FedRAMP

Información general


El gobierno federal de los Estados Unidos se esfuerza por proporcionar sus servicios a los ciudadanos estadounidenses de la forma más innovadora, segura y rentable posible. La informática en la nube desempeña un papel fundamental en la manera en la que el gobierno federal puede adquirir mayor eficacia operativa e innovar en función de la demanda para cumplir su misión en toda la nación. Por eso, hoy en día, muchas agencias federales utilizan los servicios en la nube de AWS para procesar, almacenar y transmitir datos gubernamentales federales.

Preguntas frecuentes


  • El Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP) es un programa del gobierno de EE.UU. que ofrece un enfoque estandarizado para la monitorización continua, la autorización y la evaluación de la seguridad de servicios y productos en la nube. Entre las entidades gubernamentales que conforman el FedRAMP, figuran la Oficina de Administración y Presupuestos (OMB), la Administración de Servicios Generales (GSA) estadounidense, el Departamento de Seguridad Interna (DHS) estadounidense, el Departamento de Defensa (DoD) estadounidense, el Instituto Nacional de Normal y Tecnología (NIST) y el Consejo Federal de Directores de Información (CIO).

    Los proveedores de servicios en la nube (CSP) que quieran ofrecer sus servicios en la nube (CSO) al gobierno de EE. UU. deberán demostrar su conformidad con el FedRAMP. FedRAMP, que utiliza la serie 800 de NIST Special Publication, exige a los proveedores de servicios en la nube que realicen una evaluación de seguridad independiente por parte de una organización de evaluación externa (3PAO) para garantizar la conformidad de las autorizaciones con la Ley Federal de Seguridad de la Información (FISMA). Para obtener más información, vaya al sitio web de FedRAMP.

  • En respuesta a la Cloud First Policy (ahora, Cloud Smart Strategy), la Oficina de Gestión y Presupuestos (OMB) publicó el FedRAMP Policy Memo (ahora, Federal Cloud Computing Strategy) para fundar el primer programa de autorizaciones en materia de seguridad de ámbito gubernamental para FISMA. FedRAMP es obligatorio para todas las agencias federales estadounidenses y todos los servicios en la nube. FedRAMP es importante porque aumenta:

    • La uniformidad y la fiabilidad en la seguridad de las soluciones en la nube que utilizan las normas definidas por el Instituto Nacional de Normalización y Tecnología (NIST) y la ley FISMA
    • La transparencia entre el gobierno de EE. UU. y los proveedores de servicios en la nube
    • La automatización y una monitorización continua casi en tiempo real
    • La adopción de soluciones en la nube seguras a través de la reutilización de evaluaciones y autorizaciones
  • La política Nube primero exige que todas las agencias federales utilicen el proceso del FedRAMP para realizar evaluaciones de seguridad, autorizaciones y la monitorización constante de los servicios en la nube. La oficina de administración del programa FedRAMP (PMO) ha señalado los siguientes requisitos para cumplir el FedRAMP:

    1. El proveedor de servicios en la nube (CSP) ha recibido una autorización para operar (ATO) por parte de una agencia federal de EE. UU. o una autorización provisional para operar (P-ATO) por parte del Consejo Conjunto de Autorización (JAB).
    2. El CSP cumple los requisitos de control de la seguridad del FedRAMP según lo descrito en los requisitos de referencia de control de la seguridad del marco del Instituto Nacional de Normalización y Tecnología (NIST) 800-53 (rev. 4) para los niveles de impacto moderados o altos.
    3. Todos los paquetes de seguridad del sistema deben utilizar las plantillas que exige el FedRAMP.
    4. El CSP debe someterse a la evaluación de una organización de evaluación externa (3PAO) aprobada.
    5. El paquete de evaluación de seguridad debe publicarse en el repositorio seguro del FedRAMP.
  • Los proveedores de servicios en la nube (CSP) pueden lograr la conformidad con el FedRAMP mediante dos rutas distintas:

