Fallstudie: Efterlevnad av e-post enligt paragraf 889 i statlig/federal lag

Skriven av

Forward Email Team

Publicerad

6/1/25

Dags att läsa

Mindre än 5 minuter

På Forward Email tror vi på enkel, säker och privat vidarebefordran av e-post för alla. Vi vet att för många organisationer, särskilt de som arbetar med den amerikanska regeringen, är efterlevnad inte bara ett modeord – det är en nödvändighet. Säkerställande av efterlevnad federala bestämmelser för e-post är avgörande. Det är därför vi är stolta över att bekräfta vår säker vidarebefordran av e-post tjänsten är byggd för att uppfylla stränga federala krav, inklusive Avsnitt 889 av Lagen om nationell försvarstillstånd (NDAA).

Vårt engagemang för efterlevnad av myndigheters e-post omsattes nyligen i praktiken när Amerikanska marinakademin närmade sig Vidarebefordra e-postDe krävde säker vidarebefordran av e-post tjänster och nödvändig dokumentation som bekräftar vår efterlevnad av federala bestämmelser, inklusive Efterlevnad av avsnitt 889Denna erfarenhet fungerar som en värdefull fallstudie som visar vår beredskap och förmåga att stödja statligt finansierade organisationer och uppfylla deras stränga krav. Detta engagemang gäller alla våra användare som söker en pålitlig, integritetsfokuserad e-post lösning.

Förstå efterlevnaden av avsnitt 889

Vad är paragraf 889? Enkelt uttryckt är det en amerikansk federal lag som förbjuder myndigheter att använda eller ingå avtal med enheter som använder viss telekommunikations- och videoövervakningsutrustning eller tjänster från specifika företag (som Huawei, ZTE, Hikvision, Dahua och Hytera). Denna regel, ofta förknippad med Huawei förbud och ZTE i, hjälper till att skydda den nationella säkerheten.

[!NOTE] Avsnitt 889 riktar sig specifikt mot utrustning och tjänster från Huawei, ZTE, Hytera, Hikvision och Dahua, inklusive deras dotterbolag och närstående bolag.

För en e-postvidarebefordringstjänst för statliga kontrakt som Vidarebefordra e-post, innebär detta att vi säkerställer att ingen av våra underliggande infrastrukturleverantörer använder denna förbjudna utrustning, vilket gör oss Avsnitt 889-kompatibel.

Hur vidarebefordran av e-post uppnår efterlevnad av avsnitt 889

Så, Hur är vidarebefordran av e-post enligt avsnitt 889? Vi uppnår detta genom noggrant urval av våra infrastrukturpartners. Vidarebefordra e-post förlitar sig uteslutande på två nyckelleverantörer för sin Infrastruktur som uppfyller avsnitt 889:

CloudFlare: Vår primära partner för nätverkstjänster och Cloudflare e-postsäkerhet.
DataPacket: Vår primära leverantör av serverinfrastruktur (vi använder Digital Ocean och/eller Vultr för redundans och kommer snart att övergå till att enbart använda DataPacket – vi bekräftade naturligtvis skriftligen efterlevnad av avsnitt 889 från båda dessa redundansleverantörer).

[!VIKTIGT] Vårt exklusiva förtroende för Cloudflare och DataPacket, som inte använder utrustning som är förbjuden enligt paragraf 889, är hörnstenen i vår efterlevnad.

Både CloudFlare och DataPacket är engagerade i höga säkerhetsstandarder och använder inte utrustning som är förbjuden enligt avsnitt 889. Använda Cloudflare och DataPacket för efterlevnad av Section 889 är grundläggande för vår tjänst.

Cloudflares engagemang

CloudFlare uttryckligen adresserar Efterlevnad av avsnitt 889 i deras Uppförandekod för tredje partDe säger:

"Enligt avsnitt 889 i National Defense Authorization Act (NDAA) använder Cloudflare inte, eller tillåter på annat sätt, i sin leveranskedja, telekommunikationsutrustning, videoövervakningsprodukter eller tjänster som produceras eller tillhandahålls av Huawei Technologies Company, ZTE Corporation, Hytera Communications Corporation, Hangzhou Hikvision Digital Technology Company eller Dahua Technology Company (eller något dotterbolag eller närstående bolag till sådana enheter)."

(Källa: Cloudflares uppförandekod för tredje part, hämtad 29 april 2025)

Detta tydliga uttalande bekräftar att Cloudflares infrastruktur, vilket Vidarebefordra e-post hävstångseffekter, uppfyller kraven enligt avsnitt 889.

DataPackets infrastruktur

DataPacket, vår serverleverantör, använder nätverksutrustning uteslutande från Arista Networks och CiscoVarken Arista eller Cisco är bland de företag som är förbjudna enligt avsnitt 889. Båda är etablerade leverantörer som används flitigt i säkra företags- och myndighetsmiljöer, kända för att följa strikta säkerhets- och efterlevnadsstandarder.

