Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Descrição geral do FedRAMP
O FedRAMP (Federal Risk and Authorization Management Program) dos EUA fornece uma abordagem padronizada para avaliar, monitorizar e autorizar produtos e serviços de computação na cloud ao abrigo da Lei Federal de Gestão de Segurança de Informações (FISMA). Acelera a adoção de soluções de cloud seguras por parte das agências federais.
O Gabinete de Gestão e Orçamento exige agora que todas as agências federais executivas utilizem o FedRAMP para validar a segurança dos serviços cloud. Outras agências também o adoptaram, pelo que também é útil noutras áreas do sector público. O SP 800-53 do Instituto Nacional de Normas e Tecnologia (NIST) define as normas obrigatórias. Estabelece categorias de segurança de sistemas de informação (confidencialidade, integridade e disponibilidade) para avaliar o potencial impacto numa organização caso os seus sistemas de informações e informações sejam comprometidos. O FedRAMP é o programa que certifica que um fornecedor de serviços cloud (CSP) cumpre essas normas.
Os CSPs que pretendam vender serviços a uma agência federal podem seguir três caminhos para demonstrar a conformidade com a FedRAMP:
- Obtenha uma Autoridade Provisória para Operar (P-ATO) a partir do Conselho de Autorização Conjunta (JAB). O JAB é o principal órgão de governação e tomada de decisões da FedRAMP. Representantes do Departamento de Defesa, do Departamento de Segurança Interna, e da Administração de Serviços Gerais servem no conselho. O conselho concede uma P-ATO aos CSPs que demonstram a conformidade da FedRAMP.
- Receba uma Autoridade para Operar (ATO) de uma agência federal.
- Trabalhe de forma independente para desenvolver um Pacote Fornecido do CSP que cumpra os requisitos do programa.
Cada um destes caminhos requer uma revisão técnica rigorosa do Gabinete de Gestão de Programas fedRAMP (PMO) e uma avaliação por parte de uma organização independente de terceiros que o programa acredita.
As autorizações fedRAMP são concedidas em três níveis de impacto com base nas diretrizes NIST, baixas, médias e altas. Estes níveis classificam o impacto que a perda de confidencialidade, integridade ou disponibilidade pode ter numa organização — baixo (efeito limitado), médio (efeito adverso grave) e elevado (efeito grave ou catastrófico).
Microsoft e FedRAMP
Os serviços cloud governamentais da Microsoft, incluindo Azure Governamental, Dynamics 365 Governo e Office 365 Governo dos EUA cumprem os requisitos exigentes do Programa Federal de Gestão de Risco e Autorização (FedRAMP) dos EUA. As agências federais dos EUA beneficiam da poupança de custos e da segurança rigorosa da Microsoft Cloud.
Os serviços cloud governamentais da Microsoft oferecem aos clientes do setor público um vasto conjunto de serviços em conformidade com o FedRAMP, bem como ferramentas robustas de orientação e implementação, incluindo o esquema FedRAMP High, que ajuda os clientes a implementar um conjunto central de políticas para qualquer arquitetura implementada Azure que tenha de implementar controlos FedRAMP High.
Plataformas e serviços na cloud no âmbito da Microsoft
- Azure e Azure Governamental
- Dynamics 365 Governo dos E.U.A.
- Intune
- Office 365 (Governo dos E.U.A., Governo dos E.U.A. - Alto, Defesa do Governo dos E.U.A.)
- Serviço de nuvem do Power BI como um serviço autônomo ou incluído em um plano ou pacote do Office 365
- Windows 365 (Governo dos E.U.A., Governo dos E.U.A. - Alto)
Azure, Dynamics 365 e FedRAMP
Para obter mais informações sobre Azure, Dynamics 365 e outros serviços online conformidade, veja a oferta fedRAMP Azure.
Office 365 e FedRAMP
- Office 365 Governo dos E.U.A. (GCC e GCCH) têm ATOs de agências dos EUA. Para obter mais informações, veja as entradas do FedRAMP Marketplace para GCC e GCCH.
- Office 365 Defesa do Governo dos E.U.A. tem um P-ATO da Agência de Sistemas de Informação de Defesa dos EUA (DISA). Se quiser implementar Office 365 Defesa do Governo dos E.U.A., pode utilizar a DISA P-ATO para gerar uma AGÊNCIA ATO para documentar a sua aceitação.
Ambientes do Office 365
Microsoft Office 365 é uma plataforma cloud de hiperescala multi-inquilino e uma experiência integrada de aplicações e serviços disponíveis para clientes em várias regiões em todo o mundo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados de clientes para outras regiões dentro da mesma área geográfica (por exemplo, o Estados Unidos) para resiliência de dados, mas a Microsoft não replica dados de clientes fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Office 365 Government Community Cloud (GCC): listado no marketplace fedRAMP como Office 365 (Comercial) e também conhecido como Office 365 Multi-inquilino e o ambiente GCC. Office 365 serviço cloud GCC está disponível para Estados Unidos governos federais, estaduais, locais e tribais e empreiteiros que detetam ou processam dados em nome do Governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
A sua organização é responsável por garantir a conformidade com todas as leis e regulamentos aplicáveis. As informações fornecidas nesta secção não constituem aconselhamento jurídico. Consulte os consultores jurídicos para obter perguntas sobre a conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| GCC | Serviço de Feed de Atividades, Serviços Bing, Bookings, Delve, Exchange Online, Proteção do Exchange Online, Infraestrutura, Serviços Inteligentes, Microsoft Teams, Office 365 Portal do Cliente, Office Online, Serviço do Office, Relatórios de Utilização do Office, OneDrive for Business, Cartão Pessoas, SharePoint Online, Skype for Business Windows Ink |
| GCC Alta | Serviço de Feed de Atividades, Serviços Bing, Bookings, Exchange Online, Proteção do Exchange Online, Serviços Inteligentes, Microsoft Teams, Office 365 Portal do Cliente, Office Online, Infraestrutura de Serviço do Office, Relatórios de Utilização do Office, OneDrive for Business, Cartão Pessoas, SharePoint Online, Skype for Business Windows Ink |
| DoD | Serviço de Feed de Atividades, Serviços Bing, Bookings, Proteção do Exchange Online, Exchange Online, Serviços Inteligentes, Microsoft Teams, Office 365 Portal do Cliente, Office Online, Infraestrutura de Serviço do Office, Relatórios de Utilização do Office, OneDrive for Business, Cartão Pessoas, SharePoint Online, Skype for Business Windows Ink |
Auditorias Office 365, relatórios e certificados
A Microsoft recertifica os seus serviços cloud todos os anos para manter os seus P-ATOs e ATOs. Para tal, a Microsoft monitoriza e avalia continuamente os respetivos controlos de segurança e demonstra que a segurança dos respetivos serviços permanece em conformidade.
Perguntas frequentes
Os serviços cloud da Microsoft estão em conformidade com a Lei Federal de Gestão de Segurança de Informações (FISMA)?
A FISMA é a lei federal que exige que as agências federais dos EUA e os seus parceiros obtenham sistemas e serviços de informação apenas de organizações que cumpram os requisitos do FISMA. A maioria das agências e respetivos fornecedores que indicam que estão em conformidade com a FISMA estão a referir-se à forma como cumprem os controlos identificados pelo NIST na Publicação Especial 800-53 rev 4. O processo FISMA (mas não as próprias normas subjacentes) foi substituído pela FedRAMP em 2011.
A quem se aplica o FedRAMP?
O FedRAMP é obrigatório para implementações na cloud da agência federal e modelos de serviço nos níveis de impacto de risco baixo e moderado. Qualquer agência federal que queira envolver um CSP pode ser obrigada a cumprir as especificações da FedRAMP. Além disso, as empresas que empregam tecnologias de cloud em produtos ou serviços utilizados pelo governo federal podem ser obrigadas a obter uma ATO.
Onde é que a minha agência inicia o seu próprio esforço de conformidade?
Para obter uma descrição geral dos passos que as agências federais devem tomar para navegar com sucesso na FedRAMP e cumprir os seus requisitos, aceda a Autorização da Agência Rev5.
Posso utilizar a conformidade da Microsoft no processo de autorização da minha agência?
Sim. Pode utilizar as certificações dos serviços cloud da Microsoft como base para qualquer programa ou iniciativa que exija uma ATO de uma agência governamental federal. No entanto, tem de obter as suas próprias autorizações para componentes fora destes serviços.
Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco
O Gestor de Conformidade do Microsoft Purview é uma funcionalidade no portal do Microsoft Purview que o ajuda a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.