Casestudie: Samsvar med e-post i henhold til paragraf 889 i henhold til myndighets-/føderal lov

Skrevet av

Forward Email Team

Publisert

6/1/25

Tid til å lese

Mindre enn 5 minutter

Hos Forward Email tror vi på enkel, sikker og privat videresending av e-post for alle. Vi vet at for mange organisasjoner, spesielt de som jobber med den amerikanske regjeringen, er samsvar ikke bare et moteord – det er en nødvendighet. Sikre overholdelse av føderale forskrifter for e-post er avgjørende. Derfor er vi stolte av å bekrefte at vår sikker videresending av e-post tjenesten er bygget for å oppfylle strenge føderale krav, inkludert Seksjon 889 av Lov om nasjonal forsvarsautorisasjon (NDAA).

Vår forpliktelse til samsvar med myndighetenes e-post ble nylig satt i praksis da Det amerikanske marineakademiet nærmet seg Videresend E-postDe krevde sikker videresending av e-post tjenester og nødvendig dokumentasjon som bekrefter at vi overholder føderale forskrifter, inkludert Samsvar med paragraf 889Denne erfaringen fungerer som en verdifull casestudie, som demonstrerer vår beredskap og evne til å støtte statlig finansierte organisasjoner og oppfylle deres strenge krav. Denne dedikasjonen gjelder for alle våre brukere som søker en pålitelig, personvernfokusert e-post løsning.

Forstå samsvar med paragraf 889

Hva er paragraf 889? Enkelt sagt er det en amerikansk føderal lov som forbyr offentlige etater å bruke eller inngå kontrakter med enheter som bruker bestemt telekommunikasjons- og videoovervåkingsutstyr eller -tjenester fra bestemte selskaper (som Huawei, ZTE, Hikvision, Dahua og Hytera). Denne regelen, ofte assosiert med Huawei forbud og ZTE i, bidrar til å beskytte nasjonal sikkerhet.

[!MERK] Paragraf 889 retter seg spesifikt mot utstyr og tjenester fra Huawei, ZTE, Hytera, Hikvision og Dahua, inkludert deres datterselskaper og tilknyttede selskaper.

For en e-postvideresendingstjeneste for offentlige kontrakter like Videresend E-post, betyr dette at vi sørger for at ingen av våre underliggende infrastrukturleverandører bruker dette forbudte utstyret, noe som gjør oss I samsvar med paragraf 889.

Hvordan videresendt e-post oppnår samsvar med paragraf 889

Så, Hvordan er videresending av e-post i samsvar med paragraf 889? Vi oppnår dette gjennom nøye utvelgelse av våre infrastrukturpartnere. Videresend E-post er utelukkende avhengig av to nøkkelleverandører for sin Infrastruktur i samsvar med paragraf 889:

Cloudflare: Vår primære partner for nettverkstjenester og Cloudflare e-postsikkerhet.
Datapakke: Vår primære leverandør av serverinfrastruktur (vi bruker Digitalt hav og/eller Vultr for failover og vil snart gå over til utelukkende å bruke DataPacket – selvfølgelig bekreftet vi samsvar med paragraf 889 skriftlig fra begge disse failover-leverandørene).

[!VIKTIG] Vår utelukkende avhengighet av Cloudflare og DataPacket, som ikke bruker utstyr som er forbudt i henhold til paragraf 889, er hjørnesteinen i vår overholdelse av regelverket.

Både Cloudflare og Datapakke er forpliktet til høye sikkerhetsstandarder og bruker ikke utstyr som er forbudt i henhold til paragraf 889. Bruk av Cloudflare og DataPacket for samsvar med paragraf 889 er grunnleggende for tjenesten vår.

Cloudflares forpliktelse

Cloudflare adresserer eksplisitt Samsvar med paragraf 889 i deres Tredjeparts etiske retningslinjerDe oppgir:

«I henhold til paragraf 889 i National Defense Authorization Act (NDAA) bruker ikke Cloudflare, eller tillater på annen måte i sin forsyningskjede, telekommunikasjonsutstyr, videoovervåkingsprodukter eller -tjenester produsert eller levert av Huawei Technologies Company, ZTE Corporation, Hytera Communications Corporation, Hangzhou Hikvision Digital Technology Company eller Dahua Technology Company (eller datterselskaper eller tilknyttede selskaper av slike enheter).»

(Kilde: Cloudflares tredjeparts etiske retningslinjer, hentet 29. april 2025)

Denne klare uttalelsen bekrefter at Cloudflares infrastruktur, som Videresend E-post gearing, oppfyller kravene i paragraf 889.

DataPackets infrastruktur

Datapakke, vår serverleverandør, bruker nettverksutstyr utelukkende fra Arista Networks og CiscoVerken Arista eller Cisco er blant selskapene som er forbudt i henhold til paragraf 889. Begge er etablerte leverandører som er mye brukt i sikre bedrifts- og myndighetsmiljøer, og er kjent for å overholde strenge sikkerhets- og samsvarsstandarder.