    • Autorización del Consejo Conjunto de Autorización (JAB): Para recibir una autorización provisional para operar (P-ATO) del Consejo Conjunto de Autorización (JAB) del FedRAMP, el proveedor de servicios en la nube debe someterse a una evaluación por parte de una 3PAO acreditado por FedRAMP y a una revisión por parte de la oficina de administración del programa FedRAMP (PMO). El JAB está compuesto por los directores de información (CIO) del Departamento de Defensa (DoD), el Departamento de Seguridad Interna (DHS) y la Administración de Servicios Generales (GSA).
    • Autorización de agencia: Para recibir una autorización para operar (ATO) por parte de una agencia de conformidad con el FedRAMP que esté verificada por la oficina de administración del programa FedRAMP (PMO), el proveedor de servicios en la nube debe someterse a una revisión por parte de un CIO de agencia del cliente o un oficial autorizador delegado.
  • Una agencia federal o una organización del Departamento de Defensa (DoD) puede beneficiarse de ofertas de servicios en la nube (CSO) de AWS como bloques de creación para soluciones alojadas en la nube. Cada CSO de AWS cuenta con autorización de FedRAMP y DISA para uso federal y del DoD, y dicha autorización está documentada en una autoridad provisional para operar (P-ATO). Los CSP no reciben una autorización para operar (ATO) para sus CSO; en lugar de eso, reciben P-ATO. Una PATO es una aprobación previa a la contratación de organizaciones federales o del DoD para utilizar CSO. Las agencias federales u organizaciones del DoD pueden beneficiarse de los paquetes de seguridad de FedRAMP de AWS para revisar la documentación complementaria, incluir información de responsabilidad compartida y tomar sus propias decisiones basadas en los riesgos para conceder una ATO. Si tiene alguna pregunta o necesita más información, contacte con su gestor de cuentas del equipo de ventas de AWS.

    Un oficial autorizador (AO) de una agencia puede utilizar cualquiera de los paquetes de seguridad del FedRAMP para AWS con el fin de revisar documentación complementaria, incluir información de responsabilidad compartida y tomar la decisión, por propia cuenta y riesgo, de conceder a AWS una autorización para operar (ATO) de agencia. Las agencias son las responsables de emitir su propia ATO para AWS, así como de la autorización global de los componentes del sistema. Si tiene alguna pregunta o necesita más información, contacte con su gestor de cuentas del equipo de ventas de AWS o el equipo de ATO en AWS.

  • AWS es un proveedor de servicios en la nube (CSP) que brinda ofertas de servicios en la nube (CSO). Como CSP, AWS sigue el proceso de FedRAMP para que sus CSO reciban autorización para uso federal o por parte del DoD. El proceso de FedRAMP no emite una autorización para operar (ATO) a los CSP; en lugar de eso, el proceso de FedRAMP emite una autorización provisional para operar (PATO). Una PATO es una aprobación previa a la contratación de agencias federales o del DoD para utilizar CSO. Las agencias federales o el DoD utilizan la PATO y los controles heredados asociados con la PATO cuando siguen el proceso del marco de administración de riesgos (RMF) para conseguir su propia ATO. Tenga en cuenta que la PATO de AWS no se actualizará a una ATO porque el proceso de FedRAMP no emite ATO a los CSP. Las ATO solo se emiten como parte del proceso del RMF y las emite la agencia federal o responsables de autorización (AO) del DoD. Puede encontrar más información sobre FedRAMP en el sitio web de FedRAMP.

  • FedRAMP es el proceso que los proveedores de servicios en la nube (CSP) siguen para que sus ofertas de servicios en la nube (CSO) reciban aprobación para que las agencias federales o el DoD utilicen bloques de creación para sistemas alojados en la nube. El marco de administración de riesgos (RMF) es el proceso que las agencias federales o el DoD siguen para que su sistema de TI reciba autorización para operar. Solo los CSP utilizan el proceso de FedRAMP; por el contrario, los CSP no siguen el proceso del RMF. Las agencias federales o el DoD solo seguirían el proceso de FedRAMP si estuvieran creando servicios en la nube (por ejemplo, MilCloud).

  • Animamos a los clientes de agencias a beneficiarse de la ATO del JAB de FedRAMP y el paquete de autorización existente para emitir su propia autorización para operar.

