Ir a
FedRAMP

FedRAMP

El Gobierno federal de EE. UU. introdujo el programa federal de gestión de autorizaciones y riesgo de ese país (FedRAMP) para proporcionar un método estandarizado con el que evaluar la seguridad, la autorización y la monitorización de productos y servicios en la nube de forma constante. En el 2022, el Congreso estadounidense definió FedRAMP como "un programa gubernamental que ofrece un enfoque estandarizado y reutilizable para evaluar la seguridad y autorizar productos y servicios de cloud computing que tratan información no clasificada usada por los organismos".

Exceptuando determinadas nubes privadas on‑premise, todos los despliegues y modelos de servicio de nube que proporcionan las agencias federales deben cumplir los requisitos establecidos por el programa FedRAMP en función del nivel de impacto de riesgo correspondiente (bajo, moderado o alto).

Los clientes interesados en alojar en Google Cloud servicios autorizados por FedRAMP deben usar Assured Workloads para cumplir los requisitos de los niveles de impacto FedRAMP Moderate o High. Consulta más información a continuación.

Cumplimiento del programa FedRAMP de Google Cloud

La junta de FedRAMP (antes conocida como "Junta de Autorización Conjunta") es el principal órgano de gobierno de este programa e incluye el Departamento de Defensa, el Departamento de Seguridad Nacional y la Administración de Servicios Generales de EE. UU., así como otros organismos según determinen la Administración y el director de FedRAMP.

La junta de FedRAMP ha emitido una autorización para operar de FedRAMP Moderate y FedRAMP High en la infraestructura de Google Cloud y en productos concretos de este servicio. Google Cloud envía periódicamente a la junta servicios adicionales para que reciban la aprobación de FedRAMP Moderate y High.

Google Cloud proporciona pruebas adicionales de cumplimiento de FedRAMP directamente a los clientes que ya hayan firmado un acuerdo de confidencialidad con nosotros. La documentación disponible bajo acuerdo de confidencialidad incluye lo siguiente:

  • Matriz de responsabilidades de clientes de FedRAMP
  • Plan de seguridad del sistema de Google Cloud
  • Informes de pruebas de penetración y otros documentos

Nuestro equipo de ventas o tu representante de Google Cloud pueden ayudarte a acceder a nuestra documentación ampliada. Los clientes gubernamentales también pueden solicitar el paquete de FedRAMP de Google a través de la oficina de administración del programa FedRAMP usando el formulario de solicitud correspondiente. 

En el caso de los clientes que compran a través de un partner de Google, nuestros partners establecen los términos y condiciones de compra.

Cumplimiento del programa FedRAMP de Google Workspace

Google Workspace cumple diversos estándares internacionales y del Gobierno federal de EE. UU. relativos a la seguridad y la privacidad en la nube. Además de mantener la autorización de FedRAMP High, Google Workspace también cuenta con la certificación ISO 27017, 27018, 27001, y se somete a una auditoría según los estándares de Control de Organizaciones de Servicios (SOC) del Instituto Estadounidense de Contables Públicos Certificados (AICPA).

FedRAMP High Data en VMware Engine de Google Cloud (GCVE)

A finales del 2023, la Program Management Office de FedRAMP completó la revisión del informe de evaluación de alta preparación (RAR) de VMware Engine de Google Cloud (GCVE), proporcionado por una organización de evaluación de terceros (3PAO). Ante los resultados positivos de la revisión, donde no se detectaron puntos débiles significativos con respecto a la capacidad, GCVE se aceptó como un producto con un nivel alto de preparación FedRAMP (ID de paquete de FedRAMP: FR2405153785).

Haber alcanzado el nivel alto de preparación de FedRAMP indica al Gobierno federal de EE. UU. que es muy probable que GCVE consiga una autorización de FedRAMP. GCVE también cuenta con las certificaciones ISO 27017, 27018, 27001 y PCI DSS, y se somete a una auditoría según los estándares de Control de Organizaciones de Servicios (SOC) del Instituto Estadounidense de Contables Públicos Certificados (AICPA).

Alojar cargas de trabajo de FedRAMP Moderate y High en Google Cloud

La inversión de Google Cloud en la seguridad de nuestra infraestructura asegura que los controles de seguridad estén integrados y preconfigurados para que los clientes puedan ceñirse a distintos niveles de cumplimiento sin tener que contar con una arquitectura de nube gubernamental aislada tradicional. 

