Suplemento de regulación de adquisición federal de Defensa (DFARS)
Información general sobre DFARS
El 21 de octubre de 2016, el Departamento de Defensa (DoD) emitió su Regla Final por la que se modificaba el Suplemento del Reglamento Federal de Adquisición de Defensa (DFARS) y se imponían obligaciones de notificación de incidentes cibernéticos y de protección a los contratistas de defensa cuyos sistemas de información procesen, almacenen o transmitan información de defensa cubierta (CDI).
La cláusula DFARS final 252.204-7012 (Protección de la información de defensa cubierta e informes de incidentes cibernéticos) especifica medidas de seguridad para incluir requisitos de informes de incidentes cibernéticos y consideraciones adicionales para los proveedores de servicios en la nube. Según DFARS 252.204-7012, todos los contratistas del DoD y la base industrial de defensa deben cumplir con los requisitos de DFARS para una seguridad adecuada "tan pronto como sea práctico, pero no más tarde del 31 de diciembre de 2017".
Microsoft y DFARS
Los servicios en la nube de Microsoft Government ayudan a los clientes de Estados Unidos base industrial de defensa y contratista de defensa a cumplir los requisitos de DFARS enumerados en las cláusulas DFARS de 252.204-7012 que se aplican a los proveedores de servicios en la nube. Cuando se requiere que los contratistas de defensa cumplan con la cláusula 252.204-7012 de DFARS en contratos, Microsoft puede admitir los requisitos aplicables a los proveedores de servicios en la nube para Azure Government y Office 365 los servicios de defensa gubernamental de EE. UU. Ambos servicios muestran compatibilidad con las capacidades necesarias para que los clientes cumplan con las cláusulas DFARS 7012 a través de su acreditación L5 a la Guía de requisitos de seguridad del Departamento de Defensa.
Servicios y plataformas en la nube dentro de Microsoft
Servicios cubiertos para el nivel 5 de impacto del DoD
- Azure y Azure Government
- Office 365 gobierno de EE. UU. y Office 365 defensa del gobierno de EE. UU.
Azure, Dynamics 365 y DFARS
Para obtener más información sobre Azure, Dynamics 365 y otros servicios en línea cumplimiento, consulte la oferta de Azure DFARS.
Office 365 y DFARS
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
| Aplicabilidad | Servicios incluidos |
|---|---|
| GCC | Microsoft Entra ID, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Cumplimiento avanzado de Office 365 add-on, Office 365 Centro de cumplimiento de seguridad &, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, Stream |
| GCC High | Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, Cumplimiento avanzado de Office 365 complemento, Office 365 Centro de cumplimiento de seguridad &, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial |
| DoD | Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, Cumplimiento avanzado de Office 365 complemento, Office 365 Centro de cumplimiento de seguridad &, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, Power BI, SharePoint Online, Skype Empresarial |
Auditorías, informes y certificados de Office 365
Preguntas más frecuentes
¿Qué requisitos de DFARS son compatibles con Office 365 U.S. Government Defense?
Office 365 U.S. Government Defense permite a nuestros clientes contratistas de defensa y base industrial de defensa cumplir los requisitos DFARS enumerados en las cláusulas DFARS de 252.204-7012 que se aplican a los proveedores de servicios en la nube.
¿Ha validado un evaluador independiente que Office 365 defensa pública de EE. UU. admite los requisitos de DFARS?
Sí, una organización de evaluación de terceros ha atestiguado que la Office 365 oferta de servicio en la nube de U.S. Government Defense cumple los requisitos aplicables de la cláusula DFARS 252.204-7012 (Protección de la información técnica controlada sin clasificar).
¿Cuál es la relación entre información no clasificada controlada (CUI) e información de defensa cubierta (CDI)?
CUI es información que requiere controles de protección o difusión de acuerdo con la ley, la regulación o la política de todo el gobierno. El Registro CUI identifica las subcategorías y categorías de CUI aprobadas.
CDI es información técnica controlada u otra información (como se describe en el Registro CUI) que requiere controles de protección o difusión y es:
- Marcado o identificado de otro modo en el contrato, orden de tarea o orden de entrega, y proporcionado al contratista por o en nombre de DoD en relación con la ejecución del contrato o
- Recopilados, desarrollados, recibidos, transmitidos, utilizados o almacenados por o en nombre del contratista en apoyo de la ejecución del contrato
¿Cumplen todos los servicios Microsoft Office 365 los requisitos de "seguridad adecuada" aplicables a la "información de defensa cubierta" en virtud del reglamento DFARS?
En octubre de 2016, el Departamento de Defensa (DoD) promulgó una regla final que implementa las cláusulas del Complemento federal de regulación de adquisición (DFARS) de Defensa que se aplican a todos los contratistas del DoD que procesan, almacenan o transmiten "información de defensa cubierta" a través de sus sistemas de información. La regla establece que dichos sistemas deben cumplir los requisitos de seguridad establecidos en NIST SP 800-171, proteger la información controlada sin clasificar en sistemas de información y organizaciones nofederales, o una "medida de seguridad alternativa, pero igualmente eficaz" aprobada por el oficial contratante del DoD. Y cuando un contratista del DoD usa un proveedor de servicios en la nube externo para procesar, almacenar o transmitir información de defensa cubierta, dicho proveedor debe cumplir los requisitos de seguridad equivalentes a la línea de base moderada de FedRAMP.
Los siguientes Microsoft Office 365 servicios en la nube han recibido una autorización moderada de FedRAMP y son adecuados para DFARS: Office 365 gobierno de ee. UU. y Office 365 defensa del gobierno de EE. UU.
Además, las ofertas de Microsoft fuera del límite certificado por FedRAMP que podrían usar los contratistas del DoD para procesar, almacenar o transmitir "información de defensa cubierta" se someten a una revisión para cumplir con una fecha límite de cumplimiento del 31 de diciembre de 2017. Microsoft está trabajando para documentar cómo estos servicios internos y orientados al cliente cumplen con NIST SP 800-171 o un equivalente de seguridad aceptable, para cumplir las cláusulas pertinentes de DFARS.
Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo
El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.
Recursos
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de