FedRAMP

Información general

FedRAMPLogoSmall

El gobierno federal de los Estados Unidos se esfuerza por proporcionar sus servicios a los ciudadanos estadounidenses de la forma más innovadora, segura y rentable. La informática en la nube desempeña un papel fundamental en la manera en la que el gobierno federal puede adquirir mayor eficacia operativa e innovar de acuerdo con la demanda para cumplir su misión en toda la nación. Por eso, hoy en día, numerosas agencias federales utilizan los servicios en la nube de AWS para procesar, almacenar y transmitir datos gubernamentales federales.

  • ¿Qué es el FedRAMP?

    El Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP) es un programa del gobierno de EE. UU. que ofrece un enfoque estandarizado para la monitorización continua, la autorización y la evaluación de la seguridad de servicios y productos en la nube. Entre las entidades gubernamentales que conforman el FedRAMP, figuran la Oficina de Administración y Presupuestos (OMB), la Administración de Servicios Generales (GSA) estadounidense, el Departamento de Seguridad Interna (DHS) estadounidense, el Departamento de Defensa (DoD) estadounidense, el Instituto Nacional de Normal y Tecnología (NIST) y el Consejo Federal de Directores de Información (CIO).

    Los proveedores de servicios en la nube que quieran ofrecer sus productos y servicios al gobierno de EE. UU. deben demostrar su conformidad con el FedRAMP. FedRAMP, que utiliza la serie 800 de NIST Special Publication, exige a los proveedores de servicios en la nube que sean sometidos a una evaluación de seguridad independiente por parte de una organización de evaluación externa (3PAO) para garantizar la conformidad de las autorizaciones con la Ley Federal de Seguridad de la Información (FISMA). Para obtener más información, consulte el sitio web del FedRAMP.

  • ¿Por qué es importante el programa FedRAMP?

    En respuesta a la Cloud First Policy (Política Nube primero), la Oficina de gestión y presupuestos (OMB) publicó el FedRAMP Policy Memo (Memorándum de políticas del FedRAMP) para fundar el primer programa de autorizaciones en materia de seguridad de ámbito gubernamental para FISMA. FedRAMP es obligatorio para todas las agencias federales estadounidenses y todos los servicios en la nube. FedRAMP es importante porque aumenta:

    • La uniformidad y la fiabilidad en la seguridad de las soluciones en la nube que utilizan NIST y las normas definidas en la ley FISMA
    • La transparencia entre el gobierno de EE.UU. y los proveedores de servicios en la nube
    • La automatización y una monitorización continua casi en tiempo real
    • La adopción de soluciones en la nube seguras a través de la reutilización de evaluaciones y autorizaciones
  • ¿Cuáles son los requisitos de conformidad con el FedRAMP?

    La política Nube primero exige que todas las agencias federales utilicen el proceso del FedRAMP para realizar evaluaciones de seguridad, autorizaciones y la monitorización constante de los servicios en la nube. La oficina de administración del programa FedRAMP (PMO) ha señalado los siguientes requisitos para cumplir el FedRAMP:

    1. El proveedor de servicios en la nube (CSP) ha recibido una autorización para operar (ATO) por parte de una agencia federal de EE. UU. o una autorización provisional para operar (P-ATO) por parte del Consejo Conjunto de Autorización (JAB).
    2. El CSP cumple los requisitos de control de la seguridad del FedRAMP según lo descrito en los requisitos de referencia de control de la seguridad del marco NIST 800-53 (rev. 4) para los niveles de impacto moderados o altos.
    3. Todos los paquetes de seguridad del sistema deben utilizar las plantillas que exige el FedRAMP.
    4. El CSP debe someterse a la evaluación de una organización de evaluación externa (3PAO).
    5. El paquete de evaluación de seguridad debe publicarse en el repositorio seguro del FedRAMP.
  • ¿Cuáles son los tipos de conformidad con el FedRAMP?

    Los proveedores de servicios en la nube pueden lograr la conformidad con el FedRAMP siguiendo dos rutas distintas:

    1. Autorización del JAB

    Para recibir una autorización provisional para operar (P-ATO) del Consejo Conjunto de Autorización (JAB) del FedRAMP, el proveedor de servicios en la nube debe someterse a una revisión por parte de la oficina de administración del programa FedRAMP (PMO) y a una evaluación por parte de una organización de evaluación externa (3PAO) con acreditación del FedRAMP. El JAB está compuesto por los directores de información (CIO) del Departamento de Defensa (DoD), el Departamento de Seguridad Interna (DHS) y la Administración de Servicios Generales (GSA).

