Forward Email: Din Section 889-kompatible e-mail videresendelsesløsning

Forord

Hos Forward Email tror vi på enkel, sikker og privat e-mail videresendelse for alle. Vi ved, at for mange organisationer, især dem der arbejder med den amerikanske regering, er overholdelse ikke bare et modeord – det er en nødvendighed. At sikre overholdelse af føderale regler for e-mail er afgørende. Derfor er vi stolte af at kunne bekræfte, at vores sikre e-mail videresendelsestjeneste er bygget til at opfylde strenge føderale krav, herunder Section 889 i National Defense Authorization Act (NDAA).

Vores engagement i regeringens e-mail-kompatibilitet blev for nylig sat i praksis, da US Naval Academy henvendte sig til Forward Email. De havde brug for sikre e-mail videresendelsestjenester og dokumentation, der bekræftede vores overholdelse af føderale regler, herunder Section 889-kompatibilitet. Denne erfaring fungerer som en værdifuld case study, der demonstrerer vores parathed og evne til at støtte regeringsfinansierede organisationer og opfylde deres strenge krav. Denne dedikation gælder for alle vores brugere, der søger en pålidelig, privatlivsfokuseret e-mail løsning.

Forståelse af Section 889-kompatibilitet

Hvad er Section 889? Kort sagt er det en amerikansk føderal lov, der forbyder regeringsorganer at bruge eller indgå kontrakter med enheder, der bruger visse telekommunikations- og videoovervågningsudstyr eller -tjenester fra specifikke virksomheder (som Huawei, ZTE, Hikvision, Dahua og Hytera). Denne regel, ofte forbundet med Huawei-forbuddet og ZTE-forbuddet, hjælper med at beskytte national sikkerhed.

For en e-mail videresendelsestjeneste til regeringskontrakter som Forward Email betyder det, at vi sikrer, at ingen af vores underliggende infrastrukturudbydere bruger dette forbudte udstyr, hvilket gør os Section 889-kompatible.

Hvordan Forward Email opnår Section 889-kompatibilitet

Så, hvordan er Forward Email Section 889-kompatibel? Vi opnår dette gennem omhyggeligt valg af vores infrastrukturpartnere. Forward Email er udelukkende afhængig af to nøgleudbydere for sin Section 889-kompatible infrastruktur:

1. Cloudflare: Vores primære partner for netværkstjenester og Cloudflare e-mail sikkerhed.
2. DataPacket: Vores primære leverandør af serverinfrastruktur (vi bruger Digital Ocean og/eller Vultr til failover og vil snart overgå til udelukkende at bruge DataPacket – selvfølgelig har vi bekræftet Section 889-kompatibilitet skriftligt fra begge disse failover-udbydere).

Cloudflares Forpligtelse

Cloudflare adresserer eksplicit Section 889-overholdelse i deres Third Party Code of Conduct. De skriver:

"Under Section 889 i National Defense Authorization Act (NDAA) bruger Cloudflare ikke, eller tillader ikke i deres forsyningskæde, telekommunikationsudstyr, videoovervågningsprodukter eller tjenester produceret eller leveret af Huawei Technologies Company, ZTE Corporation, Hytera Communications Corporation, Hangzhou Hikvision Digital Technology Company eller Dahua Technology Company (eller nogen datterselskab eller tilknyttet enhed til sådanne selskaber)."

(Kilde: Cloudflare Third Party Code of Conduct, hentet 29. april 2025)

Denne klare erklæring bekræfter, at Cloudflares infrastruktur, som Forward Email benytter, opfylder kravene i Section 889.

DataPackets Infrastruktur

DataPacket, vores serverudbyder, anvender netværksudstyr udelukkende fra Arista Networks og Cisco. Hverken Arista eller Cisco er blandt de virksomheder, der er forbudt under Section 889. Begge er etablerede leverandører, der er bredt anvendt i sikre erhvervs- og regeringsmiljøer, kendt for at overholde strenge sikkerheds- og overholdelsesstandarder.

Ved kun at bruge Cloudflare og DataPacket sikrer Forward Email, at hele deres serviceleveringskæde er fri for udstyr, der er forbudt under Section 889, og leverer dermed sikker e-mail videresendelse til føderale myndigheder og andre sikkerhedsbevidste brugere.

Udover Section 889: Bredere Regeringsoverholdelse

Vores forpligtelse til regeringens e-mailsikkerhed og overholdelse går ud over Section 889. Selvom Forward Email ikke direkte behandler eller opbevarer følsomme regeringsdata som Controlled Unclassified Information (CUI) på samme måde som en stor SaaS-platform, stemmer vores open-source e-mail videresendelsesarkitektur og afhængighed af sikre, compliant udbydere overens med principperne i andre nøglereguleringer:

• FAR (Federal Acquisition Regulation): Ved at bruge compliant infrastruktur og tilbyde en enkel kommerciel service leverer vi FAR-compliant e-mail videresendelsesprincipper, der er egnede til regeringsentreprenører.
• Privacy Act & FISMA: Vi er privatlivsfokuserede af design og tilbyder Privacy Act e-mail principper. Vi opbevarer ikke dine e-mails. E-mails videresendes direkte, hvilket minimerer datahåndtering. Vores infrastrukturudbydere (Cloudflare, DataPacket) administrerer deres systemer i henhold til høje sikkerhedsstandarder, der er i overensstemmelse med FISMA-compliant e-mail principper.
• HIPAA: For organisationer, der har brug for HIPAA-compliant e-mail videresendelse, kan Forward Email være en del af en compliant løsning. Da vi ikke opbevarer e-mails, ligger det primære compliance-ansvar hos slutpunktets e-mailsystemer. Dog understøtter vores sikre transportlag HIPAA-krav, når det bruges korrekt.

Vores Fremtidige Kurs: Udvidelse af Overholdelseshorisonter

Mens vores overholdelse af Section 889 udgør et afgørende fundament, især for føderale entreprenører, forstår vi, at forskellige organisationer og offentlige myndigheder har forskellige og udviklende regulatoriske behov. Hos Forward Email er gennemsigtighed nøglen, og vi ønsker at dele vores perspektiv på det bredere overholdelseslandskab og vores fremtidige retning.

Vi anerkender vigtigheden af rammer og regler såsom:

• System for Award Management (SAM): Væsentligt for direkte føderale kontrakter.
• FAR (Federal Acquisition Regulation): Inklusive standardklausuler som FAR 52.212-4 for kommercielle tjenester.
• DFARS (Defense Federal Acquisition Regulation Supplement): Især DFARS 252.239-7010 for DoD cloud-tjenester.
• CMMC (Cybersecurity Maturity Model Certification): Påkrævet for DoD-entreprenører, der håndterer Federal Contract Information (FCI) eller CUI.
• NIST SP 800-171: Grundlaget for CMMC Niveau 2, med fokus på beskyttelse af CUI. (NIST - National Institute of Standards and Technology)
• FedRAMP (Federal Risk and Authorization Management Program): Standarden for cloud-tjenester brugt af føderale myndigheder.
• FISMA (Federal Information Security Modernization Act): Den overordnede ramme for føderal informationssikkerhed.
• HIPAA (Health Insurance Portability and Accountability Act): Til håndtering af beskyttede sundhedsoplysninger (PHI).
• FERPA (Family Educational Rights and Privacy Act): Til beskyttelse af studerendes uddannelsesregistre.
• COPPA (Children's Online Privacy Protection Act): For tjenester, der beskæftiger sig med børn under 13 år.

Vores Nuværende Position og Fremtidige Mål:

Forward Email's kerneprincip – at være privatlivsfokuseret, open-source og minimere databehandling (især i vores grundlæggende email forwarding-service) – stemmer godt overens med principperne bag mange af disse regler. Vores eksisterende sikkerhedspraksis (kryptering, understøttelse af moderne email-standarder) og overholdelse af Section 889 giver et stærkt udgangspunkt.

Dog er det en betydelig opgave at opnå formel certificering eller godkendelse for rammer som FedRAMP eller CMMC. Det involverer grundig dokumentation, implementering af specifikke tekniske og proceduremæssige kontroller (ofte hundreder af dem), uafhængige vurderinger (som 3PAO for FedRAMP - Third-Party Assessment Organization) og løbende overvågning.

Vores Forpligtelse:

Efterhånden som Forward Email vokser, og vores kunders behov udvikler sig, er vi forpligtet til at udforske og forfølge relevante overholdelsescertificeringer. Dette inkluderer planer for:

1. SAM-registrering: For at lette direkte engagement med amerikanske føderale myndigheder.
2. Formalisering af Processer: Forbedring af vores interne dokumentation og procedurer for at tilpasse os standarder som NIST SP 800-171, som danner grundlaget for CMMC.
3. Evaluering af FedRAMP-veje: Vurdering af krav og gennemførlighed for at forfølge FedRAMP-godkendelse, sandsynligvis startende med en Low eller Moderate baseline, potentielt ved at udnytte LI-SaaS modellen, hvor det er relevant.
4. Understøttelse af Specifikke Behov: Håndtering af krav som HIPAA (potentielt gennem BAAs og specifikke konfigurationer for lagrede data) og FERPA (gennem passende kontraktvilkår og kontroller), efterhånden som vi engagerer os mere med sundheds- og uddannelsesinstitutioner. Denne rejse kræver omhyggelig planlægning og investering. Selvom vi ikke har umiddelbare tidsplaner for alle certificeringer, er styrkelse af vores overholdelsesposition for at imødekomme behovene i regeringen og regulerede industrier en vigtig del af vores køreplan.

Vi vil fortsætte med at opdatere vores fællesskab, efterhånden som vi når betydelige milepæle på vores overholdelsesrejse.

Hvorfor dette betyder noget for dig

At vælge en Section 889-kompatibel e-mail videresendelses tjeneste som Forward Email betyder:

• Tryghed: Især for offentlige myndigheder, entreprenører og sikkerhedsbevidste organisationer.
• Reduceret risiko: Undgår potentielle konflikter med føderale regler for e-mail.
• Tillid: Viser et engagement i sikkerhed og integritet i forsyningskæden.

Forward Email tilbyder en enkel, pålidelig og kompatibel måde at håndtere dine behov for e-mail videresendelse på dit eget domæne.

Sikker, kompatibel e-mail videresendelse starter her

Forward Email er dedikeret til at levere en sikker, privat og open-source e-mail videresendelses tjeneste. Vores overholdelse af Section 889, opnået gennem vores partnerskab med Cloudflare og DataPacket (der afspejler vores Forward Email overholdelse for US Naval Academy arbejde), er et bevis på dette engagement. Uanset om du er en offentlig myndighed, en entreprenør eller blot værdsætter regeringens e-mailsikkerhed, er Forward Email bygget til dig.

Klar til sikker, kompatibel e-mail videresendelse? Tilmeld dig gratis i dag!

Referencer

• Section 889 (NDAA): https://www.acquisition.gov/Section-889-Policies
• Cloudflare: https://www.cloudflare.com/
• Cloudflare Third Party Code of Conduct: https://cf-assets.www.cloudflare.com/slt3lc6tev37/284hiWkCYNc49GQpAeBvGN/e137cdac96d1c4cd403c6b525831d284/Third_Party_Code_of_Conduct.pdf
• DataPacket: https://datapacket.com/
• System for Award Management (SAM): https://sam.gov/
• Federal Acquisition Regulation (FAR): https://www.acquisition.gov/browse/index/far
• FAR 52.212-4: https://www.acquisition.gov/far/52.212-4
• Defense Federal Acquisition Regulation Supplement (DFARS): https://www.acquisition.gov/dfars
• DFARS 252.239-7010: https://www.acquisition.gov/dfars/252.239-7010-cloud-computing-services.
• Cybersecurity Maturity Model Certification (CMMC): https://dodcio.defense.gov/cmmc/About/
• NIST SP 800-171: https://csrc.nist.gov/pubs/sp/800/171/r3/final
• Federal Risk and Authorization Management Program (FedRAMP): https://www.fedramp.gov/
• Federal Information Security Modernization Act (FISMA): https://www.cisa.gov/topics/cybersecurity-best-practices/fisma
• Health Insurance Portability and Accountability Act (HIPAA): https://www.hhs.gov/hipaa/index.html
• Family Educational Rights and Privacy Act (FERPA): https://studentprivacy.ed.gov/ferpa
• Children's Online Privacy Protection Act (COPPA): https://www.ftc.gov/legal-library/browse/rules/childrens-online-privacy-protection-rule-coppa