העברת דוא"ל: פתרון העברת הדוא"ל שלך התואם לסעיף 889
הקדמה
ב-Forward Email, אנו מאמינים בהעברת דוא"ל פשוטה, מאובטחת ופרטית לכולם. אנו יודעים שעבור ארגונים רבים, במיוחד אלו שעובדים עם ממשלת ארה"ב, תאימות היא לא רק מילת מפתח - היא הכרח. הבטחת עמידה בתקנות הפדרליות לדוא"ל היא קריטית. לכן אנו גאים לאשר ששירות העברת הדוא"ל המאובטח שלנו בנוי כדי לעמוד בדרישות פדרליות מחמירות, כולל סעיף 889 של חוק הסמכת ההגנה הלאומית (NDAA).
המחויבות שלנו לתאימות לדוא"ל ממשלתי יושמה לאחרונה כאשר אקדמיית הצי האמריקאי פנתה לForward Email. הם דרשו שירותי העברת דוא"ל מאובטחת ונזקקו לתיעוד המאשר את עמידתנו בתקנות הפדרליות, כולל תאימות לסעיף 889. ניסיון זה משמש כמקרה מבחן חשוב, המדגים את מוכנותנו ויכולתנו לתמוך בארגונים במימון ממשלתי ולעמוד בדרישות המחמירות שלהם. מסירות זו חלה על כל המשתמשים שלנו המחפשים פתרון דוא"ל אמין, ממוקד פרטיות.
הבנת תאימות לסעיף 889
מהו סעיף 889? במילים פשוטות, זהו חוק פדרלי אמריקאי האוסר על סוכנויות ממשלתיות להשתמש או להתקשר עם גופים המשתמשים בציוד או שירותי מעקב וידאו ותקשורת מסוימים מחברות ספציפיות (כמו Huawei, ZTE, Hikvision, Dahua ו-Hytera). כלל זה, שלעתים קרובות מקושר ל-איסור Huawei ול-איסור ZTE, מסייע בהגנה על הביטחון הלאומי.
Note
סעיף 889 מתייחס ספציפית לציוד ושירותים של Huawei, ZTE, Hytera, Hikvision ו-Dahua, כולל חברות הבת והחברות המסונפות שלהן.
עבור שירות העברת דוא"ל עבור חוזים ממשלתיים כמו העברת דוא"ל, משמעות הדבר היא להבטיח שאף אחד מספקי התשתית הבסיסית שלנו לא ישתמש בציוד אסור זה, מה שהופך אותנו לתואמים לסעיף 889.
כיצד דוא"ל המשך משיג תאימות לסעיף 889
אז, כיצד תואם Forward Email Section 889? אנו משיגים זאת באמצעות בחירה קפדנית של שותפי התשתית שלנו. Forward Email מסתמך אך ורק על שני ספקים מרכזיים עבור התשתית התואמת לסעיף 889 שלו:
- קלאודפלאר: השותף העיקרי שלנו לשירותי רשת ו- אבטחת דוא"ל של Cloudflare.
- חבילת נתונים: הספק העיקרי שלנו לתשתית שרתים (אנו משתמשים ב-האוקיינוס הדיגיטלי ו/או וולטר עבור גיבוי לאחר כשל ונעבור בקרוב לשימוש בלעדי ב-DataPacket - כמובן שאישרנו בכתב את תאימות סעיף 889 משני ספקי גיבוי אלה).
Important
ההסתמכות הבלעדית שלנו על Cloudflare ו-DataPacket, שאף אחד מהם אינו משתמש בציוד אסור לפי סעיף 889, היא אבן הפינה של תאימותנו.
גם קלאודפלאר וגם חבילת נתונים מחויבים לתקני אבטחה גבוהים ואינם משתמשים בציוד האסור תחת סעיף 889. השימוש ב-Cloudflare ו-DataPacket לצורך תאימות לסעיף 889 הוא בסיסי לשירות שלנו.
מחויבות Cloudflare
קלאודפלאר מתייחס במפורש ל תאימות לסעיף 889 ב- קוד התנהגות של צד שלישי שלהם. הם מציינים:
"על פי סעיף 889 של חוק הרשאות ההגנה הלאומי (NDAA), Cloudflare אינה משתמשת, או מתירה בדרך אחרת בשרשרת האספקה שלה, ציוד טלקומוניקציה, מוצרי מעקב וידאו או שירותים המיוצרים או מסופקים על ידי חברת Huawei Technologies, תאגיד ZTE, תאגיד Hytera Communications, חברת Hangzhou Hikvision Digital Technology או חברת Dahua Technology (או כל חברת בת או חברה קשורה של ישויות כאלה)."
(מקור: קוד ההתנהגות של צד שלישי של Cloudflare, אוחזר ב-29 באפריל 2025)
הצהרה ברורה זו מאשרת כי תשתית קלאודפלייר, אשר Forward Email ממנפת, עומדת בדרישות סעיף 889.
תשתית DataPacket
חבילת נתונים, ספק השרתים שלנו, משתמש בציוד רשת באופן בלעדי של Arista Networks ו-Cisco. לא Arista ולא Cisco נמנות עם החברות האסורות תחת סעיף 889. שתיהן ספקיות מבוססות הנמצאות בשימוש נרחב בסביבות ארגוניות וממשלתיות מאובטחות, הידועות בעמידה בתקני אבטחה ותאימות מחמירים.
באמצעות קלאודפלאר ו-חבילת נתונים בלבד, Forward Email מבטיחה שכל שרשרת אספקת השירותים שלה נקייה מציוד אסור לפי סעיף 889, ומספקת העברת דוא"ל מאובטחת לסוכנויות פדרליות ולמשתמשים אחרים בעלי מודעות אבטחה.
מעבר לסעיף 889: תאימות ממשלתית רחבה יותר
המחויבות שלנו לאבטחת דוא"ל ממשלתית ותאימות לחוקי התקנות חורגת מעבר לסעיף 889. בעוד שהעברת דוא"ל עצמה אינה מעבדת או מאחסנת ישירות נתונים ממשלתיים רגישים כמו מידע בלתי מסווג מבוקר (CUI) באותו אופן שבו פלטפורמת SaaS גדולה עשויה לעבד או לאחסן, ארכיטקטורת העברת הדוא"ל בקוד פתוח שלנו וההסתמכות על ספקים מאובטחים ותואמים תואמים את עקרונות התקנות המרכזיות האחרות:
- FAR (תקנת רכישה פדרלית): באמצעות תשתית תואמת והצעת שירות מסחרי פשוט, אנו מספקים עקרונות העברת דוא"ל תואמים ל-FAR המתאימים לקבלני ממשלה.
- חוק הפרטיות ו-FISMA: אנו ממוקדים בפרטיות בעיצובנו, ומציעים עקרונות חוק הפרטיות של דוא"ל. איננו מאחסנים את הדוא"ל שלכם. הדוא"ל מועבר ישירות, מה שממזער את הטיפול בנתונים. ספקי התשתית שלנו (קלאודפלאר, חבילת נתונים) מנהלים את המערכות שלהם בהתאם לתקני אבטחה גבוהים התואמים לעקרונות דוא"ל תואמי FISMA.
- HIPAA: עבור ארגונים הזקוקים להעברת דוא"ל תואמת HIPAA, העברת דוא"ל יכולה להיות חלק מפתרון תואם. מכיוון שאיננו מאחסנים דוא"ל, האחריות העיקרית לתאימות מוטלת על מערכות הדוא"ל של נקודת הקצה. עם זאת, שכבת התעבורה המאובטחת שלנו תומכת בדרישות HIPAA כאשר נעשה בה שימוש נכון.
Warning
ייתכן שיידרש הסכם שותפים עסקיים (BAA) אצל ספק הדוא"ל הסופי שלך, ולא אצל העברת דוא"ל עצמו, מכיוון שאיננו מאחסנים את תוכן הדוא"ל שלך (אלא אם כן אתה משתמש ב-שכבת האחסון המוצפנת שלנו מסוג IMAP/POP3).
