FedRAMP

Visão geral

FedRAMPLogoSmall

O governo federal dos EUA dedica-se a disponibilizar seus serviços para o povo americano da maneira mais inovadora, segura e econômica. A computação em nuvem desempenha um papel essencial na forma como o governo federal pode alcançar eficiência operacional e inovar sob demanda para promover sua missão em todo o país. É por isso que hoje vários órgãos federais usam os Serviços de nuvem AWS para processar, armazenar e transmitir dados do governo federal.

  • O que é o FedRAMP?

    O Federal Risk and Authorization Management Program (FedRAMP – Programa federal de gerenciamento de autorização e risco) é um programa do governo dos EUA que disponibiliza uma abordagem padrão para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços na nuvem. Os órgãos governamentais do FedRAMP incluem o Office of Management and Budget (OMB), a U.S. General Services Administration (GSA), o U.S. Department of Homeland Security (DHS), o U.S. Department of Defense (DoD), o National Institute of Standards and Technology (NIST) e o Federal Chief Information Officers (CIO) Council.

    Os provedores de serviços de nuvem que desejam oferecer seus produtos e serviços para o governo dos EUA devem demonstrar conformidade com o FedRAMP. O FedRAMP usa a publicação especial do NIST série 800 e exige que provedores de serviços na nuvem recebam uma avaliação de segurança independente conduzida por uma Third-Party Assessment Organization (3PAO – Organização externa de avaliação), que visa garantir que as autorizações estejam em conformidade com a Federal Information Security Management Act (FISMA – Lei federal de gerenciamento da segurança das informações). Para obter mais informações, consulte o site do FedRAMP.

  • Porque o FedRAMP é importante?

    Em resposta à Cloud First Policy (Política de priorização da nuvem), o Office of Management and Budget (OMB) emitiu o FedRAMP Policy Memo (Memorando de política do FedRAMP) para estabelecer o primeiro programa de autorização de segurança do governo para a FISMA. O FedRAMP é obrigatório para todos os órgãos federais dos EUA e todos os serviços na nuvem. O FedRAMP é importante porque aumenta:

    • A consistência e a confiança na segurança das soluções em nuvem usando os padrões definidos pelo NIST e pela FISMA
    • A transparência entre o governo do EUA e os provedores de nuvem
    • A automação e o monitoramento contínuo praticamente em tempo real
    • A adoção de soluções em nuvem seguras por meio da reutilização de avaliações e autorizações
  • Quais são os requisitos da conformidade com o FedRAMP?

    A Cloud First Policy (Política de priorização da nuvem) exige que todos os órgãos federais usem o processo do FedRAMP para realizar avaliações de segurança, autorizações, e monitoramento contínuo de serviços em nuvem. O Program Management Office (PMO) do FedRAMP estabeleceu os seguintes requisitos para a conformidade com o FedRAMP:

    1. O Cloud Service Provider (CSP – Provedor de serviços de nuvem) recebeu uma Agency Authority to Operate (ATO – Autorização para operação de órgão) de um órgão federal dos EUA ou uma Provisional Authority to Operate (P-ATO – Autorização provisória para operação) do Joint Authorization Board (JAB).
    2. O CSP cumpre os requisitos de controle de segurança do FedRAMP, como descritos na linha de base de controle de segurança NIST 800-53, Rev. 4, para níveis de impacto moderados ou altos.
    3. Todos os pacotes de segurança do sistema devem usar os modelos exigidos do FedRAMP.
    4. O CSP deve ser avaliado por uma Third-Party Assessment Organization (3PAO – Organização externa de avaliação).
    5. O pacote de avaliação de segurança concluído deve ser publicado no repositório seguro do FedRAMP.
  • Quais são os tipos de conformidade com o FedRAMP?

    Existem dois procedimentos para que os CSPs tenham conformidade com o FedRAMP:

    1. Autorização do JAB

    Para receber a Autorização provisória para operação (P-ATO) do Joint Authorization Board (JAB) do FedRAMP, um CSP é analisado pelo Program Management Office (PMO) do FedRAMP, avaliado por um 3PAO credenciado pelo FedRAMP e recebe uma P-ATO do JAB. O JAB é formado por diretores de TI (CIOs) do Department of Defense (DoD), do Department of Homeland Security (DHS) e da General Services Administration (GSA).

