Forward Email: La tua soluzione di inoltro email conforme alla Sezione 889

Servizio email del governo federale conforme alla Sezione 889

Prefazione

In Forward Email, crediamo in un inoltro email semplice, sicuro e privato per tutti. Sappiamo che per molte organizzazioni, specialmente quelle che lavorano con il governo degli Stati Uniti, la conformità non è solo una parola d'ordine – è una necessità. Garantire l'aderenza alle normative federali per le email è fondamentale. Per questo siamo orgogliosi di confermare che il nostro servizio di inoltro email sicuro è costruito per soddisfare rigorosi requisiti federali, inclusa la Sezione 889 del National Defense Authorization Act (NDAA).

Il nostro impegno per la conformità delle email governative è stato recentemente messo in pratica quando la US Naval Academy si è rivolta a Forward Email. Avevano bisogno di servizi di inoltro email sicuro e di documentazione che confermasse la nostra adesione alle normative federali, inclusa la conformità alla Sezione 889. Questa esperienza rappresenta un prezioso caso di studio, dimostrando la nostra prontezza e capacità di supportare organizzazioni finanziate dal governo e soddisfare i loro rigorosi requisiti. Questa dedizione si estende a tutti i nostri utenti che cercano una soluzione email affidabile e incentrata sulla privacy.

Comprendere la conformità alla Sezione 889

Cos'è la Sezione 889? In parole semplici, è una legge federale statunitense che vieta alle agenzie governative di utilizzare o contrattare con entità che utilizzano determinati apparecchiature o servizi di telecomunicazioni e videosorveglianza provenienti da specifiche aziende (come Huawei, ZTE, Hikvision, Dahua e Hytera). Questa regola, spesso associata al divieto Huawei e al divieto ZTE, aiuta a proteggere la sicurezza nazionale.

Note

La Sezione 889 prende di mira specificamente apparecchiature e servizi di Huawei, ZTE, Hytera, Hikvision e Dahua, incluse le loro controllate e affiliate.

Per un servizio di inoltro email per contratti governativi come Forward Email, questo significa garantire che nessuno dei nostri fornitori di infrastruttura utilizzi queste apparecchiature proibite, rendendoci conformi alla Sezione 889.

Come Forward Email raggiunge la conformità alla Sezione 889

Quindi, come fa Forward Email a essere conforme alla Sezione 889? Lo otteniamo attraverso una selezione accurata dei nostri partner infrastrutturali. Forward Email si affida esclusivamente a due fornitori chiave per la sua infrastruttura conforme alla Sezione 889:

Cloudflare: Il nostro partner principale per i servizi di rete e la sicurezza email Cloudflare.
DataPacket: Il nostro principale fornitore per l'infrastruttura server (utilizziamo Digital Ocean e/o Vultr per il failover e presto passeremo a utilizzare esclusivamente DataPacket – naturalmente abbiamo confermato per iscritto la conformità alla Sezione 889 da entrambi questi fornitori di failover).

Important

La nostra esclusiva dipendenza da Cloudflare e DataPacket, nessuno dei quali utilizza apparecchiature proibite dalla Sezione 889, è la pietra angolare della nostra conformità. Sia Cloudflare che DataPacket sono impegnati a mantenere elevati standard di sicurezza e non utilizzano apparecchiature vietate ai sensi della Sezione 889. Utilizzare Cloudflare e DataPacket per la conformità alla Sezione 889 è fondamentale per il nostro servizio.

Impegno di Cloudflare

Cloudflare affronta esplicitamente la conformità alla Sezione 889 nel loro Codice di Condotta per Terze Parti. Essi dichiarano:

"Ai sensi della Sezione 889 del National Defense Authorization Act (NDAA), Cloudflare non utilizza, né consente nella propria catena di fornitura, apparecchiature per telecomunicazioni, prodotti per videosorveglianza o servizi prodotti o forniti da Huawei Technologies Company, ZTE Corporation, Hytera Communications Corporation, Hangzhou Hikvision Digital Technology Company o Dahua Technology Company (o qualsiasi loro controllata o affiliata)."

(Fonte: Codice di Condotta per Terze Parti di Cloudflare, consultato il 29 aprile 2025)

Questa chiara dichiarazione conferma che l'infrastruttura di Cloudflare, su cui si basa Forward Email, soddisfa i requisiti della Sezione 889.

Infrastruttura di DataPacket

DataPacket, il nostro fornitore di server, utilizza apparecchiature di rete esclusivamente di Arista Networks e Cisco. Né Arista né Cisco sono tra le aziende vietate ai sensi della Sezione 889. Entrambi sono fornitori consolidati, ampiamente utilizzati in ambienti aziendali e governativi sicuri, noti per aderire a rigorosi standard di sicurezza e conformità.