Los clientes que quieran desplegar sus soluciones mediante Google Cloud en sus entornos de FedRAMP Moderate y High deben usar Assured Workloads. Con Assured Workloads, los clientes pueden proteger y configurar cargas de trabajo sensibles con total confianza para satisfacer los requisitos de cumplimiento y de seguridad mediante los servicios de Google Cloud. Assured Workloads no depende de una infraestructura física distinta de la de sus centros de datos en la nube pública. En lugar de eso, proporciona una nube comunitaria definida mediante software que ofrece ventajas relativas a los costes, la velocidad y la innovación.

Los servicios con autorización de FedRAMP disponibles a través de Assured Workloads implementan controles de seguridad de FedRAMP y permiten a los clientes usar las funciones de Google Cloud para satisfacer las necesidades de su empresa. Assured Workloads también ofrece visibilidad sobre el estado de cumplimiento de las cargas de trabajo de FedRAMP a través de Assured Workloads Monitoring. Esta herramienta puede ayudarte a detectar y solucionar las infracciones de cumplimiento, y a proporcionar atestaciones de control a los auditores del estado de cumplimiento.

Además de los controles que se aplican con la autorización para operar de FedRAMP High de la infraestructura de Google Cloud, Assured Workloads implementa de forma predeterminada los siguientes controles clave de FedRAMP High para los clientes que gestionan datos gubernamentales de FedRAMP High: 

  1. Establece restricciones para limitar la ubicación de los datos de clientes de FedRAMP High a EE. UU.
  2. Restringe el personal de asistencia técnica al personal del programa FedRAMP ubicado en EE. UU.
  3. Exige el uso de un encriptado que cumpla el estándar FIPS‐140‐2 tanto en reposo como en tránsito
  4. Implementa controles de acceso de personal exigidos por FedRAMP para aquellos que tengan acceso rutinario a datos de clientes 
  5. Permite que los desarrolladores solo utilicen productos y servicios que cumplan los requisitos del programa FedRAMP
  6. Segmentación lógica del límite de cumplimiento cubierto para cumplir los requisitos de FedRAMP Moderate y High

Alojar datos de FedRAMP Moderate y High en Google Workspace

Google Workspace mantiene una autorización para operar de FedRAMP High, que los clientes pueden aprovechar para alojar datos de FedRAMP Moderate y High. Los clientes que quieran desplegar Google Workspace en sus entornos de FedRAMP Moderate y High deben habilitar los servicios autorizados por FedRAMP que tengan la autorización correspondiente. Información sobre cómo activar o desactivar un servicio en Google Workspace 

Además, las ediciones Business y Enterprise de Google Workspace incluyen controles de seguridad y conjuntos de funciones integrados que permiten a los clientes cumplir los requisitos de FedRAMP High y adaptar su propia autorización para operar. Los usuarios de Google Workspace pueden configurar sus entornos para que cumplan los controles de residencia de datos del programa FedRAMP mediante una política de región de datos.

Proceso para conseguir una autorización para operar de FedRAMP

A los clientes que quieran alojar datos gubernamentales en Google Cloud también les puede interesar recurrir a su propia autorización para operar. Las empresas deben plantearse los siguientes objetivos para lograr una autorización para operar en Google Cloud:

  • Determinar si los datos cubiertos requieren el uso de FedRAMP Moderate o High
  • Seleccionar Assured Workloads (FedRAMP Moderate es gratuito, mientras que FedRAMP High requiere una suscripción premium) para los servicios de Google Cloud cubiertos
  • Decidir cuáles son tus límites de FedRAMP en Google Cloud
  • Configurar tus cargas de trabajo de acuerdo con el modelo de responsabilidad compartida, la matriz de responsabilidad de los clientes, los servicios de Google Cloud cubiertos y las directrices de FedRAMP
  • Someterse a una auditoría con una organización de evaluación externa
  • Enviar tu paquete a la junta de FedRAMP o a la agencia federal para que lo revisen y lo autoricen

Para obtener más información sobre el proceso de la autorización para operar, consulta el sitio web de FedRAMP. Si quieres recibir más asistencia relativa a las autorizaciones para operar de FedRAMP de Google Cloud, visita la página de los servicios de consultoría de Google Cloud

Preguntas frecuentes

El reciente borrador de memorándum de FedRAMP de la Oficina de Gestión y Presupuestos de Estados Unidos, que respalda un enfoque moderno en la nube basado en una separación lógica y basada en software en lugar de en una separación física, es un paso importante en la dirección correcta. Google Cloud ha sido pionero en este enfoque y cree que permite a los clientes escalar e innovar de forma segura.