Ved å kun bruke Cloudflare og Datapakke, Videresend E-post sørger for at hele tjenesteleveringskjeden er fri for utstyr som er forbudt i henhold til paragraf 889, og gir sikker videresending av e-post for føderale etater og andre sikkerhetsbevisste brukere.

Utover paragraf 889: Bredere samsvar fra myndighetene

Vår forpliktelse til myndigheters e-postsikkerhet og samsvar går utover paragraf 889. Selv om Videresend E-post behandler eller lagrer ikke direkte sensitive myndighetsdata som Kontrollert uklassifisert informasjon (CUI) på samme måte som en stor SaaS-plattform kan, vår videresending av e-post med åpen kildekode arkitektur og avhengighet av sikre, kompatible leverandører er i samsvar med prinsippene i andre viktige forskrifter:

FAR (føderal anskaffelsesforskrift): Ved å bruke kompatibel infrastruktur og tilby en enkel kommersiell tjeneste, tilbyr vi FAR-kompatibel e-post spedisjonsprinsipper som passer for offentlige entreprenører.
Personvernloven og FISMA: Vi er personvernfokusert med design, tilbyr E-post om personvernloven prinsipper. Vi lagrer ikke e-postene dine. E-poster videresendes direkte, noe som minimerer datahåndtering. Våre infrastrukturleverandører (Cloudflare, Datapakke) administrere systemene sine i henhold til høye sikkerhetsstandarder i samsvar med FISMA-kompatibel e-post prinsipper.
HIPAA: For organisasjoner som trenger HIPAA-kompatibel videresending av e-post, Videresend E-post kan være en del av en kompatibel løsning. Siden vi ikke lagrer e-post, ligger det primære ansvaret for samsvar hos sluttpunktets e-postsystemer. Vårt sikre transportlag støtter imidlertid HIPAA-krav når det brukes riktig.

[!WARNING] A Avtale for forretningspartnere (BAA) kan være nødvendig med din endelige e-postleverandør, ikke Videresend E-post seg selv, ettersom vi ikke lagrer e-postinnholdet ditt (med mindre du bruker vårt krypterte IMAP/POP3-lagringslag).

Vår vei videre: Utvidelse av samsvarshorisonter

Selv om vår samsvar med paragraf 889 gir et avgjørende grunnlag, spesielt for føderale entreprenører, forstår vi at ulike organisasjoner og offentlige etater har ulike og utviklende regulatoriske behov. Videresend E-post, åpenhet er nøkkelen, og vi ønsker å dele vårt perspektiv på det bredere samsvarslandskapet og vår fremtidige retning.

Vi erkjenner viktigheten av rammeverk og regelverk som:

System for tildelingshåndtering (SAM): Viktig for direkte føderal kontraktering.
FAR (føderal anskaffelsesforskrift): Inkludert standardklausuler som FAR 52.212-4 for kommersielle tjenester.
DFARS (Tillegg til forsvarets føderale anskaffelsesforskrift): Særlig DFARS 252.239-7010 for DoD-skytjenester.
CMMC (sertifisering for modenhetsmodell for cybersikkerhet): Påkrevd for håndtering av DoD-kontraktører Føderal kontraktsinformasjon (FCI) eller CUI.
NIST SP 800-171: Grunnlaget for CMMC nivå 2, fokusert på å beskytte CUI. (NIST - Nasjonalt institutt for standarder og teknologi)
FedRAMP (føderalt program for risiko- og autorisasjonsstyring): Standarden for skytjenester som brukes av føderale etater.
FISMA (føderal lov om modernisering av informasjonssikkerhet): Det overordnede rammeverket for føderal informasjonssikkerhet.
HIPAA (loven om helseforsikringsportabilitet og ansvarlighet): For håndtering av beskyttet helseinformasjon (PHI).
FERPA (Familieloven om utdanningsrettigheter og personvern): For å beskytte studenters utdanningsjournaler.
COPPA (Lov om beskyttelse av barns personvern på nett): For tjenester som omhandler barn under 13 år.

Vår nåværende posisjon og fremtidige mål:

Videresend e-poster kjernedesign – å være personvernfokusert, åpen kildekodeog minimere datahåndtering (spesielt i vår grunnleggende videresending av e-post tjeneste) – stemmer godt overens med prinsipper bak mange av disse forskriftene. Våre eksisterende sikkerhetsrutiner (kryptering, støtte for moderne e-poststandarder) og samsvar med paragraf 889 gir et sterkt utgangspunkt.

Det å oppnå formell sertifisering eller autorisasjon for rammeverk som FedRAMP eller CMMC er et betydelig foretak. Det innebærer grundig dokumentasjon, implementering av spesifikke tekniske og prosedyremessige kontroller (ofte hundrevis av dem), uavhengige vurderinger (som 3PAO for FedRAMP – tredjeparts vurderingsorganisasjon), og kontinuerlig overvåking.