    2. Autorização de órgão

    Para receber uma Autorização para operação de órgão (ATO) do FedRAMP, um CSP é analisado por um CIO ou Delegated Authorizing Official para conseguir uma ATO compatível com o FedRAMP, que é confirmada pelo Program Management Office (PMO) do FedRAMP.

  • A Amazon Web Services está em conformidade com o FedRAMP?

    Sim. A AWS oferece os seguintes sistemas em conformidade com o FedRAMP que receberam autorizações, abordaram os controles de segurança do FedRAMP (baseados no NIST SP 800-53), usaram os modelos do FedRAMP exigidos para os pacotes de segurança publicados no repositório seguro do FedRAMP, foram avaliados por um analista externo, independente e certificado (3PAO) e mantiveram os requisitos de monitoramento contínuo do FedRAMP:

    A região AWS GovCloud (EUA) recebeu uma Autorização provisória para operação (P-ATO) do Joint Authorization Board (JAB) e várias Autorizações de órgão (A-ATO) para o nível de impacto alto. Os serviços no escopo do limite da P-ATO do JAB da região AWS GovCloud (EUA) na categorização de segurança de linha de base alta podem ser encontrados em Serviços da AWS no escopo por programa de conformidade.

    As regiões Leste e Oeste dos EUA da AWS receberam uma Autorização provisória para operação (P-ATO) do Joint Authorization Board (JAB) e várias Autorizações de órgão (A-ATO) para o nível de impacto moderado. Os serviços no escopo do limite da P-ATO do JAB das regiões Leste e Oeste dos EUA da AWS na categorização de segurança de linha de base moderada podem ser encontrados em Serviços da AWS no escopo por programa de conformidade.

  • A conformidade com o FedRAMP aumentará os custos dos serviços da AWS?

    Não, não há aumento nos custos dos serviços em nenhuma região como consequência da conformidade da AWS com o FedRAMP.

  • Quais regiões da AWS estão incluídas?

    Duas ATOs de órgão do FedRAMP diferentes foram emitidas, a primeira abrangendo a região AWS GovCloud (EUA) e a segunda abrangendo as regiões Leste e Oeste dos EUA da AWS.

  • Há entidades do governo dos EUA utilizando a AWS neste momento?

    Sim, mais de 2.000 órgãos governamentais e outras entidades que disponibilizam integração de sistemas e outros produtos e serviços para órgãos governamentais estão utilizando atualmente a ampla gama de serviços da AWS. Você pode examinar estudos de caso sobre entidades governamentais dos EUA que usam a AWS: US Department of State, US Food and Drug Administration (FDA), US Centers for Disease Control and Prevention (CDC), Desert Research and Training Studies do NASA/JPL, NASA JPL e Amazon SWF e Mars Curiosity Mission da NASA/JPL, entre outros. Para ver todos os estudos de caso disponíveis, consulte a página de histórias de sucesso de clientes da AWS. Para obter mais informações sobre como a AWS cumpre os requisitos de alta segurança dos governos, consulte a página AWS para governos.

  • Quais serviços estão incluídos?

    Os serviços da AWS abrangidos que já estão no escopo do limite do FedRAMP e do SRG do DoD podem ser encontrados em Serviços da AWS no escopo por programa de conformidade. Se desejar saber mais sobre o uso desses serviços e/ou tiver interesse em outros, entre em contato com a equipe de desenvolvimento de vendas e negócios da AWS.

  • Os outros serviços da AWS podem ser utilizados?

    Sim, os clientes podem avaliar a compatibilidade de suas cargas de trabalho com outros serviços da AWS. Entre em contato com a equipe de desenvolvimento de vendas e negócios da AWS para obter uma discussão detalhada sobre os controles de segurança e as considerações de aceitação de risco.

  • É possível alocar sistemas de nível de alto impacto na AWS?

    Sim, os clientes podem avaliar a compatibilidade das suas cargas de trabalho de alto impacto com a AWS. No momento, o FedRAMP é aplicável somente para sistemas de computação em nuvem nos níveis de impacto baixo e moderado da FISMA. No entanto, a AWS já atende aos controles do NIST 800-53 High para os clientes que desejam expandir a base do NIST Moderate para criar aplicativos e serviços da FISMA High, visando sustentar suas principais cargas de trabalho. Entre em contato com a equipe de desenvolvimento de vendas e negócios da AWS para obter uma discussão detalhada sobre os controles de segurança e as considerações de aceitação de risco.

  • Onde posso acessar os pacotes de segurança do FedRAMP da AWS?

    Os clientes da AWS podem solicitar acesso aos pacotes de segurança do FedRAMP da AWS por meio do PMO do FedRAMP ou do seu gerente de contas do setor de vendas da AWS.

    Os clientes de órgãos governamentais dos EUA podem solicitar acesso ao pacote de segurança do FedRAMP da AWS por meio do PMO do FedRAMP ao preencher um formulário de solicitação de acesso ao pacote, e enviá-lo para info@fedramp.gov, ou entrar em contato com o gerente de contas do setor de vendas.

    Parceiros e clientes em potencial da AWS também podem solicitar acesso ao pacote de segurança do FedRAMP da AWS usando o AWS Artifact.

  • Como um órgão pode utilizar uma autorização do FedRAMP da AWS?

    Um Authorizing Official (AO – Oficial de autorização) do órgão pode utilizar qualquer pacote de segurança do FedRAMP da AWS para revisar a documentação de apoio, tomar sua própria decisão baseada nos riscos e conceder uma Autorização para operação de órgão (ATO) para a AWS. Os órgãos são responsáveis pela emissão de suas próprias ATOs na AWS e pela autorização geral de seus componentes de sistema que não estiverem cobertos pela ATO da AWS. Se tiver dúvidas ou precisar de mais informações, entre em contato com o seu gerente de contas da equipe de vendas da AWS.

  • Como o monitoramento contínuo é processado com autorizações do FedRAMP?

    Dentro do Concept of Operations (CONOPS – Conceito de Operações) do FedRAMP, após a concessão de uma autorização, a postura de segurança do CSP será monitorada de acordo com o processo de avaliação e autorização. Para receber novas autorizações de uma autorização do FedRAMP a cada ano, os CSPs devem monitorar os seus controles de segurança, avaliá-los regularmente e demonstrar que a postura de segurança de suas ofertas de serviço é continuamente aceitável. Os órgãos federais que usam o programa de monitoramento contínuo do FedRAMP, bem como Oficiais de autorização (AOs) e suas equipes designadas, são responsáveis pela revisão da conformidade contínua da AWS. Os AOs e suas equipes designadas revisam, de forma permanente e contínua, os artefatos gerados pelo processo de monitoramento contínuo da AWS pelo FedRAMP, além das evidências da implementação de quaisquer controles específicos de órgãos exigidos além dos controles do FedRAMP. Para obter mais informações, consulte o programa ou política de segurança de sistemas de informação do seu órgão.

  • Como um órgão federal dos EUA, preciso estabelecer um Interconnection Security Agreement (ISA – Acordo de segurança de interconexão) com a AWS?

    Não. O PMO do FedRAMP declara que não é obrigatório usar ISAs entre um CSP e um órgão federal.

  • E se eu precisar falar com a AWS sobre as arquiteturas ou as cargas de trabalho da AWS específicas do FedRAMP da minha organização?

    O pacote de segurança do FedRAMP da AWS está disponível para os clientes que usam o AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.

    Se você tiver perguntas complementares específicas sobre a conformidade com o FedRAMP ou o DoD, envie um e-mail para awscompliance@amazon.com.

compliance-contactus-icon
Dúvidas? Entre em contato com um representante comercial da AWS
Você está explorando funções de conformidade?
Inscreva-se hoje »
Você quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »