מקרה בוחן: תאימות דוא"ל לפי סעיף 889 של הממשלה/הפדרלית

ב-Forward Email, אנו מאמינים בהעברת דוא"ל פשוטה, מאובטחת ופרטית לכולם. אנו יודעים שעבור ארגונים רבים, במיוחד אלו שעובדים עם ממשלת ארה"ב, תאימות לתקנות אינה רק מילת מפתח - היא הכרח. אנו מבטיחים עמידה בדרישות תקנות פדרליות לגבי דוא"ל הוא קריטי. לכן אנו גאים לאשר את שלנו העברת דוא"ל מאובטחת השירות בנוי כדי לעמוד בדרישות פדרליות מחמירות, כולל סעיף 889 של ה- חוק הסמכת ההגנה הלאומית (NDAA).

המחויבות שלנו ל תאימות דוא"ל ממשלתית יושם לאחרונה בפועל כאשר האקדמיה הימית של ארה"ב התקרב העברת דוא"להם דרשו העברת דוא"ל מאובטחת שירותים ומסמכים נדרשים המאשרים את עמידתנו בתקנות הפדרליות, כולל תאימות לסעיף 889ניסיון זה משמש כמקרה מבחן חשוב, המדגים את מוכנותנו ויכולתנו לתמוך בארגונים במימון ממשלתי ולעמוד בדרישות המחמירות שלהם. מסירות זו משתרעת על כל המשתמשים שלנו המחפשים שירות אמין, דוא"ל המתמקד בפרטיות פִּתָרוֹן.

הבנת תאימות לסעיף 889

מהו סעיף 889? במילים פשוטות, זהו חוק פדרלי אמריקאי האוסר על סוכנויות ממשלתיות להשתמש או להתקשר עם גופים המשתמשים בציוד או שירותים מסוימים של תקשורת ומעקב וידאו מחברות ספציפיות (כמו Huawei, ZTE, Hikvision, Dahua ו-Hytera). כלל זה, שלעתים קרובות קשור ל... איסור Huawei ו ZTE ב, מסייע בהגנה על הביטחון הלאומי.

[!הערה] סעיף 889 מכוון ספציפית לציוד ושירותים של Huawei, ZTE, Hytera, Hikvision ו-Dahua, כולל חברות הבת והחברות המסונפות שלהן.

עבור שירות העברת דוא"ל עבור חוזים ממשלתיים כְּמוֹ העברת דוא"למשמעות הדבר היא להבטיח שאף אחד מספקי התשתית הבסיסית שלנו לא ישתמש בציוד האסור הזה, מה שגורם לנו תאימות לסעיף 889.

כיצד דוא"ל מורחב משיג תאימות לסעיף 889

כָּך, כיצד תואם סעיף 889 לתקנות העברת דוא"ל? אנו משיגים זאת באמצעות בחירה קפדנית של שותפי התשתית שלנו. העברת דוא"ל מסתמך אך ורק על שני ספקים מרכזיים עבורו תשתית תואמת סעיף 889:

1. Cloudflare: השותף העיקרי שלנו לשירותי רשת ו אבטחת דוא"ל של Cloudflare.
2. DataPacket: הספק העיקרי שלנו לתשתית שרתים (אנו משתמשים אוקיינוס דיגיטלי ו/או Vultr עבור מעבר לגיבוי ובקרוב נעבור לשימוש בלעדי ב-DataPacket - כמובן שאישרנו בכתב את תאימות לסעיף 889 משני ספקי מעבר לגיבוי אלה).

[!חשוב] ההסתמכות הבלעדית שלנו על Cloudflare ו-DataPacket, שאף אחת מהן אינה משתמשת בציוד אסור לפי סעיף 889, היא אבן הפינה של תאימותנו.

שְׁנֵיהֶם Cloudflare ו DataPacket מחויבים לתקני אבטחה גבוהים ואינם משתמשים בציוד האסור לפי סעיף 889. שימוש ב-Cloudflare ו-DataPacket לצורך תאימות לחוק סעיף 889 הוא בסיסי לשירות שלנו.

