto do FedRAMP para a implantação dentro do limite definido por software. Como mencionado acima, os clientes devem usar a CRM do FedRAMP, que faz parte do SSP do FedRAMP do Google, ao configurar seus sistemas para aceitar a compliance do FedRAMP.

Os clientes do Google Workspace precisam usar apenas os serviços que estão no nível médio ou alto do FedRAMP dentro do escopo de compliance com a cláusula 252.204-7012 do DFARS. Se necessário, um cliente pode desativar um serviço que ainda não foi autorizado pelo FedRAMP. O Google recomenda que os clientes sigam o guia de configuração do FedRAMP do Google Workspace para manter a conformidade com a cláusula 252.204-7012 do DFARS. Embora o local dos dados e o Assured Controls não sejam explicitamente exigidos para garantir a conformidade com a cláusula 252.204-7012 do DFARS, eles podem ser considerados como complementos opcionais para clientes com requisitos mais restritivos.

Requisito da cláusula 7012 do DFARS do Compromisso do Google Cloud e do Google Workspace

Requisitos da cláusula 7012 do DFARS

Compromisso do Google Cloud e do Google Workspace

(b) Requisitos relacionados ao fornecimento de medidas de segurança adequadas

O Google Cloud e o Google Workspace mantêm a ATO de alto nível do FedRAMP Moderate e FedRAMP para os serviços cobertos. Todos os serviços de nível médio e alto do FedRAMP estão alinhados à NIST 800-171.

Os clientes precisam usar a CRM do FedRAMP, que faz parte do SSP do FedRAMP do Google, ao configurar os sistemas para oferecer suporte à conformidade com o FedRAMP. Os clientes podem solicitar o SSP e a CRM do FedRAMP a um especialista em vendas do Google Cloud

c) Requisito de relatório de incidentes cibernéticos

O Google relata incidentes de dados de acordo com as responsabilidades e obrigações contratuais do FedRAMP.

Os Termos de Tratamento de Dados do Google Cloud incluem uma seção sobre segurança de dados (seção 7, Segurança de dados), incluindo Notificação de Incidentes de Dados, que afirma que o Google notificará os clientes imediatamente e sem atrasos indevidos após tomar conhecimento de um Incidente de Dados (seção 7.2.1). A notificação do Google descreverá: a natureza do incidente, incluindo os recursos do Cliente afetados, as medidas que o Google tomou ou planeja tomar para resolver o incidente e mitigar os possíveis riscos, as medidas, se houver, que o Google recomenda que o cliente tome para resolver o incidente e detalhes de um ponto de contato em que mais informações podem ser obtidas (seção 7.2.2).

O Google não avalia os Dados do Cliente para investigar e identificar Incidentes de Dados. No entanto, mediante solicitação do cliente, o Google poderá oferecer cooperação e assistência razoável adicionais para ajudar o Cliente a garantir compliance com as obrigações relacionadas a segurança e violações de dados pessoais de acordo com a legislação aplicável.

O Google se compromete a informar prontamente os clientes afetados no escopo do DFARS com Assured Workloads e Assured Controls de incidentes de dados configurados corretamente em um período de 72 horas.

Para mais informações sobre a abordagem do Google em relação à resposta a incidentes, consulte nosso processo de resposta a incidentes de dados.

(d) Software malicioso

Se o Google ou o Cliente identificarem software malicioso conectado aos clientes do Google Cloud ou do Google Workspace no escopo do DFARS, o Google trabalhará com os Clientes para enviar software malicioso ao DoD Cyber Crime Center (DC3), conforme apropriado. 

A infraestrutura do Google foi projetada com medidas de segurança para ajudar a impedir a implantação de código malicioso, eliminar o impacto de indivíduos unilateralmente no ambiente e aplicar controles consistentes em todos os seus serviços.

(e) Preservação e proteção de mídia

No caso de um incidente de dados, a equipe de gerenciamento de incidentes segue o protocolo IRP do Google FedRAMP para garantir a coleta e a preservação de dados como parte do processo padrão de investigação de incidentes. Durante esse processo, o Google protegerá e manterá sistemas físicos ou virtuais ou mídias físicas, se considerar necessário para a resposta a incidentes. Os clientes são responsáveis por coletar e armazenar qualquer dado de monitoramento ou de captura de pacotes.

Os clientes do Google Cloud e do Google Workspace também são aconselhados a usar o Cloud Logging para reter dados do registro de auditoria do cliente por no mínimo seis meses (ou pelo menos 90 dias para cumprir as obrigações da cláusula 252.204-7012 do DFARS). Os clientes podem solicitar o SSP e a CRM do FedRAMP (que inclui o IRP) a um especialista em vendas do Google Cloud.

(f) Acesso a informações ou equipamentos adicionais necessários para análise forense

Mediante solicitação do Cliente, o Google poderá oferecer cooperação e assistência razoáveis adicionais para ajudar o Cliente a garantir compliance com as obrigações relacionadas a violações de dados pessoais e de segurança de acordo com a legislação aplicável.

(g) Atividades de avaliação de danos a incidentes cibernéticos

Como parte do IRP do FedRAMP, o Google avalia a extensão dos danos causados por um incidente conhecido. Essas informações estão disponíveis mediante solicitação como parte de uma avaliação de danos do Departamento de Defesa.