[!VIKTIG] Samsvar handler ikke bare om teknologi; det handler om dokumenterte prosesser, retningslinjer og kontinuerlig årvåkenhet. Å oppnå sertifiseringer som FedRAMP eller CMMC krever betydelige investeringer og tid.

Vår forpliktelse:

Som Videresend E-post vokser, og etter hvert som kundenes behov utvikler seg, er vi forpliktet til å utforske og forfølge relevante samsvarssertifiseringer. Dette inkluderer planer for:

SAM-registrering: For å legge til rette for direkte samarbeid med amerikanske føderale etater.
Formalisering av prosesser: Forbedre vår interne dokumentasjon og prosedyrer for å samsvare med standarder som NIST SP 800-171, som danner grunnlaget for CMMC.
Evaluering av FedRAMP-baner: Vurdere kravene og gjennomførbarheten av å søke FedRAMP-autorisasjon, sannsynligvis med utgangspunkt i et lavt eller moderat utgangspunkt, potensielt utnytte TO-SaaS modell der det er aktuelt.
Støtte til spesifikke behov: Håndtere krav som HIPAA (potensielt gjennom BAA-er og spesifikke konfigurasjoner for lagrede data) og FERPA (gjennom passende kontraktsvilkår og kontroller) etter hvert som vi samarbeider mer med helse- og utdanningsinstitusjoner.

Denne reisen krever nøye planlegging og investeringer. Selv om vi ikke har umiddelbare tidslinjer for alle sertifiseringer, er det en viktig del av vår plan å styrke vår samsvarsposisjon for å møte behovene til myndigheter og regulerte industrier.

[!MERK] Vi tror at våre åpen kildekode Naturen gir unik åpenhet gjennom hele denne prosessen, slik at samfunnet og kundene våre kan se vår forpliktelse på nært hold.

Vi vil fortsette å oppdatere fellesskapet vårt etter hvert som vi når viktige milepæler på vår compliance-reise.

Hvorfor dette er viktig for deg

Å velge en Videresending av e-post i samsvar med paragraf 889 tjeneste som Videresend E-post betyr:

Sinnefred: Spesielt for offentlige etater, entreprenører og sikkerhetsbevisste organisasjoner.
Redusert risiko: Unngår potensielle konflikter med føderale forskrifter for e-post.
Tillit: Demonstrerer et engasjement for sikkerhet og integritet i forsyningskjeden.

Videresend E-post gir en enkel, pålitelig og kompatibel måte å administrere ditt egendefinerte domene på videresending av e-post behov.

Sikker og kompatibel videresending av e-post starter her

Videresend E-post er dedikert til å tilby en sikker, privat og åpen kildekode-videresending av e-post tjenesten vår. samsvar med paragraf 889, oppnådd gjennom vårt samarbeid med Cloudflare og Datapakke (som gjenspeiler vår Samsvar med videresendt e-post for US Naval Academy arbeid), er et bevis på denne forpliktelsen. Enten du er en offentlig enhet, en entreprenør eller bare verdifull myndigheters e-postsikkerhet, Videresend E-post er bygget for deg.

Klar for sikker, kompatibel videresending av e-post? Registrer deg gratis i dag!

Referanser

Seksjon 889 (DAA): https://www.acquisition.gov/Section-889-Policies
Cloudflare: https://www.cloudflare.com/
Cloudflares tredjeparts etiske retningslinjer: https://cf-assets.www.cloudflare.com/slt3lc6tev37/284hiWkCYNc49GQpAeBvGN/e137cdac96d1c4cd403c6b525831d284/Third_Party_Code_of_Conduct.pdf
Datapakke: https://datapacket.com/
System for tildelingshåndtering (SAM): https://sam.gov/
Forskrift om føderal oppkjøp (FAR): https://www.acquisition.gov/browse/index/far
FAR 52.212-4: https://www.acquisition.gov/far/52.212-4
Tillegg for forsvarsføderal anskaffelsesforskrift (DFARS): https://www.acquisition.gov/dfars
DFARS 252.239-7010: https://www.acquisition.gov/dfars/252.239-7010-cloud-computing-services.
Sertifisering for modenhetsmodell for nettsikkerhet (CMMC): https://dodcio.defense.gov/cmmc/About/
NIST SP 800-171: https://csrc.nist.gov/pubs/sp/800/171/r3/final
Det føderale risiko- og autorisasjonsstyringsprogrammet (FedRAMP): https://www.fedramp.gov/
Den føderale loven om modernisering av informasjonssikkerhet (FISMA): https://www.cisa.gov/topics/cybersecurity-best-practices/fisma
Lov om helseforsikringsportabilitet og ansvarlighet (HIPAA): https://www.hhs.gov/hipaa/index.html
Lov om familierettigheter og personvern (FERPA): https://studentprivacy.ed.gov/ferpa
Lov om beskyttelse av barns personvern på nett (COPPA): https://www.ftc.gov/legal-library/browse/rules/childrens-online-privacy-protection-rule-coppa