המחויבות של Cloudflare

Cloudflare פונה במפורש תאימות לסעיף 889 שלהם קוד התנהגות של צד שלישיהם מצהירים:

"על פי סעיף 889 של חוק הרשאות ההגנה הלאומי (NDAA), Cloudflare אינה משתמשת, או מתירה בדרך אחרת בשרשרת האספקה שלה, ציוד טלקומוניקציה, מוצרי מעקב וידאו או שירותים המיוצרים או מסופקים על ידי חברת Huawei Technologies, תאגיד ZTE, תאגיד Hytera Communications, חברת Hangzhou Hikvision Digital Technology או חברת Dahua Technology (או כל חברת בת או חברה קשורה של ישויות כאלה)."

(מקור: קוד ההתנהגות של צד שלישי של Cloudflare, אוחזר ב-29 באפריל 2025)

הצהרה ברורה זו מאשרת זאת קלאודפלייר תשתית, אשר העברת דוא"ל ממונף, עומד בדרישות סעיף 889.

התשתית של DataPacket

DataPacket, ספק השרתים שלנו, משתמש בציוד רשת באופן בלעדי מ אריסטה נטוורקס ו סיסקולא אריסטה ולא סיסקו נמנות עם החברות האסורות לפי סעיף 889. שתיהן ספקיות מבוססות הנמצאות בשימוש נרחב בסביבות ארגוניות וממשלתיות מאובטחות, הידועות בעמידה בתקני אבטחה ותאימות מחמירים.

באמצעות שימוש בלבד Cloudflare ו DataPacket, העברת דוא"ל מבטיח שכל שרשרת אספקת השירותים שלה נקייה מציוד אסור לפי סעיף 889, ומספק העברת דוא"ל מאובטחת עבור סוכנויות פדרליות ומשתמשים אחרים המודעים לאבטחה.

מעבר לסעיף 889: ציות ממשלתי רחב יותר

המחויבות שלנו ל אבטחת דוא"ל ממשלתית והציות לחוקי סעיף 889 משתרע מעבר לסעיף 889. בעוד העברת דוא"ל עצמה אינה מעבדת או מאחסנת ישירות נתונים ממשלתיים רגישים כמו מידע בלתי מסווג מבוקר (CUI) באותו אופן שבו פלטפורמת SaaS גדולה עשויה, שלנו העברת דוא"ל בקוד פתוח ארכיטקטורה והסתמכות על ספקים מאובטחים ותואמים תואמים את עקרונות התקנות המרכזיות האחרות:

• FAR (תקנת רכישה פדרלית): באמצעות שימוש בתשתית תואמת והצעת שירות מסחרי פשוט, אנו מספקים דוא"ל תואם FAR עקרונות שילוח המתאימים לקבלני ממשלה.
• חוק הפרטיות ו FISMA: אנחנו ממוקד פרטיות לפי עיצוב, מציע דוא"ל חוק הפרטיות עקרונות. איננו מאחסנים את האימיילים שלך. האימיילים מועברים ישירות, מה שממזער את הטיפול בנתונים. ספקי התשתית שלנו (Cloudflare, DataPacket) לנהל את המערכות שלהם בהתאם לתקני אבטחה גבוהים התואמים את דוא"ל תואם FISMA עקרונות.
• HIPAA: עבור ארגונים הזקוקים העברת דוא"ל תואמת HIPAA, העברת דוא"ל יכול להיות חלק מפתרון תאימות. מכיוון שאיננו מאחסנים מיילים, האחריות העיקרית לתאימות מוטלת על מערכות הדוא"ל של נקודות הקצה. עם זאת, שכבת התעבורה המאובטחת שלנו תומכת בדרישות HIPAA כאשר נעשה בה שימוש נכון.

[!WARNING] A הסכם שותפים עסקיים (BAA) ייתכן שיהיה צורך עם ספק הדוא"ל הסופי שלך, לא העברת דוא"ל עצמו, מכיוון שאיננו מאחסנים את תוכן הדוא"ל שלך (אלא אם כן אתה משתמש שכבת האחסון המוצפנת שלנו מסוג IMAP/POP3).