Requisitos da cláusula 7012 do DFARS

Compromisso do Google Cloud e do Google Workspace

(b) Requisitos relacionados ao fornecimento de medidas de segurança adequadas

O Google Cloud e o Google Workspace mantêm a ATO de alto nível do FedRAMP Moderate e FedRAMP para os serviços cobertos. Todos os serviços de nível médio e alto do FedRAMP estão alinhados à NIST 800-171.

Os clientes precisam usar a CRM do FedRAMP, que faz parte do SSP do FedRAMP do Google, ao configurar os sistemas para oferecer suporte à conformidade com o FedRAMP. Os clientes podem solicitar o SSP e a CRM do FedRAMP a um especialista em vendas do Google Cloud

c) Requisito de relatório de incidentes cibernéticos

O Google relata incidentes de dados de acordo com as responsabilidades e obrigações contratuais do FedRAMP.

Os Termos de Tratamento de Dados do Google Cloud incluem uma seção sobre segurança de dados (seção 7, Segurança de dados), incluindo Notificação de Incidentes de Dados, que afirma que o Google notificará os clientes imediatamente e sem atrasos indevidos após tomar conhecimento de um Incidente de Dados (seção 7.2.1). A notificação do Google descreverá: a natureza do incidente, incluindo os recursos do Cliente afetados, as medidas que o Google tomou ou planeja tomar para resolver o incidente e mitigar os possíveis riscos, as medidas, se houver, que o Google recomenda que o cliente tome para resolver o incidente e detalhes de um ponto de contato em que mais informações podem ser obtidas (seção 7.2.2).

O Google não avalia os Dados do Cliente para investigar e identificar Incidentes de Dados. No entanto, mediante solicitação do cliente, o Google poderá oferecer cooperação e assistência razoável adicionais para ajudar o Cliente a garantir compliance com as obrigações relacionadas a segurança e violações de dados pessoais de acordo com a legislação aplicável.

O Google se compromete a informar prontamente os clientes afetados no escopo do DFARS com Assured Workloads e Assured Controls de incidentes de dados configurados corretamente em um período de 72 horas.

Para mais informações sobre a abordagem do Google em relação à resposta a incidentes, consulte nosso processo de resposta a incidentes de dados.

(d) Software malicioso

Se o Google ou o Cliente identificarem software malicioso conectado aos clientes do Google Cloud ou do Google Workspace no escopo do DFARS, o Google trabalhará com os Clientes para enviar software malicioso ao DoD Cyber Crime Center (DC3), conforme apropriado. 

A infraestrutura do Google foi projetada com medidas de segurança para ajudar a impedir a implantação de código malicioso, eliminar o impacto de indivíduos unilateralmente no ambiente e aplicar controles consistentes em todos os seus serviços.

(e) Preservação e proteção de mídia

No caso de um incidente de dados, a equipe de gerenciamento de incidentes segue o protocolo IRP do Google FedRAMP para garantir a coleta e a preservação de dados como parte do processo padrão de investigação de incidentes. Durante esse processo, o Google protegerá e manterá sistemas físicos ou virtuais ou mídias físicas, se considerar necessário para a resposta a incidentes. Os clientes são responsáveis por coletar e armazenar qualquer dado de monitoramento ou de captura de pacotes.

Os clientes do Google Cloud e do Google Workspace também são aconselhados a usar o Cloud Logging para reter dados do registro de auditoria do cliente por no mínimo seis meses (ou pelo menos 90 dias para cumprir as obrigações da cláusula 252.204-7012 do DFARS). Os clientes podem solicitar o SSP e a CRM do FedRAMP (que inclui o IRP) a um especialista em vendas do Google Cloud.

(f) Acesso a informações ou equipamentos adicionais necessários para análise forense

Mediante solicitação do Cliente, o Google poderá oferecer cooperação e assistência razoáveis adicionais para ajudar o Cliente a garantir compliance com as obrigações relacionadas a violações de dados pessoais e de segurança de acordo com a legislação aplicável.

(g) Atividades de avaliação de danos a incidentes cibernéticos

Como parte do IRP do FedRAMP, o Google avalia a extensão dos danos causados por um incidente conhecido. Essas informações estão disponíveis mediante solicitação como parte de uma avaliação de danos do Departamento de Defesa.

Conforme descrito acima, os produtos do Google cobertos pelas autorizações do FedRAMP se alinham aos requisitos da cláusula 252.204-7012 do DFARS aplicáveis aos CSPs para permitir que os prestadores de serviços de defesa cumpram suas obrigações nos termos de DFARS 252.204-7012.

Vá além

Comece a criar no Google Cloud com US$ 300 em créditos e mais de 20 produtos do programa Sempre gratuito.

Comece a usar gratuitamente
Google Cloud
DocumentosSuporte
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Console
Fazer login
Security
InícioDados e experiênciaSecOpsSegurança na nuvemRecursos de segurança
Assistência na resposta a incidentes
Entre em contato com nossa equipe
  • Acelere sua transformação digital
  • Seja no início da jornada ou já a caminho da transformação digital, o Google Cloud pode ajudar a superar os desafios mais difíceis.
  • Produtos do Google Cloud
  • Acesse mais de 100 produtos. Clientes novos ganham US$ 300,00 em créditos para executar, testar e implantar cargas de trabalho. Todos os clientes podem usar mais de 25 produtos gratuitamente até alcançarem os limites de uso mensais.
  • Economize com nossa abordagem de preços transparente
  • Os preços de pagamento por utilização do Google Cloud oferecem economia automática com base no uso mensal e preços com desconto para recursos pré-pagos. Entre em contato hoje mesmo para receber uma cotação.
Google Cloud