Genom att endast använda CloudFlare och DataPacket, Vidarebefordra e-post säkerställer att hela dess tjänsteleveranskedja är fri från utrustning som är förbjuden enligt avsnitt 889, och tillhandahåller säker vidarebefordran av e-post för federala myndigheter och andra säkerhetsmedvetna användare.

Bortom avsnitt 889: Bredare efterlevnad av myndighetsregler

Vårt engagemang för myndigheters e-postsäkerhet och efterlevnaden sträcker sig bortom avsnitt 889. Medan Vidarebefordra e-post behandlar eller lagrar inte direkt känsliga myndighetsuppgifter som Kontrollerad oklassificerad information (CUI) på samma sätt som en stor SaaS-plattform kan, vår vidarebefordran av e-post med öppen källkod arkitektur och beroende av säkra, kompatibla leverantörer överensstämmer med principerna i andra viktiga regler:

FAR (Federal Acquisition Regulation): Genom att använda kompatibel infrastruktur och erbjuda en enkel kommersiell tjänst, tillhandahåller vi FAR-kompatibel e-post speditionsprinciper lämpliga för statliga entreprenörer.
Sekretesslagen & FISMA: Vi är integritetsfokuserad genom design, erbjudande E-post om sekretesslagen principer. Vi lagrar inte dina e-postmeddelanden. E-postmeddelanden vidarebefordras direkt, vilket minimerar datahanteringen. Våra infrastrukturleverantörer (CloudFlare, DataPacket) hantera sina system enligt höga säkerhetsstandarder i enlighet med FISMA-kompatibel e-post principer.
HIPAA: För organisationer som behöver HIPAA-kompatibel vidarebefordran av e-post, Vidarebefordra e-post kan vara en del av en lösning som uppfyller kraven. Eftersom vi inte lagrar e-postmeddelanden ligger det primära ansvaret för efterlevnad hos slutpunktens e-postsystem. Vårt säkra transportlager stöder dock HIPAA-krav när det används korrekt.

[!WARNING] A Affärspartneravtal (BAA) kan behövas med din slutliga e-postleverantör, inte Vidarebefordra e-post sig själv, eftersom vi inte lagrar ditt e-postinnehåll (såvida du inte använder vårt krypterade IMAP/POP3-lagringslager).

Vår väg framåt: Vidga våra efterlevnadshorisonter

Även om vår efterlevnad av avsnitt 889 utgör en avgörande grund, särskilt för federala entreprenörer, förstår vi att olika organisationer och myndigheter har olika och föränderliga regelbehov. Vidarebefordra e-post, transparens är nyckeln, och vi vill dela med oss av vårt perspektiv på det bredare efterlevnadslandskapet och vår framtida inriktning.

Vi inser vikten av ramverk och regleringar som:

System för utmärkelsehantering (SAM): Viktigt för direkt federal upphandling.
FAR (Federal Acquisition Regulation): Inklusive standardklausuler som FAR 52.212-4 för kommersiella tjänster.
DFARS (Tillägg till försvarsförordningens federala förvärv): Särskilt DFARS 252.239-7010 för DoD:s molntjänster.
CMMC (Certifiering för mognadsmodell för cybersäkerhet): Krävs för hantering av DoD-entreprenörer Federal kontraktsinformation (FCI) eller CUI.
NIST SP 800-171: Grunden för CMMC nivå 2, fokuserad på att skydda CUI.NIST - Nationella institutet för standarder och teknologi)
FedRAMP (Federalt program för risk- och auktoriseringshantering): Standarden för molntjänster som används av federala myndigheter.
FISMA (Federal lag om modernisering av informationssäkerhet): Det övergripande ramverket för federal informationssäkerhet.
HIPAA (lagen om portabilitet och ansvarighet inom sjukförsäkringen): För hantering av skyddad hälsoinformation (PHI).
FERPA (lagen om familjens utbildningsrättigheter och integritet): För att skydda studenters utbildningsregister.
COPPA (lagen om skydd av barns integritet online): För tjänster som rör barn under 13 år.

Vår nuvarande position och framtida mål:

Vidarebefordra e-postmeddelanden kärndesign – att vara integritetsfokuserad, öppen källkodoch minimera datahantering (särskilt i vår grundläggande e-post vidarebefordran tjänst) – överensstämmer väl med principer bakom många av dessa regleringar. Våra befintliga säkerhetsrutiner (kryptering, stöd för moderna e-poststandarder) och efterlevnad av avsnitt 889 ger en stark utgångspunkt.

Att uppnå formell certifiering eller auktorisering för ramverk som FedRAMP eller CMMC är ett betydande åtagande. Det innebär rigorös dokumentation, implementering av specifika tekniska och procedurmässiga kontroller (ofta hundratals), oberoende bedömningar (som 3PAO för FedRAMP - tredjepartsbedömningsorganisation), och kontinuerlig övervakning.