  • Sí, AWS ofrece varios sistemas conformes con FedRAMP que han recibido autorizaciones, han pasado los controles de seguridad de FedRAMP (de acuerdo con NIST SP 800-53), han utilizado las plantillas necesarias de FedRAMP para los paquetes de seguridad enviados al repositorio seguro de FedRAMP, han sido evaluados por un asesor independiente externo y acreditado (3PAO), y cumplen los requisitos de monitoreo continuo de FedRAMP. Son los siguientes:

    • Se otorgó a la región AWS GovCloud (EE. UU.) una autorización provisional para operar del consejo Joint Authorization Board (JAB P-ATO), así como varias autorizaciones de agencias (A-ATO), para un nivel de alto impacto. En Servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios cubiertos en el ámbito de la JAB P-ATO de AWS GovCloud (EE. UU.) en la categoría de seguridad elevada.
    • Las regiones este y oeste de AWS en EE. UU. (Norte de Virginia, Ohio, Oregón, Norte de California) han recibido una autorización provisional para operar del Consejo Conjunto de Autorización (P-ATO del JAB), así como varias autorizaciones de agencias (A-ATO), para un nivel de impacto moderado. En los servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios cubiertos en el ámbito de la P-ATO del JAB de las regiones este y oeste de AWS en EE. UU. en la categoría de seguridad de referencia moderada.  
  • No, el costo de los servicios, independientemente de la región, no se incrementará como resultado de la conformidad con el FedRAMP por parte de AWS.

  • Se han emitido dos P-ATO de FedRAMP: una para la región AWS GovCloud (EE. UU.) y otra para las regiones este y oeste de AWS (EE. UU.).

  • Sí, en la actualidad, más de 2000 agencias gubernamentales y otras entidades que ofrecen integración de sistemas y otros productos y servicios a las agencias gubernamentales utilizan la amplia variedad de servicios de AWS. Puede revisar estudios de casos de entidades gubernamentales de EE. UU. que utilizan AWS en la página web de Historias de éxito de clientes de AWS. Para obtener más información sobre cómo AWS cumple los elevados requisitos de seguridad de los gobiernos, consulte la página web AWS para el sector público.

  • En Servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios de AWS cubiertos en el ámbito de la autorización del FedRAMP y DoD SRG. Al hacer clic en la pestaña FedRAMP o DoD SRG, los servicios con una “✓” indican que el JAB del FedRAMP ha autorizado el servicio como que cumple de forma suficiente con los requisitos de referencia moderada del FedRAMP (posteriormente, DoD SRG IL2) para AWS de EE. UU. Este-Oeste o los requisitos de referencia alta del FedRAMP (posteriormente, DoD SRG IL2, IL4 e IL5) para AWS GovCloud (EE. UU.). Estos servicios se publican bajo la descripción de servicio para AWS en el Marketplace del FedRAMP. Si los servicios están marcados como “Evaluación de 3PAO” o “En evaluación”, AWS no establece la implementación o el mantenimiento de los controles de FedRAMP porque dichos servicios siguen en evaluación. Si el servicio está marcado como “Revisión del JAB” o “Revisión de DISA”, el servicio ha finalizado la evaluación de 3PAO y está en la cola de nuestro regulador en este momento. En el caso de estos servicios, AWS ha implementado y han sido evaluados para los controles del FedRAMP pertinentes basados en el entorno, pero no han sido autorizados por el JAB. Si desea más información sobre el uso de estos servicios o sobre otros servicios, contacte con el departamento de ventas y desarrollo empresarial de AWS.

  • Sí, los clientes pueden evaluar sus cargas de trabajo para confirmar si son idóneas para otros servicios de AWS. Contacte con el departamento de ventas y desarrollo empresarial de AWS para obtener información detallada sobre los controles de seguridad y la aceptación del riesgo.

  • Sí, los clientes pueden evaluar sus cargas de trabajo con un alto nivel de impacto para confirmar si son idóneas para AWS. En este momento, los clientes pueden colocar sus cargas de trabajo de alto impacto en AWS GovCloud (EE. UU.), que cuenta con una autorización provisional para operar del Consejo Conjunto de Autorización (JAB P-ATO) para un nivel de alto impacto.

