포워드 이메일: 귀하의 섹션 889 준수 이메일 전달 솔루션

Federal government email service Section 889 compliant

서문

포워드 이메일에서는 모두를 위한 간단하고 안전하며 개인 정보 보호가 보장된 이메일 전달을 믿습니다. 특히 미국 정부와 협력하는 많은 조직에게 준수는 단순한 유행어가 아니라 필수 사항임을 알고 있습니다. 연방 이메일 규정 준수를 보장하는 것은 매우 중요합니다. 그래서 저희는 국방수권법(NDAA)의 섹션 889를 포함한 엄격한 연방 요구사항을 충족하도록 구축된 안전한 이메일 전달 서비스를 제공함을 자랑스럽게 확인합니다.

저희의 정부 이메일 준수에 대한 약속은 최근 미 해군사관학교가 포워드 이메일에 접근했을 때 실질적으로 입증되었습니다. 그들은 안전한 이메일 전달 서비스를 필요로 했으며, 섹션 889 준수를 포함한 연방 규정 준수를 확인하는 문서가 필요했습니다. 이 경험은 정부 자금 지원 조직을 지원하고 엄격한 요구사항을 충족할 준비와 능력을 보여주는 귀중한 사례 연구가 되었습니다. 이러한 헌신은 신뢰할 수 있고 개인정보 중심 이메일 솔루션을 찾는 모든 사용자에게 확장됩니다.

섹션 889 준수 이해하기

섹션 889란 무엇일까요? 간단히 말해, 특정 회사(화웨이, ZTE, Hikvision, Dahua, Hytera 등)의 통신 및 비디오 감시 장비 또는 서비스를 사용하는 정부 기관이나 계약 업체를 금지하는 미국 연방 법률입니다. 이 규칙은 종종 화웨이 금지 및 ZTE 금지와 연관되어 국가 안보를 보호하는 데 도움을 줍니다.

Note

섹션 889는 특히 화웨이, ZTE, Hytera, Hikvision, Dahua 및 그 자회사와 계열사의 장비 및 서비스를 대상으로 합니다.

정부 계약용 이메일 전달 서비스인 포워드 이메일에게 이는 저희의 기반 인프라 제공업체 중 어느 곳도 이 금지된 장비를 사용하지 않도록 보장하여, 저희가 섹션 889 준수를 달성함을 의미합니다.

포워드 이메일이 섹션 889를 준수하는 방법

그렇다면, 포워드 이메일은 어떻게 섹션 889를 준수할까요? 저희는 인프라 파트너를 신중하게 선택함으로써 이를 달성합니다. 포워드 이메일은 섹션 889 준수 인프라를 위해 두 가지 주요 제공업체에만 전적으로 의존합니다:

클라우드플레어: 네트워크 서비스 및 클라우드플레어 이메일 보안을 위한 주요 파트너입니다.
데이터패킷: 서버 인프라의 주요 제공업체입니다 (저희는 장애 조치를 위해 디지털 오션 및/또는 벌트를 사용하며 곧 데이터패킷만 사용할 예정입니다 – 물론 이 두 장애 조치 제공업체 모두로부터 섹션 889 준수를 서면으로 확인했습니다).

Important

섹션 889 금지 장비를 사용하지 않는 클라우드플레어와 데이터패킷에만 전적으로 의존하는 것이 저희 준수의 핵심입니다. Both Cloudflare and DataPacket는 높은 보안 기준을 준수하며 Section 889에 의해 금지된 장비를 사용하지 않습니다. Section 889 준수를 위한 Cloudflare 및 DataPacket 사용은 저희 서비스의 기본입니다.

Cloudflare의 약속

Cloudflare는 **제3자 행동 강령**에서 Section 889 준수를 명확히 언급하고 있습니다. 그들은 다음과 같이 명시합니다:

"국방수권법(NDAA) Section 889에 따라, Cloudflare는 Huawei Technologies Company, ZTE Corporation, Hytera Communications Corporation, Hangzhou Hikvision Digital Technology Company, 또는 Dahua Technology Company(또는 해당 법인의 자회사나 계열사)가 생산하거나 제공하는 통신 장비, 비디오 감시 제품 또는 서비스를 사용하거나 공급망 내에서 허용하지 않습니다."

(출처: Cloudflare 제3자 행동 강령, 2025년 4월 29일 조회)

이 명확한 진술은 Cloudflare의 인프라가 Forward Email이 활용하는 인프라로서 Section 889 요구사항을 충족함을 확인합니다.

DataPacket의 인프라

DataPacket, 저희 서버 제공업체는 Arista Networks와 Cisco의 네트워킹 장비만을 사용합니다. Arista와 Cisco는 Section 889에 의해 금지된 회사에 포함되지 않습니다. 두 회사 모두 엄격한 보안 및 준수 기준을 준수하는 것으로 알려진, 안전한 기업 및 정부 환경에서 널리 사용되는 검증된 공급업체입니다.

Cloudflare와 DataPacket만을 사용함으로써, Forward Email은 Section 889 금지 장비가 전혀 포함되지 않은 서비스 전달 체인을 보장하며, 연방 기관 및 보안에 민감한 사용자들을 위한 안전한 이메일 전달을 제공합니다.

Section 889를 넘어서: 더 넓은 정부 준수

저희의 정부 이메일 보안 및 준수에 대한 약속은 Section 889를 넘어 확장됩니다. Forward Email 자체는 대규모 SaaS 플랫폼처럼 통제된 비밀 정보(CUI)와 같은 민감한 정부 데이터를 직접 처리하거나 저장하지 않지만, 저희의 오픈 소스 이메일 전달 아키텍처와 안전하고 준수하는 공급자에 대한 의존은 다른 주요 규정의 원칙과 일치합니다:

FAR (연방 조달 규정): 준수 인프라를 사용하고 간단한 상업 서비스를 제공함으로써, 정부 계약자에게 적합한 FAR 준수 이메일 전달 원칙을 제공합니다.
개인정보 보호법 & FISMA: 저희는 설계 단계부터 개인정보 보호 중심이며, 개인정보 보호법 이메일 원칙을 제공합니다. 이메일을 저장하지 않고 직접 전달하여 데이터 처리를 최소화합니다. 저희 인프라 제공업체(Cloudflare, DataPacket)는 FISMA 준수 이메일 원칙에 부합하는 높은 보안 기준에 따라 시스템을 관리합니다.
HIPAA: HIPAA 준수 이메일 전달이 필요한 조직의 경우, Forward Email은 준수 솔루션의 일부가 될 수 있습니다. 이메일을 저장하지 않기 때문에 주요 준수 책임은 최종 이메일 시스템에 있습니다. 그러나 저희의 안전한 전송 계층은 올바르게 사용될 경우 HIPAA 요구사항을 지원합니다.

Warning

비즈니스 협력 계약(BAA)은 최종 이메일 제공업체와 체결해야 할 수 있으며, Forward Email 자체와는 관련이 없습니다. 저희는 이메일 내용을 저장하지 않기 때문입니다(단, 저희의 암호화된 IMAP/POP3 저장 계층을 사용하는 경우는 예외입니다).

우리의 미래 방향: 컴플라이언스 지평 확장

우리의 섹션 889 준수는 특히 연방 계약자에게 중요한 기반을 제공하지만, 다양한 조직과 정부 기관이 각기 다르고 진화하는 규제 요구를 가지고 있음을 이해하고 있습니다. Forward Email에서는 투명성을 핵심 가치로 삼고 있으며, 더 넓은 컴플라이언스 환경과 우리의 미래 방향에 대한 관점을 공유하고자 합니다.

우리는 다음과 같은 프레임워크와 규정의 중요성을 인식하고 있습니다:

System for Award Management (SAM): 직접 연방 계약에 필수적입니다.
FAR (Federal Acquisition Regulation): 상업 서비스에 대한 FAR 52.212-4와 같은 표준 조항 포함.
DFARS (Defense Federal Acquisition Regulation Supplement): 특히 DoD 클라우드 서비스용 DFARS 252.239-7010 조항.
CMMC (Cybersecurity Maturity Model Certification): Federal Contract Information (FCI) 또는 CUI를 다루는 DoD 계약자에게 요구됨.
NIST SP 800-171: CMMC 레벨 2의 기반으로, CUI 보호에 중점. (NIST - 미국 국립표준기술연구소)
FedRAMP (Federal Risk and Authorization Management Program): 연방 기관에서 사용하는 클라우드 서비스의 표준.
FISMA (Federal Information Security Modernization Act): 연방 정보 보안의 전반적인 프레임워크.
HIPAA (Health Insurance Portability and Accountability Act): 보호 건강 정보(PHI) 처리용.
FERPA (Family Educational Rights and Privacy Act): 학생 교육 기록 보호용.
COPPA (Children's Online Privacy Protection Act): 13세 미만 아동 대상 서비스용.

현재 위치와 미래 목표:

Forward Email의 핵심 설계는 개인정보 보호 중심, 오픈 소스, 그리고 기본 이메일 전달 서비스에서 특히 데이터 처리 최소화에 중점을 두어 이러한 규정들의 원칙과 잘 부합합니다. 기존의 보안 관행(암호화, 최신 이메일 표준 지원)과 섹션 889 준수는 강력한 출발점입니다.

하지만 FedRAMP나 CMMC와 같은 프레임워크에 대한 공식 인증 또는 승인을 받는 것은 상당한 노력이 필요합니다. 이는 엄격한 문서화, 수백 개에 달하는 특정 기술 및 절차적 통제의 구현, 독립 평가(예: FedRAMP의 3PAO - 제3자 평가 기관), 그리고 지속적인 모니터링을 포함합니다.