El programa FedRAMP permite varios niveles de herencia para proveedores de servicios en la nube que usen infraestructuras, plataformas y servicios autorizados por el programa. Este análisis inicial basado en la relación entre el control y la herencia es lo que determina, en última instancia, en qué medida recae en los proveedores de servicios en la nube la responsabilidad del cumplimiento. 

Por ejemplo, si en tu organización preferís desarrollar la pila completa de vuestra aplicación, tendréis un mayor grado responsabilidad y obligaciones con respecto a los clientes cuando el organismo oficial correspondiente os evalúe. Por el contrario, es posible que la responsabilidad de cumplir con el FedRAMP sea menor si usas Google Cloud a modo de plataforma como servicio (PaaS) o software como servicio (SaaS).

Una vez que hayas seleccionado los servicios autorizados por el programa FedRAMP, Google puede proporcionarte guías de configuración específicas para cada servicio que te ayuden a configurar tu solución. También puedes ponerte en contacto directamente con el equipo de expertos en el programa FedRAMP de los servicios de consultoría de Google Cloud.

Google fue uno de los primeros proveedores de nube comercial a hiperescala en conseguir la autorización de FedRAMP High en una oferta de nube pública comercial, además de ser uno de los mayores proveedores de servicios de FedRAMP del mercado. En el pasado, los proveedores a hiperescala decidieron eliminar sus GovClouds de su oferta de nube comercial para poder cumplir los requisitos de FedRAMP High. Este enfoque puede facilitar el cumplimiento, pero estos entornos independientes a menudo no ofrecen todas las ventajas que la infraestructura en la nube de Google puede proporcionar.

La autorización FedRAMP High de Google Cloud permite a los organismos públicos procesar cargas de trabajo de gran impacto para adoptar la tecnología a una velocidad mucho mayor y al mismo nivel que los clientes comerciales. Además, aprovecha tanto las posibilidades como la capacidad que ofrece la infraestructura en la nube pública única de Google. Con Assured Workloads o Assured Controls, los clientes pueden proteger y configurar cargas de trabajo sensibles con total confianza para satisfacer los requisitos de cumplimiento y de seguridad en la nube. Elige la configuración de seguridad que quieras para que Google implemente los controles en la nube necesarios. 

Más abajo puedes consultar la lista de ediciones de Google Workspace que están autorizadas por el programa FedRAMP. Consulta la guía de configuración para desplegar Google Workspace y cumplir los controles de seguridad de FedRAMP High. 

Sí, Assured Workloads es necesario para lograr una autorización para operar de FedRAMP Moderate o High. Con Assured Workloads, Google Cloud puede identificar cargas de trabajo federales de los clientes y aplicar barreras técnicas para adaptarse a cualquier cambio en los reglamentos federales. Google Cloud se ha comprometido a mantener los requisitos de cumplimiento de FedRAMP, incluidos los introducidos en la revisión 5 de NIST 800-53 y las futuras versiones de las cargas de trabajo que se ejecutan en Assured Workloads.

Además, Assured Workloads es la única forma de que Google Cloud cumpla los exigentes requisitos de asistencia y de residencia de datos de FedRAMP High. Assured Workloads no se aplica a Google Workspace, que tiene sus propios controles.

Una de las ventajas de usar Google Cloud para gestionar tus cargas de trabajo gubernamentales es que ya existen una serie de controles necesarios en nuestra infraestructura subyacente y en Assured Workloads. Por tanto, cuando envías tu paquete de FedRAMP a la junta de FedRAMP para que lo autorice, también incluyes la SSP de Google, que describe los controles que gestiona Google Cloud. Ponte en contacto con tu equipo de Ventas para obtener una copia de la SSP de Google Cloud (se necesita un acuerdo de confidencialidad).