Utilizzando solo Cloudflare e DataPacket, Forward Email garantisce che l'intera catena di erogazione del servizio sia priva di apparecchiature vietate dalla Sezione 889, offrendo un inoltro email sicuro per agenzie federali e altri utenti attenti alla sicurezza.

Oltre la Sezione 889: Conformità Governativa più Ampia

Il nostro impegno per la sicurezza e conformità delle email governative va oltre la Sezione 889. Sebbene Forward Email non elabori o memorizzi direttamente dati governativi sensibili come le Informazioni Controllate Non Classificate (CUI) allo stesso modo di una grande piattaforma SaaS, la nostra architettura di inoltro email open-source e la dipendenza da fornitori sicuri e conformi sono in linea con i principi di altre normative chiave:

FAR (Federal Acquisition Regulation): Utilizzando un'infrastruttura conforme e offrendo un servizio commerciale semplice, forniamo principi di inoltro email conformi al FAR adatti ai contraenti governativi.
Privacy Act & FISMA: Siamo orientati alla privacy per progettazione, offrendo principi di email conformi alla Privacy Act. Non memorizziamo le tue email. Le email vengono inoltrate direttamente, minimizzando la gestione dei dati. I nostri fornitori di infrastruttura (Cloudflare, DataPacket) gestiscono i loro sistemi secondo elevati standard di sicurezza coerenti con i principi di email conforme a FISMA.
HIPAA: Per le organizzazioni che necessitano di inoltro email conforme a HIPAA, Forward Email può far parte di una soluzione conforme. Poiché non memorizziamo le email, la responsabilità principale della conformità ricade sui sistemi email di destinazione. Tuttavia, il nostro livello di trasporto sicuro supporta i requisiti HIPAA se utilizzato correttamente.

Warning

Potrebbe essere necessario un Business Associate Agreement (BAA) con il tuo provider email finale, non con Forward Email stesso, poiché non memorizziamo il contenuto delle tue email (a meno che tu non utilizzi il nostro livello di archiviazione IMAP/POP3 crittografato).

Il Nostro Percorso Futuro: Espandere gli Orizzonti della Conformità

Sebbene la nostra conformità alla Sezione 889 fornisca una base cruciale, specialmente per i contraenti federali, comprendiamo che diverse organizzazioni e agenzie governative hanno esigenze normative diverse e in evoluzione. In Forward Email, la trasparenza è fondamentale, e vogliamo condividere la nostra prospettiva sul panorama più ampio della conformità e sulla nostra direzione futura.

Riconosciamo l'importanza di framework e regolamenti quali:

System for Award Management (SAM): Essenziale per la contrattazione diretta con il governo federale.
FAR (Federal Acquisition Regulation): Inclusi clausole standard come FAR 52.212-4 per servizi commerciali.
DFARS (Defense Federal Acquisition Regulation Supplement): In particolare DFARS 252.239-7010 per i servizi cloud del Dipartimento della Difesa.
CMMC (Cybersecurity Maturity Model Certification): Richiesto per i contraenti DoD che gestiscono Federal Contract Information (FCI) o CUI.
NIST SP 800-171: La base per il CMMC Livello 2, focalizzato sulla protezione del CUI. (NIST - National Institute of Standards and Technology)
FedRAMP (Federal Risk and Authorization Management Program): Lo standard per i servizi cloud utilizzati dalle agenzie federali.
FISMA (Federal Information Security Modernization Act): Il quadro generale per la sicurezza delle informazioni federali.
HIPAA (Health Insurance Portability and Accountability Act): Per la gestione delle Informazioni Sanitarie Protette (PHI).
FERPA (Family Educational Rights and Privacy Act): Per la protezione dei registri educativi degli studenti.
COPPA (Children's Online Privacy Protection Act): Per i servizi che trattano con bambini sotto i 13 anni.

La Nostra Posizione Attuale e gli Obiettivi Futuri:

Il design core di Forward Email – essere incentrato sulla privacy, open-source e minimizzare la gestione dei dati (specialmente nel nostro servizio base di inoltro email) – si allinea bene con i principi alla base di molte di queste normative. Le nostre pratiche di sicurezza esistenti (crittografia, supporto per standard email moderni) e la conformità alla Sezione 889 forniscono un solido punto di partenza.

Tuttavia, ottenere una certificazione formale o un'autorizzazione per framework come FedRAMP o CMMC è un'impresa significativa. Richiede una documentazione rigorosa, l'implementazione di controlli tecnici e procedurali specifici (spesso centinaia), valutazioni indipendenti (come 3PAO per FedRAMP - Third-Party Assessment Organization) e monitoraggio continuo.