הדרך שלנו קדימה: הרחבת אופקי התאימות
בעוד שאנו עומדים בדרישות סעיף 889 מספקים בסיס חיוני, במיוחד עבור קבלנים פדרליים, אנו מבינים שלארגונים ולסוכנויות ממשלתיות שונות יש צרכים רגולטוריים מגוונים ומתפתחים. ב-Forward Email, שקיפות היא המפתח, ואנו רוצים לשתף את נקודת המבט שלנו על נוף הציות הרחב יותר ועל הכיוון העתידי שלנו.
אנו מכירים בחשיבותן של מסגרות ותקנות כגון:
- מערכת לניהול פרסים (SAM): חיוני להתקשרויות פדרליות ישירות.
- FAR (תקנת רכישה פדרלית): כולל סעיפים סטנדרטיים כמו FAR 52.212-4 עבור שירותים מסחריים.
- DFARS (תוספת לתקנות רכש פדרליות של ההגנה): במיוחד DFARS 252.239-7010 עבור שירותי ענן של משרד ההגנה.
- CMMC (הסמכת מודל בגרות אבטחת סייבר): נדרש עבור קבלני משרד ההגנה המטפלים ב-מידע על חוזים פדרליים (FCI) או CUI.
- NIST SP 800-171: הבסיס ל-CMMC רמה 2, המתמקד בהגנה על CUI. (NIST - המכון הלאומי לתקנים וטכנולוגיה)
- FedRAMP (תוכנית ניהול סיכונים והרשאות פדרלית): התקן לשירותי ענן המשמשים סוכנויות פדרליות.
- __PROTECTED_LINK_77__0: המסגרת הכוללת לאבטחת מידע פדרלית.
- __PROTECTED_LINK_77__1: לטיפול במידע בריאותי מוגן (PHI).
- __PROTECTED_LINK_77__2: להגנה על רישומי חינוך תלמידים.
- __PROTECTED_LINK_77__3: לשירותים העוסקים בילדים מתחת לגיל 13.
המיקום הנוכחי שלנו ומטרותינו העתידיות:
העיצוב המרכזי של העברת דוא"ל – להיות ממוקד בפרטיות, קוד פתוח ולמזער את הטיפול בנתונים (במיוחד בשירות העברת הדוא"ל הבסיסי שלנו) – תואם היטב את העקרונות העומדים מאחורי רבות מהתקנות הללו. נוהלי האבטחה הקיימים שלנו (הצפנה, תמיכה בתקני דוא"ל מודרניים) ותאימות לסעיף 889 מספקים נקודת התחלה חזקה.
עם זאת, השגת הסמכה או אישור פורמליים עבור מסגרות כמו FedRAMP או CMMC היא משימה משמעותית. היא כרוכה בתיעוד קפדני, יישום של בקרות טכניות ופרוצדורליות ספציפיות (לעתים קרובות מאות מהן), הערכות עצמאיות (כמו 3PAO עבור FedRAMP - ארגון הערכה של צד שלישי), וניטור מתמשך.
Important
תאימות אינה רק עניין של טכנולוגיה; מדובר בתהליכים מתועדים, מדיניות וערנות מתמשכת. השגת הסמכות כמו FedRAMP או CMMC דורשת השקעה וזמן משמעותיים.
המחויבות שלנו:
ככל ש העברת דוא"ל גדלה וככל שצורכי לקוחותינו מתפתחים, אנו מחויבים לבחון ולחתור לאישורי תאימות רלוונטיים. זה כולל תוכניות עבור:
- רישום SAM: כדי להקל על מעורבות ישירה עם סוכנויות פדרליות בארה"ב.
- פורמליזציה של תהליכים: שיפור התיעוד והנהלים הפנימיים שלנו כדי להתיישר עם סטנדרטים כמו NIST SP 800-171, המהווים את הבסיס ל-CMMC.
- הערכת מסלולי FedRAMP: הערכת הדרישות וההיתכנות של חיפוש אחר אישור FedRAMP, ככל הנראה החל מנקודת בסיס נמוכה או בינונית, תוך מינוף פוטנציאלי של מודל TO-SaaS במידת הצורך.