El grupo StateRAMP (State Risk and Authorization Management Program) es una organización sin ánimo de lucro que ha instituido la certificación StateRAMP. Al igual que el programa FedRAMP, se basa en el framework NIST 800-53 y se basa parcialmente en el programa FedRAMP. StateRAMP también se basa en las organizaciones de evaluación externa autorizadas por el programa FedRAMP para realizar evaluaciones. Google Cloud está preparado para ofrecer a clientes de la administración pública con la certificación StateRAMP una residencia de datos y unas funciones de asistencia mejoradas a través de Assured Workloads.

En FedRAMP Marketplace encontrarás una lista de organizaciones de evaluación externa cualificadas.

La SSP de Google Cloud cubre los recursos de Google para las pruebas de penetración, y los clientes pueden heredar este control si usan Google Cloud. Durante la evaluación de la organización de evaluación externa, también es necesario llevar a cabo una prueba de penetración del entorno de FedRAMP del cliente desarrollado con Google Cloud.

El programa FedRAMP permite varios niveles de herencia para proveedores de servicios en la nube que usen infraestructuras, plataformas y servicios autorizados por el programa. Este análisis inicial basado en la relación entre el control y la herencia es lo que determina, en última instancia, en qué medida recae en los proveedores de servicios en la nube la responsabilidad del cumplimiento. 

Por ejemplo, si en tu organización preferís desarrollar la pila completa de vuestra aplicación, tendréis un mayor grado responsabilidad y obligaciones con respecto a los clientes cuando el organismo oficial correspondiente os evalúe. Por el contrario, es posible que la responsabilidad de cumplir con el FedRAMP sea menor si usas Google Cloud a modo de plataforma como servicio (PaaS) o software como servicio (SaaS).

Una vez que hayas seleccionado los servicios autorizados por el programa FedRAMP, Google puede proporcionarte guías de configuración específicas para cada servicio que te ayuden a configurar tu solución. También puedes ponerte en contacto directamente con el equipo de expertos en el programa FedRAMP de los servicios de consultoría de Google Cloud.

Assured Workloads es una función de Google Cloud con la que los clientes pueden activar configuraciones de proyectos concretos para que cumplan sus regímenes de cumplimiento. Los clientes también pueden definir políticas de organización para satisfacer los requisitos de cumplimiento por sí mismos sin tener que usar Assured Workloads. Los productos se integran discretamente con Assured Workloads y aplican las propias políticas de la organización.

La consola de Google Cloud es una interfaz de usuario basada en la Web y sencilla que incluye funciones para ayudar a los clientes con el despliegue. Es un framework, no un servicio, desarrollado en la infraestructura de Google Cloud que proporciona a los clientes una interfaz para gestionar sus recursos de Google Cloud. Los clientes de la consola de Cloud interactúan directamente con las APIs de los servicios concretos de Google Cloud y usan las APIs de los servicios para renderizar la interfaz. La consola de Cloud por sí sola no tiene una API con la que los clientes puedan interactuar. En lugar de eso, los clientes interactúan directamente con las APIs de los servicios de Google Cloud concretos. La consola de Cloud usa esas APIs de servicio para renderizar la interfaz.

Servicios cubiertos

ID del paquete de FedRAMP: FR1805751477

* Todos los servicios de Google Cloud sujetos a FedRAMP High también están cubiertos por FedRAMP Moderate.

* Nota: Las plataformas FedRAMP Moderate y FedRAMP High implementan controles que restringen las conexiones TLS 1.1/1.0 en el nivel de dominio.

App Engine

Assured Workloads

BigQuery

Cloud Bigtable

Cloud DNS

Cloud HSM

Cloud Identity

Cloud Key Management Service

Cloud Logging

Cloud Spanner

Cloud SQL

Cloud Storage

Compute Engine

Container Registry

Dataflow

Dataproc

Firestore

Google Kubernetes Engine

Consola de administración (incluidos el SDK de administrador y Directory Sync)

Gestión de Identidades y Accesos

Memorystore para Memcache

Memorystore para Redis

Persistent Disk

Pub/Sub

Protección de Datos Sensibles (incluido Cloud Data Loss Prevention)

Nube privada virtual

ID del paquete de FedRAMP: FR1805751477

* Todos los servicios de Google Cloud sujetos a FedRAMP High también están cubiertos por FedRAMP Moderate.