[!VIKTIGT] Efterlevnad handlar inte bara om teknik; det handlar om dokumenterade processer, policyer och kontinuerlig vaksamhet. Att uppnå certifieringar som FedRAMP eller CMMC kräver betydande investeringar och tid.

Vårt åtagande:

Som Vidarebefordra e-post växer och i takt med att våra kunders behov utvecklas, är vi engagerade i att utforska och sträva efter relevanta efterlevnadscertifieringar. Detta inkluderar planer för:

SAM-registrering: För att underlätta direkt kontakt med amerikanska federala myndigheter.
Formalisering av processer: Förbättra vår interna dokumentation och våra rutiner för att anpassa dem till standarder som NIST SP 800-171, som utgör grunden för CMMC.
Utvärdering av FedRAMP-vägar: Bedömning av kraven och genomförbarheten av att söka FedRAMP-auktorisering, troligen med början från en låg eller måttlig baslinje, potentiellt utnyttjande av TO-SaaS modell där så är tillämpligt.
Stödja specifika behov: Att hantera krav som HIPAA (potentiellt genom BAA och specifika konfigurationer för lagrad data) och FERPA (genom lämpliga avtalsvillkor och kontroller) i takt med att vi samarbetar mer med hälso- och sjukvårds- och utbildningsinstitutioner.

Denna resa kräver noggrann planering och investeringar. Även om vi inte har omedelbara tidslinjer för alla certifieringar, är det en viktig del av vår färdplan att stärka vår efterlevnadsposition för att möta behoven hos myndigheter och reglerade industrier.

[!OBS] Vi tror att våra öppen källkod Naturen erbjuder unik transparens genom hela denna process, vilket gör att vår gemenskap och våra kunder kan se vårt engagemang på nära håll.

Vi kommer att fortsätta uppdatera vår community allt eftersom vi når viktiga milstolpar på vår efterlevnadsresa.

Varför detta är viktigt för dig

Att välja en Vidarebefordran av e-post i enlighet med avsnitt 889 tjänst som Vidarebefordra e-post medel:

Sinnesro: Särskilt för myndigheter, entreprenörer och säkerhetsmedvetna organisationer.
Minskad risk: Undviker potentiella konflikter med federala bestämmelser för e-post.
Förtroende: Visar ett engagemang för säkerhet och leveranskedjans integritet.

Vidarebefordra e-post ger en enkel, pålitlig och kompatibel sätt att hantera din anpassade domän e-post vidarebefordran behov.

Säker och kompatibel e-postvidarebefordran börjar här

Vidarebefordra e-post är dedikerad till att tillhandahålla en säker, privat och öppen källkodsbaserad e-postvidarebefordran tjänst. Vår efterlevnad av avsnitt 889, uppnått genom vårt partnerskap med CloudFlare och DataPacket (som återspeglar vår Efterlevnad av vidarebefordran av e-post för US Naval Academy arbete), är ett bevis på detta engagemang. Oavsett om du är en myndighet, en entreprenör eller helt enkelt värdefull myndigheters e-postsäkerhet, Vidarebefordra e-post är byggd för dig.

Klar för säker, kompatibel e-postvidarebefordran? Registrera dig gratis idag!

Referenser

Avsnitt 889 (DAA): https://www.acquisition.gov/Section-889-Policies
Cloudflare: https://www.cloudflare.com/
Cloudflares uppförandekod för tredje part: https://cf-assets.www.cloudflare.com/slt3lc6tev37/284hiWkCYNc49GQpAeBvGN/e137cdac96d1c4cd403c6b525831d284/Third_Party_Code_of_Conduct.pdf
Datapaket: https://datapacket.com/
System för utmärkelsehantering (SAM): https://sam.gov/
Federal förvärvsförordning (FAR): https://www.acquisition.gov/browse/index/far
FAR 52.212-4: https://www.acquisition.gov/far/52.212-4
Tillägg till försvarsförordningens federala förvärv (DFARS): https://www.acquisition.gov/dfars
DFARS 252.239-7010: https://www.acquisition.gov/dfars/252.239-7010-cloud-computing-services.
Certifiering för mognadsmodell för cybersäkerhet (CMMC): https://dodcio.defense.gov/cmmc/About/
NIST SP 800-171: https://csrc.nist.gov/pubs/sp/800/171/r3/final
Federalt risk- och auktoriseringshanteringsprogram (FedRAMP): https://www.fedramp.gov/
Federal lag om modernisering av informationssäkerhet (FISMA): https://www.cisa.gov/topics/cybersecurity-best-practices/fisma
Lagen om sjukförsäkringsportabilitet och ansvarighet (HIPAA): https://www.hhs.gov/hipaa/index.html
Lagen om rättigheter och integritet för familjeutbildning (FERPA): https://studentprivacy.ed.gov/ferpa
Lagen om skydd av barns integritet online (COPPA): https://www.ftc.gov/legal-library/browse/rules/childrens-online-privacy-protection-rule-coppa