הדרך שלנו קדימה: הרחבת אופקי הציות

בעוד שאנו עומדים בדרישות סעיף 889 מספקים בסיס חיוני, במיוחד עבור קבלנים פדרליים, אנו מבינים שלארגונים ולסוכנויות ממשלתיות שונות יש צרכים רגולטוריים מגוונים ומתפתחים. העברת דוא"לשקיפות היא המפתח, ואנחנו רוצים לשתף את נקודת המבט שלנו על נוף הציות הרחב יותר ועל הכיוון העתידי שלנו.

אנו מכירים בחשיבותן של מסגרות ותקנות כגון:

• מערכת לניהול פרסים (SAM): חיוני להתקשרות פדרלית ישירה.
• FAR (תקנת רכישה פדרלית): כולל סעיפים סטנדרטיים כמו FAR 52.212-4 עבור שירותים מסחריים.
• DFARS (תוספת לתקנות רכש פדרליות של ההגנה): בִּמְיוּחָד DFARS 252.239-7010 עבור שירותי ענן של משרד ההגנה.
• CMMC (הסמכת מודל בגרות אבטחת סייבר): נדרש עבור טיפול קבלני משרד ההגנה מידע על חוזים פדרליים (FCI) או CUI.
• NIST SP 800-171: הבסיס ל-CMMC רמה 2, המתמקד בהגנה על CUI.NIST - המכון הלאומי לתקנים וטכנולוגיה)
• FedRAMP (תוכנית ניהול סיכונים והרשאות פדרלית): התקן לשירותי ענן המשמשים סוכנויות פדרליות.
• FISMA (חוק מודרניזציה של אבטחת מידע פדרלי): המסגרת הכוללת לאבטחת מידע פדרלית.
• HIPAA (חוק ניידות ואחריות ביטוח בריאות): לטיפול במידע בריאותי מוגן (PHI).
• FERPA (חוק זכויות חינוך ופרטיות משפחתיות): להגנה על רישומי חינוך התלמידים.
• COPPA (חוק הגנת הפרטיות של ילדים ברשת): עבור שירותים המטפלים בילדים מתחת לגיל 13.

המיקום הנוכחי שלנו ומטרותינו העתידיות:

העבר אימיילים עיצוב ליבה - להיות ממוקד פרטיות, קוד פתוח, ומזעור הטיפול בנתונים (במיוחד בבסיס שלנו העברת דוא"ל שירות) – מתיישב היטב עם עקרונות מאחורי רבות מהתקנות הללו. נוהלי האבטחה הקיימים שלנו (הצפנה, תמיכה בתקני דוא"ל מודרניים) והתאימות לסעיף 889 מספקים נקודת התחלה חזקה.

עם זאת, השגת הסמכה או אישור פורמליים עבור מסגרות כמו פדראמפ אוֹ CMMC זוהי משימה משמעותית. היא כרוכה בתיעוד קפדני, יישום של בקרות טכניות ופרוצדורליות ספציפיות (לעתים קרובות מאות), הערכות עצמאיות (כגון 3PAO עבור FedRAMP - ארגון הערכה של צד שלישי), וניטור מתמשך.

[!חשוב] תאימות אינה רק עניין של טכנולוגיה; מדובר בתהליכים מתועדים, מדיניות וערנות מתמשכת. השגת הסמכות כמו FedRAMP או CMMC דורשת השקעה וזמן משמעותיים.

המחויבות שלנו:

כְּמוֹ העברת דוא"ל גדל וככל שצורכי לקוחותינו מתפתחים, אנו מחויבים לבחון ולחתור לאישורי תאימות רלוונטיים. זה כולל תוכניות עבור:

1. רישום SAM: כדי להקל על קשר ישיר עם סוכנויות פדרליות בארה"ב.
2. פורמליזציה של תהליכים: שיפור התיעוד והנהלים הפנימיים שלנו כך שיתאימו לתקנים כמו NIST SP 800-171, המהווים את הבסיס ל-CMMC.
3. הערכת מסלולי FedRAMP: הערכת הדרישות וההיתכנות של חיפוש אחר אישור FedRAMP, ככל הנראה החל מנקודת בסיס נמוכה או בינונית, תוך מינוף פוטנציאלי של TO-SaaS מודל במידת הצורך.
4. תמיכה בצרכים ספציפיים: התמודדות עם דרישות כמו HIPAA (ייתכן באמצעות BAAs ותצורות ספציפיות לנתונים המאוחסנים) ו-FERPA (באמצעות תנאים חוזיים ובקרות מתאימים) ככל שאנו יוצרים קשרים גוברים עם מוסדות בריאות וחינוך.

מסע זה דורש תכנון והשקעה קפדניים. למרות שאין לנו לוחות זמנים מיידיים לכל ההסמכות, חיזוק עמדת הציות שלנו כדי לענות על צרכי הממשלה והתעשיות המפוקחות הוא חלק מרכזי במפת הדרכים שלנו.

[!הערה] אנו מאמינים שלנו קוד פתוח הטבע מספק שקיפות ייחודית לאורך כל התהליך הזה, ומאפשר לקהילה שלנו וללקוחות שלנו לראות את המחויבות שלנו ממקור ראשון.

נמשיך לעדכן את הקהילה שלנו ככל שנגיע לאבני דרך משמעותיות במסע שלנו לתאימות.

למה זה חשוב לך

בחירת העברת דוא"ל תואמת סעיף 889 שירות כמו העברת דוא"ל אֶמְצָעִי:

• שקט נפשי: במיוחד עבור סוכנויות ממשלתיות, קבלנים וארגונים בעלי מודעות ביטחונית.
• סיכון מופחת: נמנעת מעימותים פוטנציאליים עם תקנות פדרליות לגבי דוא"ל.
• אֵמוּן: מפגין מחויבות לאבטחה ולשלמות שרשרת האספקה.

העברת דוא"ל מספק דרך פשוטה, אמינה ו תואם דרך לנהל את הדומיין המותאם אישית שלך העברת דוא"ל צרכים.

העברת דוא"ל מאובטחת ותואמת מתחילה כאן

העברת דוא"ל מוקדש לספק העברת דוא"ל מאובטחת, פרטית ובקוד פתוח שירות. שלנו עמידה בסעיף 889, שהושג באמצעות שותפותנו עם Cloudflare ו DataPacket (משקף את שלנו תאימות להעברת דוא"ל עבור האקדמיה הימית של ארה"ב עבודה), היא עדות למחויבות זו. בין אם אתם גוף ממשלתי, קבלן, או פשוט בעלי ערך אבטחת דוא"ל ממשלתית, העברת דוא"ל בנוי בשבילך.

מוכן ל העברת דוא"ל מאובטחת ותואמת? הירשמו בחינם עוד היום!

הפניות

• סעיף 889 (חוק ה-DAA): https://www.acquisition.gov/Section-889-Policies
• קלאודפלייר: https://www.cloudflare.com/
• קוד התנהגות של צד שלישי של Cloudflare: https://cf-assets.www.cloudflare.com/slt3lc6tev37/284hiWkCYNc49GQpAeBvGN/e137cdac96d1c4cd403c6b525831d284/Third_Party_Code_of_Conduct.pdf
• חבילת נתונים: https://datapacket.com/
• מערכת לניהול פרסים (SAM): https://sam.gov/
• תקנת רכישה פדרלית (FAR): https://www.acquisition.gov/browse/index/far
• FAR 52.212-4: https://www.acquisition.gov/far/52.212-4
• תוספת לתקנות הרכש הפדרליות של ההגנה (DFARS): https://www.acquisition.gov/dfars
• DFARS 252.239-7010: https://www.acquisition.gov/dfars/252.239-7010-cloud-computing-services.
• הסמכת מודל בגרות של אבטחת סייבר (CMMC): https://dodcio.defense.gov/cmmc/About/
• NIST SP 800-171: https://csrc.nist.gov/pubs/sp/800/171/r3/final
• תוכנית ניהול סיכונים והרשאות פדרלית (FedRAMP): https://www.fedramp.gov/
• חוק מודרניזציית אבטחת המידע הפדרלי (FISMA): https://www.cisa.gov/topics/cybersecurity-best-practices/fisma
• חוק ניידות ואחריות ביטוח בריאות (HIPAA): https://www.hhs.gov/hipaa/index.html
• חוק זכויות חינוך ופרטיות משפחתיות (FERPA): https://studentprivacy.ed.gov/ferpa
• חוק הגנת הפרטיות של ילדים ברשת (COPPA): https://www.ftc.gov/legal-library/browse/rules/childrens-online-privacy-protection-rule-coppa