    2. Autorización de una agencia

    Para recibir una autorización para operar (ATO) por parte de una agencia de conformidad con el FedRAMP que esté verificada por la oficina de administración del programa FedRAMP (PMO), el proveedor de servicios en la nube debe someterse a una revisión por parte de un CIO de agencia del cliente o un oficial autorizador delegado.

  • ¿Amazon Web Services cumple con el programa FedRAMP?

    Sí, AWS ofrece varios sistemas conformes con FedRAMP. Estos sistemas, que han recibido autorizaciones, han pasado los controles de seguridad de FedRAMP (de acuerdo con NIST SP 800-53), han utilizado las plantillas necesarias de FedRAMP para los paquetes de seguridad enviados al repositorio seguro de FedRAMP, han sido evaluados por un asesor independiente externo y acreditado (3PAO), y cumplen los requisitos de monitorización continua de FedRAMP, son los siguientes:

    AWS GovCloud (US) ha recibido una autorización provisional para operar del consejo Joint Authorization Board (JAB P-ATO), así como varias autorizaciones de agencias (A-ATO), para un nivel de alto impacto. En Servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios cubiertos en el ámbito de la JAB P-ATO de AWS GovCloud (EE.UU.) en la categoría de seguridad elevada.

    Las regiones este y oeste de AWS (EE. UU.) han recibido una autorización provisional para operar del Consejo Conjunto de Autorización (P-ATO del JAB), así como varias autorizaciones de agencias (A-ATO), para un nivel de impacto moderado. En los servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios cubiertos en el ámbito de la P-ATO del JAB de las regiones este y oeste de AWS (EE. UU.) en la categoría de seguridad de referencia moderada.

  • ¿La conformidad con el programa FedRAMP incrementará el costo de mis servicios de AWS?

    No, el coste de los servicios, sea cual sea la región, no se incrementará como resultado de la conformidad con el FedRAMP por parte de AWS.

  • ¿Qué regiones de AWS engloba?

    Se han emitido dos ATO de agencias basadas en el FedRAMP: una para la región AWS GovCloud (EE. UU.) y otra para las regiones este y oeste de AWS (EE. UU.).

  • ¿Actualmente alguna entidad gubernamental estadounidense utiliza AWS?

    Sí, en la actualidad, más de 2000 agencias gubernamentales y otras entidades que ofrecen integración de sistemas y otros productos y servicios a las agencias gubernamentales utilizan la amplia variedad de servicios de AWS. Puede consultar casos prácticos sobre las entidades gubernamentales de Estados Unidos que usan AWS, incluidos los relativos al Departamento de Estado de los Estados Unidos, la Administración de Alimentos y Medicamentos (FDA) estadounidense, los Centros para el Control y Prevención de Enfermedades (CDC) estadounidenses, la investigación del desierto y los estudios de capacitación del Laboratorio de Propulsión a Reacción de la NASA, el Laboratorio de Propulsión a Reacción de la NASA y Amazon SWF, y la misión Curiosity a Marte del Laboratorio de Propulsión a Reacción de la NASA. Para ver todos los casos prácticos disponibles, consulte la página web sobre las historias de éxito de clientes de AWS. Para obtener más información sobre cómo AWS cumple los elevados requisitos de seguridad de los gobiernos, consulte la página web AWS para el sector público.

  • ¿Qué servicios engloba?

    En Servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios de AWS cubiertos en el ámbito de la autorización del FedRAMP y SRG del DoD. Si desea más información sobre el uso de estos servicios o sobre otros servicios, contacte con el equipo de ventas y desarrollo empresarial de AWS.

  • ¿Pueden usarse otros servicios de AWS?

    Sí, los clientes pueden evaluar sus cargas de trabajo para confirmar si son idóneas para otros servicios de AWS. Contacte con el equipo de ventas y desarrollo empresarial de AWS para obtener información detallada sobre los controles de seguridad y la aceptación del riesgo.