- תמיכה בצרכים ספציפיים: מענה לדרישות כמו HIPAA (ייתכן באמצעות BAAs ותצורות ספציפיות לנתונים מאוחסנים) ו-FERPA (באמצעות תנאים ובקרות חוזיים מתאימים) ככל שאנו מעורבים יותר עם מוסדות בריאות וחינוך.
מסע זה דורש תכנון והשקעה קפדניים. למרות שאין לנו לוחות זמנים מיידיים לכל ההסמכות, חיזוק עמדת הציות שלנו כדי לענות על צרכי הממשלה והתעשיות המפוקחות הוא חלק מרכזי במפת הדרכים שלנו.
Note
אנו מאמינים שהאופי שלנו כקוד פתוח מספק שקיפות ייחודית לאורך כל התהליך הזה, ומאפשר לקהילה וללקוחות שלנו לראות את המחויבות שלנו ממקור ראשון.
נמשיך לעדכן את הקהילה שלנו ככל שנגיע לאבני דרך משמעותיות במסע שלנו לתאימות.
למה זה חשוב לך
בחירת שירות העברת דוא"ל התואם לסעיף 889 כמו העברת דוא"ל משמעותה:
- שקט נפשי: במיוחד עבור סוכנויות ממשלתיות, קבלנים וארגונים בעלי מודעות לאבטחה.
- סיכון מופחת: מונע התנגשויות פוטנציאליות עם תקנות פדרליות לדוא"ל.
- אמון: מדגים מחויבות לאבטחה ולשלמות שרשרת האספקה.
העברת דוא"ל מספקת דרך פשוטה, אמינה ותואמת לניהול צרכי העברת הדוא"ל של הדומיין המותאם אישית שלך.
העברת דוא"ל מאובטחת ותואמת מתחילה כאן
Forward Email מחויבת לספק שירות העברת דוא"ל מאובטח, פרטי ובקוד פתוח. הציות שלנו לסעיף 889, שהושג באמצעות שותפותנו עם קלאודפלאר ו- חבילת נתונים (המשקף את **הציות שלנו ל-Delivery Email עבור עבודת האקדמיה הימית של ארה"ב), הוא עדות למחויבות זו. בין אם אתם גוף ממשלתי, קבלן, או פשוט מעריכים אבטחת דוא"ל ממשלתית, Forward Email בנוי בשבילכם.
מוכן להעברת דוא"ל מאובטחת ותואמת? הירשמו בחינם עוד היום!
הפניות
- סעיף 889 (NDAA): https://www.acquisition.gov/Section-889-Policies
- Cloudflare: https://www.cloudflare.com/
- קוד התנהגות של צד שלישי ב-Cloudflare: https://cf-assets.www.cloudflare.com/slt3lc6tev37/284hiWkCYNc49GQpAeBvGN/e137cdac96d1c4cd403c6b525831d284/Third_Party_Code_of_Conduct.pdf
- חבילת נתונים: https://datapacket.com/
- מערכת לניהול פרסים (SAM): https://sam.gov/
- תקנת רכש פדרלית (FAR): https://www.acquisition.gov/browse/index/far
- FAR 52.212-4: https://www.acquisition.gov/far/52.212-4
- תוספת לתקנת רכש פדרלית של ההגנה (DFARS): https://www.acquisition.gov/dfars
- DFARS 252.239-7010: https://www.acquisition.gov/dfars/252.239-7010-cloud-computing-services.
- הסמכת מודל בגרות של אבטחת סייבר (CMMC): https://dodcio.defense.gov/cmmc/About/
- NIST SP 800-171: https://www.cloudflare.com/0
- תוכנית ניהול סיכונים והרשאות פדרלית (FedRAMP): https://www.cloudflare.com/1
- חוק מודרניזציה של אבטחת מידע פדרלית (FISMA): https://www.cloudflare.com/2
- חוק ניידות ואחריות ביטוח בריאות (HIPAA): https://www.cloudflare.com/3
- חוק זכויות חינוך ופרטיות משפחתיות (FERPA): https://www.cloudflare.com/4
- חוק הגנת הפרטיות של ילדים ברשת (COPPA): https://www.cloudflare.com/5