* Nota: Las plataformas FedRAMP Moderate y FedRAMP High implementan controles que restringen las conexiones TLS 1.1/1.0 en el nivel de dominio.

Administrador de contextos de acceso

Transparencia de acceso

AI Platform Training y AI Platform Prediction (anteriormente llamado Cloud Machine Learning Engine)

Anthos Identity Service

Apigee

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video Intelligence

AutoML Vision

BeyondCorp Enterprise

BigQuery Data Transfer Service

Autorización binaria

Care Studio (Cloud Healthcare Search)

Contact Center AI Insights (CCAI)

Servicio de Autoridades de Certificación

Chronicle SIEM (anteriormente, Chronicle Security)

API de Facturación de Cloud

Cloud Build

Cloud CDN

Cloud Composer

Cloud Data Fusion

Cloud Deployment Manager

Cloud Endpoints

Cloud Error Reporting

Cloud External Key Manager

Cloud Functions

Cloud Functions for Firebase

API de Cloud Healthcare

Cloud IDS

Cloud Interconnect

Cloud Life Sciences (anteriormente, Google Genomics)

Cloud Load Balancing

Cloud Monitoring

Cloud NAT (Traducción de direcciones de red)

API Cloud Natural Language

Cloud Profiler

Cloud Router

Cloud Run (plataforma totalmente gestionada)

Cloud Run for Anthos

Cloud Scheduler

SDK de Google Cloud

Cloud Shell

Cloud Source Repositories

Cloud Storage for Firebase

Cloud Tasks

Cloud Trace (antes conocido como Stackdriver Trace)

Cloud Translation

API de Cloud Vision

Cloud VPN

Config Management

Connect

Contact Center AI (CCAI)

Data Catalog

Database Migration Service

Datalab

Datastore

Datastream

Dialogflow

Document AI

Earth Engine

Filestore (niveles HDD básico y SSD básico)

Game Servers

Hub de GKE

Aplicación Google Cloud

Google Cloud Armor

Google Cloud CLI

Consola de Google Cloud

Google Cloud Marketplace

Google Cloud Identity‑Aware Proxy

Identity Platform

IoT Core

Justificaciones de Acceso a Claves (KAJ)

Looker Studio (incluida la versión Pro, que antes era Google Data Studio)

Network Connectivity Center

Niveles de servicio de red

API de Resource Manager

Secret Manager

Security Command Center (incluido Web Security Scanner) (antes llamado Cloud Security Scanner)

Protección de Datos Sensibles (incluido Cloud Data Loss Prevention)

Directorio de servicios

Service Infrastructure (anteriormente Service Control; incluye la API Service Management y la API Service Consumer Management)

Service Mesh

Speech‑to‑Text

Servicio de transferencia de Storage

Talent Solution

Text-to-Speech

Traffic Director

API de Video Intelligence

Cuadernos gestionados por el usuario de Vertex AI Workbench (antes llamados AI Platform Notebooks)

Controles de Servicio de VPC

API Web Risk

Workflows

Federación de identidades para los trabajadores

* Nota: Las plataformas FedRAMP Moderate y FedRAMP High implementan controles que restringen las conexiones TLS 1.1/1.0 en el nivel de dominio.

Google Workspace Business Plus

Google Workspace Business Standard

Google Workspace Enterprise Plus

Google Workspace Enterprise Standard

* Nota: Las plataformas FedRAMP Moderate y FedRAMP High implementan controles que restringen las conexiones TLS 1.1/1.0 en el nivel de dominio.

Google Workspace Business Starter

Google Workspace Enterprise Essentials

Google Workspace Enterprise Plus

Google Workspace for Education

Google Workspace for Education Fundamentals

Google Workspace for Education Plus

Google Workspace for Education Standard

Google Workspace for Government

Google Workspace para Organizaciones sin Ánimo de Lucro

Edición Google Workspace Frontline

Teaching and Learning Upgrade

ID de paquete de FedRAMP: F1206081364

* Ten en cuenta que la consola de administración y Cloud Identity ahora forman parte del paquete de servicios de Google (FR1805751477).

* Nota: Las plataformas FedRAMP Moderate y FedRAMP High implementan controles que restringen las conexiones TLS 1.1/1.0 en el nivel de dominio.

Calendar

Documentos

Drive

Formularios

Gmail

Google Chat

Google Meet

Keep

Versión nueva de Sites

Hojas de cálculo

Presentaciones

Vault

Servicios de Google Workspace (nivel moderado del programa FedRAMP)

ID de paquete de FedRAMP: F1206081364

* Ten en cuenta que la consola de administración y Cloud Identity ahora forman parte del paquete de servicios de Google (FR1805751477).

* Nota: Las plataformas FedRAMP Moderate y FedRAMP High implementan controles que restringen las conexiones TLS 1.1/1.0 en el nivel de dominio.

Gestión de dispositivos Chrome y Android

API Apps Activity

Sincronización de Chrome (solo para dominios de Google Workspace for Education)

Classroom

Cloud Search (incluye a terceros)

Contactos

API de Calendar

API de Contactos

APIs de Documentos

Dibujos

API REST de Drive (que sustituye a la API Documents List)

API REST de Gmail (que sustituye a la API Email Migration)

Emisión en directo de Google Meet

Google Tasks

Google Voice

Centro de Seguridad de Google Workspace (solo para dominios de Enterprise Plus y Google Workspace for Education Plus)

Grupos para empresas

Jamboard

LDAP seguro

API de Hojas de cálculo

API de Sites

API de Tasks

Todas las regiones de Google Cloud que están cubiertas por FedRAMP High también están cubiertas por FedRAMP Moderate.

Oregón (us-west1) - FedRAMP High

Los Ángeles (us-west2) - FedRAMP High

Salt Lake City (us-west3) - FedRAMP High

Las Vegas (us-west4) - FedRAMP High

Iowa (us-central1) - FedRAMP High

Oklahoma (us-central2) - FedRAMP High

Carolina del Sur (us-east1) - FedRAMP High

Norte de Virginia (us‐east4) - FedRAMP High

Columbus (us-east5) - FedRAMP High

Dallas (us-south1) - FedRAMP High

Montreal (northamerica-northeast1) - FedRAMP Moderate

São Paulo (southamerica-east1) - FedRAMP Moderate

Bélgica (europe-west1) - FedRAMP Moderate

Londres (europe-west2) - FedRAMP Moderate

Fráncfort (europe-west3) - FedRAMP Moderate

Países Bajos (europe-west4) - FedRAMP Moderate

Finlandia (europe-north1) - FedRAMP Moderate

Bombay (asia-south1) - FedRAMP Moderate

Singapur (asia-southeast1) - FedRAMP Moderate

Taiwán (asia-east1) - FedRAMP Moderate

Tokio (asia-northeast1) - FedRAMP Moderate

Sídney (australia-southeast1) - FedRAMP Moderate

Zúrich (europe-west6) - FedRAMP Moderate

Varsovia (europe-central2) - FedRAMP Moderate

Yakarta (asia-southeast2) - FedRAMP Moderate

Osaka (asia-northeast2) - FedRAMP Moderate

Seúl (asia-northeast3) - FedRAMP Moderate

Recursos relacionados

NIST 800‑53
NIST 800‑53
Consulta qué servicios de Google Cloud se han sometido a una evaluación independiente de terceros y operan de conformidad con los controles del estándar 800-53 del NIST.
ISO 27001
ISO 27001
La familia de normas ISO/IEC 27000 ayuda a proteger la información. Google Cloud Platform y Google Workspace cumplen la norma ISO/IEC 27001.
ISO 27017
ISO 27017
La norma ISO/IEC 27017:2015 contiene directrices sobre controles de seguridad de la información. Google Cloud Platform y Google Workspace cumplen la norma ISO/IEC 27017.
ISO 27018
ISO 27018
ISO/IEC 27018 es un estándar relacionado con la protección de la información personal identificable en nubes públicas. Google Cloud Platform y Google Workspace cumplen la norma ISO/IEC 27018.

Ve un paso más allá

Empieza a crear en Google Cloud con 300 USD en crédito gratis y más de 20 productos Always Free.

Empezar gratis

Ve un paso más allá

Empieza a crear en Google Cloud con 300 USD en crédito gratis y más de 20 productos Always Free.

Empezar gratis