  • ¿Pueden migrarse a AWS los sistemas con un alto nivel de impacto?

    Sí, los clientes pueden evaluar sus cargas de trabajo con un alto nivel de impacto para confirmar si son idóneas para AWS. En la actualidad, el FedRAMP solo se aplica a sistemas de informática en la nube con niveles de impacto bajo y moderado FISMA. Sin embargo, AWS ya cumple con muchos de los controles de alto nivel NIST 800-53 y hemos desarrollado el cuaderno AWS FISMA-High para aquellos de nuestros clientes que desean ampliar la referencia de nivel moderado NIST y crear aplicaciones y servicios de nivel alto FISMA que respalden sus cargas de trabajo críticas. Póngase en contacto con el equipo de ventas y desarrollo empresarial de AWS para obtener información detallada sobre los controles de seguridad y la aceptación del riesgo.

  • ¿Dónde puedo obtener acceso a los paquetes de seguridad del FedRAMP para AWS?

    Los clientes de AWS pueden solicitar el acceso a los paquetes de seguridad de FedRAMP para AWS a través del PMO de FedRAMP o del gestor de cuentas del equipo de ventas de AWS.

    Los clientes de agencias gubernamentales de EE.UU. pueden solicitar el acceso al paquete de seguridad de FedRAMP para AWS al PMO de FedRAMP rellenando un formulario de solicitud de acceso a los paquetes y enviándolo a info@fedramp.gov o contactando con el gestor de cuentas del equipo de ventas de AWS.

    Los socios y los clientes potenciales de AWS también pueden solicitar acceso al paquete de seguridad del FedRAMP para AWS para socios mediante AWS Artifact.

  • ¿Cómo aprovecha una agencia la autorización del FedRAMP para AWS?

    Un oficial autorizador (AO) de una agencia puede utilizar cualquiera de los paquetes de seguridad del FedRAMP para AWS con el fin de revisar documentación complementaria y tomar la decisión, por propia cuenta y riesgo, de conceder a AWS una autorización para operar (ATO) de agencia. Las agencias son las responsables de emitir su propia ATO para AWS, así como de la autorización global de los componentes del sistema que no están cubiertos por la ATO de AWS. Si tiene alguna pregunta o necesita más información, contacte con su gestor de cuentas del equipo de ventas de AWS.

  • ¿Cómo se gestiona la monitorización continua con las autorizaciones del FedRAMP?

    En el ámbito del Concepto de Operaciones (CONOPS) del FedRAMP, una vez que se ha concedido una autorización, la seguridad del proveedor de servicios en la nube se supervisa conforme al proceso de evaluación y autorización. Para renovar anualmente una autorización basada en el FedRAMP, el proveedor de servicios en la nube debe monitorear los controles de seguridad, valorarlos regularmente y demostrar que la seguridad de su oferta de servicios es aceptable de manera continua. Las agencias federales que utilicen el programa de monitorización continua del FedRAMP, así como los oficiales autorizadores (AO) y sus equipos designados serán responsables de examinar la constante conformidad de AWS. Los AO y sus equipos designados revisarán de manera continua los artefactos proporcionados a través del proceso de monitorización continua de AWS basado en el FedRAMP. Además, comprobarán la implementación de cualquier control específico de agencias que deba complementar los controles del FedRAMP. Para obtener más información, consulte la política o el programa de seguridad del sistema de información de su agencia.

  • Como agencia federal de Estados Unidos, ¿necesito un contrato de seguridad de interconexión (ISA) con AWS?

    No. La PMO del FedRAMP establece que no es necesario utilizar los ISA entre los proveedores de servicios en la nube y las agencias federales.

  • ¿Qué sucede si tengo que analizar las cargas de trabajo o las arquitecturas de AWS específicas del FedRAMP de mi organización con AWS?

    Los clientes pueden acceder al paquete de seguridad del FedRAMP para AWS a través de AWS Artifact, un portal autoservicio de acceso bajo demanda a informes de conformidad de AWS. Puede iniciar sesión en AWS Artifact en la consola de administración de AWS u obtener más información en Introducción a Artifact.

    Si tiene preguntas de seguimiento específicas en relación con la conformidad con el FedRAMP o el DoD, envíe un email a awscompliance@amazon.com.

compliance-contactus-icon
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »