Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Descrição geral do DFARS
Em 21 de outubro de 2016, o Departamento de Defesa (DoD) emitiu a sua regra final alterando o Suplemento federal de aquisição de defesa (DFARS) e impondo obrigações de salvaguarda e relatório de incidentes cibernéticos sobre empreiteiros de defesa cujos sistemas de informação processam, armazenam ou transmitem informações de defesa cobertas (CDI).
A cláusula DFARS final 252.204-7012 (Safeguarding Covered Defense Information and Cyber Incident Reporting) especifica salvaguardas para incluir requisitos de relatórios de incidentes cibernéticos e outras considerações para fornecedores de serviços cloud. De acordo com o DFARS 252.204-7012, todos os empreiteiros do DoD e a base industrial de defesa são obrigados a cumprir os requisitos da DFARS para uma segurança adequada "logo que seja prático, mas não mais do que 31 de dezembro de 2017".
Microsoft e DFARS
Os serviços Cloud do Microsoft Government ajudam os clientes da base industrial de defesa e da defesa Estados Unidos a cumprir os requisitos de DFARS, conforme enumerados nas cláusulas DFARS 252.204-7012 que se aplicam aos fornecedores de serviços cloud. Quando os empreiteiros de defesa são obrigados a cumprir a cláusula DFARS 252.204-7012 em contratos, a Microsoft pode suportar os requisitos aplicáveis aos fornecedores de serviços cloud para Azure Governamental e Office 365 serviços de Defesa do Governo dos EUA. Ambos os serviços demonstram suporte para as capacidades necessárias para que os clientes cumpram as cláusulas DFARS 7012 através da acreditação L5 para o Guia de Requisitos de Segurança do Departamento de Defesa.
Plataformas e serviços em nuvem no escopo da Microsoft
Serviços cobertos para Impacto do DoD Nível 5
- Azure e Azure Governamental
- Office 365 Governo dos E.U.A. e Office 365 Defesa do Governo dos EUA
Azure, Dynamics 365 e DFARS
Para obter mais informações sobre Azure, Dynamics 365 e outras serviços online conformidade, veja a oferta Azure DFARS.
Office 365 e DFARS
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| GCC | Microsoft Entra ID, Gestor de Conformidade, Delve, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, suplemento Conformidade Avançada do Office 365 Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business Stream |
| GCC Alta | Microsoft Entra ID, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, suplemento Conformidade Avançada do Office 365 Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online Skype for Business |
| DoD | Microsoft Entra ID, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, suplemento Conformidade Avançada do Office 365 Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive, Planner, Power BI, SharePoint Online Skype for Business |
Auditorias Office 365, relatórios e certificados
Perguntas frequentes
Que requisitos do DFARS Office 365 a Defesa do Governo dos EUA suporta?
Office 365 Defesa do Governo dos EUA permite que os nossos clientes da base industrial de defesa e do empreiteiro de defesa cumpram os requisitos DFARS descritos nas cláusulas DFARS de 252.204-7012 que se aplicam aos fornecedores de serviços cloud.
Um avaliador independente validou que Office 365 Defesa do Governo dos EUA apoia os requisitos do DFARS?
Sim, uma organização de avaliação de terceiros atesta que a oferta Office 365 serviço cloud de Defesa do Governo dos EUA cumpre os requisitos aplicáveis da Cláusula DFARS 252.204-7012 (Salvaguarda de Informações Técnicas Não Classificadas).
Qual é a relação entre as Informações Não Classificadas Controladas (CUI) e as informações de defesa abrangidas (CDI)?
A CUI é uma informação que exige a salvaguarda ou a divulgação de controlos de acordo com a lei, a regulamentação ou a política a nível governamental. O Registo CUI identifica as categorias e subcategorias CUI aprovadas.
O CDI é uma informação técnica controlada ou outras informações (conforme descrito no Registo CUI) que requerem controlos de salvaguarda ou de divulgação e são:
- Marcado ou identificado de outra forma no contrato, no pedido de tarefa ou na ordem de entrega, e fornecido ao empreiteiro por ou em nome do DoD em relação ao desempenho do contrato.
ou
- Recolhidos, desenvolvidos, recebidos, transmitidos, utilizados ou armazenados por ou em nome do empreiteiro em apoio ao desempenho do contrato
Todos os serviços Microsoft Office 365 cumprem os requisitos de "segurança adequada" aplicáveis às "informações de defesa abrangidas" ao abrigo do regulamento DFARS?
Em outubro de 2016, o Departamento de Defesa (DoD) promulgou uma regra final que implementa cláusulas DFARS (Defense Federal Acquisition Regulation Supplement) que se aplicam a todos os empreiteiros do DoD que processam, armazenam ou transmitem "informações de defesa cobertas" através dos seus sistemas de informação. A regra indica que esses sistemas têm de cumprir os requisitos de segurança definidos no NIST SP 800-171, Proteger Informações Não Classificadas Controladas em sistemas e organizações de informação nãonfederal ou uma "medida de segurança alternativa, mas igualmente eficaz" aprovada pelo responsável pela contratação do DoD. E quando um empreiteiro do DoD utiliza um fornecedor de serviços cloud externo para processar, armazenar ou transmitir informações de defesa abrangidas; esse fornecedor tem de cumprir os requisitos de segurança equivalentes à linha de base FedRAMP Moderate.
Os seguintes serviços cloud Microsoft Office 365 têm uma autorização moderada fedRAMP e são adequados para o DFARS: Office 365 Governo dos EUA e Office 365 Defesa do Governo dos EUA.
Além disso, as ofertas da Microsoft fora do limite certificado pela FedRAMP que os empreiteiros do DoD podem potencialmente utilizar para processar, armazenar ou transmitir "informações de defesa cobertas" estão a ser submetidas a uma revisão para cumprir um prazo de conformidade de 31 de dezembro de 2017. A Microsoft está a trabalhar para documentar como estes serviços internos e orientados para o cliente estão em conformidade com o NIST SP 800-171 ou um equivalente de segurança aceitável, para cumprir as cláusulas relevantes do DFARS.
Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco
O Gestor de Conformidade do Microsoft Purview é uma funcionalidade no portal do Microsoft Purview que o ajuda a compreender a postura de conformidade da sua organização e a tomar medidas para reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.