Important

La conformità non riguarda solo la tecnologia; riguarda processi documentati, politiche e vigilanza continua. Ottenere certificazioni come FedRAMP o CMMC richiede investimenti e tempo sostanziali.

Il Nostro Impegno:

Man mano che Forward Email cresce e le esigenze dei nostri clienti evolvono, ci impegniamo a esplorare e perseguire le certificazioni di conformità rilevanti. Ciò include piani per:

Registrazione SAM: Per facilitare l'ingaggio diretto con le agenzie federali statunitensi.
Formalizzazione dei Processi: Migliorare la nostra documentazione interna e le procedure per allinearci a standard come NIST SP 800-171, che costituisce la base per CMMC.
Valutazione dei Percorsi FedRAMP: Analizzare i requisiti e la fattibilità di perseguire l'autorizzazione FedRAMP, probabilmente iniziando con un baseline Low o Moderate, potenzialmente sfruttando il modello LI-SaaS dove applicabile.
Supporto a Esigenze Specifiche: Affrontare requisiti come HIPAA (potenzialmente tramite BAA e configurazioni specifiche per i dati archiviati) e FERPA (tramite termini contrattuali e controlli appropriati) man mano che ci interfacciamo maggiormente con istituzioni sanitarie ed educative. Questo percorso richiede una pianificazione attenta e investimenti. Sebbene non abbiamo tempistiche immediate per tutte le certificazioni, rafforzare la nostra posizione di conformità per soddisfare le esigenze del governo e delle industrie regolamentate è una parte fondamentale della nostra roadmap.

Note

Crediamo che la nostra natura open-source offra una trasparenza unica durante tutto questo processo, permettendo alla nostra comunità e ai nostri clienti di vedere direttamente il nostro impegno.

Continueremo ad aggiornare la nostra comunità man mano che raggiungiamo traguardi significativi nel nostro percorso di conformità.

Perché è Importante per Te

Scegliere un servizio di inoltro email conforme alla Sezione 889 come Forward Email significa:

Tranquillità: Specialmente per agenzie governative, appaltatori e organizzazioni attente alla sicurezza.
Rischio Ridotto: Evita potenziali conflitti con le normative federali per le email.
Fiducia: Dimostra un impegno verso la sicurezza e l'integrità della catena di fornitura.

Forward Email offre un modo semplice, affidabile e conforme per gestire le tue esigenze di inoltro email con dominio personalizzato.

L'Inoltro Email Sicuro e Conforme Inizia Qui

Forward Email è dedicato a fornire un servizio di inoltro email sicuro, privato e open-source. La nostra conformità alla Sezione 889, raggiunta attraverso la nostra partnership con Cloudflare e DataPacket (che riflette il nostro lavoro di conformità Forward Email per la US Naval Academy), è una testimonianza di questo impegno. Che tu sia un ente governativo, un appaltatore o semplicemente dia valore alla sicurezza delle email governative, Forward Email è fatto per te.

Pronto per un inoltro email sicuro e conforme? Iscriviti gratuitamente oggi!

Riferimenti

Sezione 889 (NDAA): https://www.acquisition.gov/Section-889-Policies
Cloudflare: https://www.cloudflare.com/
Codice di Condotta di Terze Parti di Cloudflare: https://cf-assets.www.cloudflare.com/slt3lc6tev37/284hiWkCYNc49GQpAeBvGN/e137cdac96d1c4cd403c6b525831d284/Third_Party_Code_of_Conduct.pdf
DataPacket: https://datapacket.com/
System for Award Management (SAM): https://sam.gov/
Federal Acquisition Regulation (FAR): https://www.acquisition.gov/browse/index/far
FAR 52.212-4: https://www.acquisition.gov/far/52.212-4
Defense Federal Acquisition Regulation Supplement (DFARS): https://www.acquisition.gov/dfars
DFARS 252.239-7010: https://www.acquisition.gov/dfars/252.239-7010-cloud-computing-services.
Cybersecurity Maturity Model Certification (CMMC): https://dodcio.defense.gov/cmmc/About/
NIST SP 800-171: https://csrc.nist.gov/pubs/sp/800/171/r3/final
Federal Risk and Authorization Management Program (FedRAMP): https://www.fedramp.gov/
Federal Information Security Modernization Act (FISMA): https://www.cisa.gov/topics/cybersecurity-best-practices/fisma
Health Insurance Portability and Accountability Act (HIPAA): https://www.hhs.gov/hipaa/index.html
Family Educational Rights and Privacy Act (FERPA): https://studentprivacy.ed.gov/ferpa
Children's Online Privacy Protection Act (COPPA): https://www.ftc.gov/legal-library/browse/rules/childrens-online-privacy-protection-rule-coppa