Acquia Renova Autoridade FedRAMP para Operar
À medida que as agências federais elevam a experiência do usuário em seus sites .gov, a segurança e integridade de suas plataformas digitais permanecem fundamentais. Como provedora de tecnologia para o setor federal, a maior prioridade da Acquia é atender às demandas de segurança e conformidade de nossos clientes. Nos Estados Unidos, o padrão-ouro para segurança de sites governamentais é o Federal Risk and Authorization Management Program (FedRAMP), o conjunto de padrões e regras que qualquer fornecedor que deseje oferecer produtos e serviços a uma agência federal deve atender.
A Acquia tem sido um Provedor de Serviços de Nuvem (CSP) Compatível com FedRAMP desde abril de 2016, quando recebemos nossa primeira Autorização para Operar (ATO) do Departamento do Tesouro dos EUA. Desde então, essa certificação se aplica aos nossos clientes no setor federal que utilizam a Plataforma Acquia Cloud e o Acquia Site Factory. Em 2022, adicionamos as funcionalidades do Acquia Site Studio e do Acquia Platform Email ao perímetro do FedRAMP, e em 2023, as versões mais recentes do Acquia Search com Solr 8. A Acquia também obteve uma recomendação positiva de uma organização de avaliação terceirizada (3PAO) do FedRAMP.
Para a Acquia, o FedRAMP permitiu que nossos clientes hospedem aplicações críticas na nuvem, utilizem o Drupal de código aberto e aproveitem nossas capacidades de plataforma como serviço (PaaS) com confiança. Até hoje, permanecemos como a única oferta Drupal não-governamental com certificação FedRAMP.
O governo federal investe centenas de milhões de dólares por ano na segurança do uso de sistemas de TI; o FedRAMP assegura às agências que as práticas apropriadas de segurança e gerenciamento de risco estão implementadas para suas propriedades em nuvem. A conformidade com FedRAMP exige que nossa equipe de segurança garanta que estamos atendendo aos parâmetros necessários.
O que é FedRAMP?
O FedRAMP foi criado em 2011 para estabelecer padrões e eficiências para práticas de segurança em nuvem. O programa governamental oferece uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços em nuvem.
A colaboração estreita de especialistas em nuvem tanto do setor privado quanto das organizações governamentais listadas abaixo deu origem ao FedRAMP:
- Administração de Serviços Gerais (GSA)
- Instituto Nacional de Padrões e Tecnologia (NIST)
- Departamento de Segurança Interna (DHS)
- Departamento de Defesa (DOD)
- Agência de Segurança Nacional (NSA)
- Escritório de Gestão e Orçamento (OMB)
- Conselho Federal de Diretores de Informação (CIO)
Sua criação acelerou a adoção de soluções seguras em nuvem, forneceu um conjunto básico de padrões para aprovação de produtos em nuvem, aumentou a confiança na segurança das soluções em nuvem, garantiu a aplicação consistente de práticas de segurança existentes e aumentou a automação de dados em tempo quase real para monitoramento contínuo.
Como a Acquia obteve uma ATO?
Para obter a Autorização FedRAMP para Operar, a Acquia teve que atender ao conjunto robusto e detalhado de controles de segurança delineados no padrão NIST SP 800-53 Revisão 4. Nossa equipe passou por uma auditoria independente rigorosa de terceiros e processo de aprovação antes de receber a Autorização FedRAMP. O processo incluiu três etapas:
- Avaliação de Segurança
- Alavancagem e Autorização
- Avaliação e Autorização Contínuas
Esses processos FedRAMP são projetados para ajudar as agências a atender aos requisitos da Lei Federal de Gestão de Segurança da Informação de 2002 (FISMA) para sistemas em nuvem e abordar os desafios específicos que os sistemas em nuvem enfrentam ao tentar se tornar compatíveis com FISMA. Uma agência que inicia esse processo com uma plataforma compatível com FedRAMP já implementou certas medidas de segurança que as auxiliarão na obtenção de sua própria ATO.
O que isso significa para você?
O FedRAMP oferece vários benefícios para agências governamentais federais, estaduais e locais, assim como outras aplicações governamentais. Ele oferece uma economia significativa de custo e tempo, bem como uma abordagem uniforme para gestão baseada em risco. O FedRAMP também melhora a visibilidade de segurança em tempo real e aumenta a transparência entre o governo e os CSPs.
Toda aplicação governamental requer uma ATO, mas algumas plataformas — como a Plataforma Acquia Cloud — podem tornar o processo muito mais rápido e acessível. Se sua organização implementa sua aplicação em um data center local, então você precisará de uma ATO para a infraestrutura, plataforma e aplicação. Se você implementou sua aplicação com AWS, que também é compatível com FedRAMP, os controles estão em vigor apenas até o nível IaaS, então sua organização ainda é responsável pela certificação da plataforma e aplicação. Com a Plataforma Acquia, no entanto, os controles FedRAMP estão implementados até o nível PaaS, então sua organização é responsável apenas pela certificação no nível da aplicação.
Portanto, se você é cliente da Acquia, pode aproveitar uma plataforma de primeira linha que é compatível com padrões de segurança federal imediatamente. Seus esforços de Certificação e Credenciamento (C&A) exigirão significativamente menos tempo e custo em comparação com a tentativa de credenciar uma solução local ou mesmo um sistema construído em um IaaS compatível com FedRAMP. Em resumo, você obtém uma plataforma de nuvem segura e protegida para impulsionar sua organização.
De modo geral, com o FedRAMP implementado, sua organização experimenta maior confiabilidade, consistência e qualidade do processo de autorização de segurança federal. Para mais informações sobre a Plataforma Cloud, Site Studio e outros produtos da Acquia para construir e apoiar aplicações Drupal, explore nossas ofertas de Drupal Cloud.
Agências do setor público que desejam saber mais sobre como podem oferecer experiências seguras e personalizadas aos cidadãos podem baixar o e-book gratuito Da Experiência do Cliente à Experiência do Cidadão: Um Roteiro para Agências Governamentais se Tornarem Líderes Digitais.