Important

컴플라이언스는 단순히 기술적인 문제가 아니라 문서화된 프로세스, 정책, 그리고 지속적인 감시를 의미합니다. FedRAMP나 CMMC와 같은 인증을 획득하려면 상당한 투자와 시간이 필요합니다.

우리의 약속:

Forward Email이 성장하고 고객의 요구가 진화함에 따라, 관련 컴플라이언스 인증을 탐색하고 추구하는 데 전념할 것입니다. 여기에는 다음 계획이 포함됩니다:

SAM 등록: 미국 연방 기관과의 직접적인 협력을 용이하게 하기 위해.
프로세스 공식화: CMMC의 기반이 되는 NIST SP 800-171과 같은 표준에 맞춰 내부 문서화 및 절차 강화.
FedRAMP 경로 평가: Low 또는 Moderate 기준부터 시작하여, 필요 시 LI-SaaS 모델을 활용하는 등 FedRAMP 승인 요건과 실현 가능성 평가.
특정 요구 지원: 의료 및 교육 기관과의 협력을 확대하면서 HIPAA(BAA 및 저장 데이터에 대한 특정 구성 포함)와 FERPA(적절한 계약 조건 및 통제)를 충족하는 요구사항 대응. 이 여정은 신중한 계획과 투자가 필요합니다. 모든 인증에 대한 즉각적인 일정은 없지만, 정부 및 규제 산업의 요구를 충족하기 위해 우리의 컴플라이언스 태세를 강화하는 것은 로드맵의 핵심 부분입니다.

Note

우리는 우리의 오픈 소스 특성이 이 과정 전반에 걸쳐 독특한 투명성을 제공하여, 커뮤니티와 고객이 우리의 헌신을 직접 확인할 수 있다고 믿습니다.

우리는 컴플라이언스 여정에서 중요한 이정표에 도달할 때마다 커뮤니티에 계속 업데이트할 것입니다.

이것이 당신에게 중요한 이유

Section 889 준수 이메일 전달 서비스인 Forward Email을 선택한다는 것은:

마음의 평화: 특히 정부 기관, 계약자 및 보안에 민감한 조직에 적합합니다.
위험 감소: 이메일에 대한 연방 규정과의 잠재적 충돌을 피할 수 있습니다.
신뢰: 보안 및 공급망 무결성에 대한 헌신을 보여줍니다.

Forward Email은 맞춤 도메인 이메일 전달 요구를 간단하고 신뢰할 수 있으며 준수하는 방식으로 제공합니다.

안전하고 준수하는 이메일 전달은 여기서 시작됩니다

Forward Email은 안전하고, 개인적이며, 오픈 소스 이메일 전달 서비스를 제공하는 데 전념하고 있습니다. Cloudflare 및 DataPacket과의 파트너십을 통해 달성한 Section 889 준수(이는 미 해군사관학교를 위한 Forward Email 준수 작업을 반영함)는 이러한 헌신의 증거입니다. 정부 기관이든, 계약자이든, 단순히 정부 이메일 보안을 중요시하든, Forward Email은 당신을 위해 만들어졌습니다.

안전하고 준수하는 이메일 전달을 준비되셨나요? 오늘 무료로 가입하세요!

참고 문헌

Section 889 (NDAA): https://www.acquisition.gov/Section-889-Policies
Cloudflare: https://www.cloudflare.com/
Cloudflare Third Party Code of Conduct: https://cf-assets.www.cloudflare.com/slt3lc6tev37/284hiWkCYNc49GQpAeBvGN/e137cdac96d1c4cd403c6b525831d284/Third_Party_Code_of_Conduct.pdf
DataPacket: https://datapacket.com/
System for Award Management (SAM): https://sam.gov/
Federal Acquisition Regulation (FAR): https://www.acquisition.gov/browse/index/far
FAR 52.212-4: https://www.acquisition.gov/far/52.212-4
Defense Federal Acquisition Regulation Supplement (DFARS): https://www.acquisition.gov/dfars
DFARS 252.239-7010: https://www.acquisition.gov/dfars/252.239-7010-cloud-computing-services.
Cybersecurity Maturity Model Certification (CMMC): https://dodcio.defense.gov/cmmc/About/
NIST SP 800-171: https://csrc.nist.gov/pubs/sp/800/171/r3/final
Federal Risk and Authorization Management Program (FedRAMP): https://www.fedramp.gov/
Federal Information Security Modernization Act (FISMA): https://www.cisa.gov/topics/cybersecurity-best-practices/fisma
Health Insurance Portability and Accountability Act (HIPAA): https://www.hhs.gov/hipaa/index.html
Family Educational Rights and Privacy Act (FERPA): https://studentprivacy.ed.gov/ferpa
Children's Online Privacy Protection Act (COPPA): https://www.ftc.gov/legal-library/browse/rules/childrens-online-privacy-protection-rule-coppa