  • Las agencias federales de los EE. UU. Los empleados gubernamentales y contratistas que deseen solicitar acceso al paquete de seguridad de FedRAMP para AWS desde la PMO de FedRAMP deben completar el formulario de solicitud de acceso a los paquetes y enviarlo a info@fedramp.gov.

    Los clientes y socios comerciales pueden solicitar acceso al paquete de socios de FedRAMP de AWS para obtener orientación sobre creación en base a las ofertas de AWS y ayuda para el diseño de arquitecturas de servicios conformes con FedRAMP o el DoD en AWS. Puede encontrar el paquete para socios en su cuenta de AWS a través de AWS Artifact o si lo solicita mediante su director de cuenta de AWS.

  • Para las regiones de EE. UU. Este y Oeste de AWS, el ID de FedRAMP es AGENCYAMAZONEW. Para la región de AWS GovCloud (EE. UU.), el ID de FedRAMP es F1603047866.

  • En el ámbito del Concepto de Operaciones (CONOPS) del FedRAMP, una vez que se ha concedido una autorización, la seguridad del proveedor de servicios en la nube se supervisa conforme al proceso de evaluación y autorización. Para renovar anualmente una autorización basada en el FedRAMP, el proveedor de servicios en la nube debe monitorizar los controles de seguridad, valorarlos regularmente y demostrar que la seguridad de su oferta de servicios es aceptable de manera continua. Las agencias federales que utilicen el programa de monitorización continua del FedRAMP, así como los oficiales autorizadores (AO) y sus equipos designados serán responsables de examinar la constante conformidad de AWS. Los AO y sus equipos designados revisarán de manera continua los artefactos proporcionados a través del proceso de monitoreo continuo de AWS basado en el FedRAMP. Además, comprobarán la implementación de cualquier control específico de agencias que deba complementar los controles del FedRAMP. Para obtener más información, consulte la política o el programa de seguridad del sistema de información de su agencia.

  • No. Según los consejos y señales semanales de FedRAMP, 10 de agosto de 2016, no se requiere el uso de ISA entre un CSP y una agencia federal.

  • Los clientes pueden acceder al paquete de seguridad del FedRAMP para AWS a través de AWS Artifact, un portal autoservicio de acceso bajo demanda a informes de conformidad de AWS. Inicie sesión en AWS Artifact en la consola de administración de AWS u obtenga más información en Introducción a AWS Artifact.

    Si tiene preguntas específicas acerca de la conformidad con FedRAMP o DoD, entre en contacto con su director de cuenta de AWS o envíe el formulario de contacto de conformidad de AWS para comunicarse con nuestro equipo de conformidad con FedRAMP.

  • Las agencias federales gubernamentales son evaluadas por su Oficina del Inspector General (OIG) y basadas de manera interna en métricas que proporciona el Departamento de Seguridad Nacional (DHS). Los criterios para las métricas del CIO y la OIG de FISMA son las publicaciones especiales NIST SP 800, con énfasis en NIST SP 800-53. Para aquellas agencias que dependen de la seguridad de los CSP, FedRAMP es un programa de conformidad creado en base a controles NIST SP 800-53 para cumplir con los requisitos de FISMA dentro de la nube.

    El DoD recurre al programa de conformidad de FedRAMP para cumplir los niveles de impacto de la Guía de requisitos de seguridad informática en la nube del Departamento de Defensa (DoD CC SRG), que requieren conformidad con FIPS 140-2 para ciertos controles de cifrado. El Anexo a la Normativa Federal sobre Adquisiciones para Defensa (DFARS) requiere que los contratistas del DoD que procesan, almacenan o transmiten información controlada no clasificada (CUI) cumplan un conjunto específico de estándares de seguridad, lo cual incluye los requisitos especificados en NIST SP 800-171. NIST SP 800-171 brinda a las agencias requisitos de seguridad recomendados para proteger la confidencialidad de información controlada no clasificada (CUI).

¿Tiene preguntas? Pónganse en contacto con un representante empresarial de AWS
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »