Forward Email: Sua Solução de Encaminhamento de Email em Conformidade com a Seção 889

Serviço de email do governo federal em conformidade com a Seção 889

Prefácio

No Forward Email, acreditamos em encaminhamento de email simples, seguro e privado para todos. Sabemos que para muitas organizações, especialmente aquelas que trabalham com o governo dos EUA, conformidade não é apenas uma palavra da moda – é uma necessidade. Garantir a adesão às regulamentações federais para email é crucial. Por isso, temos orgulho em confirmar que nosso serviço de encaminhamento seguro de email foi construído para atender aos rigorosos requisitos federais, incluindo a Seção 889 do National Defense Authorization Act (NDAA).

Nosso compromisso com a conformidade de email governamental foi recentemente colocado em prática quando a US Naval Academy procurou o Forward Email. Eles precisavam de serviços de encaminhamento seguro de email e de documentação confirmando nossa adesão às regulamentações federais, incluindo a conformidade com a Seção 889. Essa experiência serve como um estudo de caso valioso, demonstrando nossa prontidão e capacidade para apoiar organizações financiadas pelo governo e atender seus rigorosos requisitos. Essa dedicação se estende a todos os nossos usuários que buscam uma solução de email focada em privacidade confiável.

Entendendo a Conformidade com a Seção 889

O que é a Seção 889? Simplificando, é uma lei federal dos EUA que proíbe agências governamentais de usar ou contratar com entidades que utilizem certos equipamentos ou serviços de telecomunicações e vigilância por vídeo de empresas específicas (como Huawei, ZTE, Hikvision, Dahua e Hytera). Essa regra, frequentemente associada à proibição da Huawei e proibição da ZTE, ajuda a proteger a segurança nacional.

Note

A Seção 889 direciona especificamente equipamentos e serviços da Huawei, ZTE, Hytera, Hikvision e Dahua, incluindo suas subsidiárias e afiliadas.

Para um serviço de encaminhamento de email para contratos governamentais como o Forward Email, isso significa garantir que nenhum dos nossos provedores de infraestrutura utilize esses equipamentos proibidos, tornando-nos conformes com a Seção 889.

Como o Forward Email Alcança a Conformidade com a Seção 889

Então, como o Forward Email é conforme com a Seção 889? Conseguimos isso por meio da seleção cuidadosa de nossos parceiros de infraestrutura. O Forward Email depende exclusivamente de dois provedores principais para sua infraestrutura conforme com a Seção 889:

Cloudflare: Nosso parceiro principal para serviços de rede e segurança de email Cloudflare.
DataPacket: Nosso provedor principal para infraestrutura de servidores (usamos Digital Ocean e/ou Vultr para failover e em breve faremos a transição para usar exclusivamente a DataPacket – claro que confirmamos por escrito a conformidade com a Seção 889 de ambos esses provedores de failover).

Important

Nossa dependência exclusiva da Cloudflare e DataPacket, nenhuma das quais utiliza equipamentos proibidos pela Seção 889, é a base da nossa conformidade. Tanto a Cloudflare quanto a DataPacket estão comprometidas com altos padrões de segurança e não utilizam equipamentos proibidos pela Seção 889. Usar Cloudflare e DataPacket para conformidade com a Seção 889 é fundamental para o nosso serviço.

Compromisso da Cloudflare

Cloudflare aborda explicitamente a conformidade com a Seção 889 em seu Código de Conduta de Terceiros. Eles afirmam:

"De acordo com a Seção 889 da Lei de Autorização de Defesa Nacional (NDAA), a Cloudflare não utiliza, nem permite em sua cadeia de suprimentos, equipamentos de telecomunicações, produtos de vigilância por vídeo ou serviços produzidos ou fornecidos pela Huawei Technologies Company, ZTE Corporation, Hytera Communications Corporation, Hangzhou Hikvision Digital Technology Company ou Dahua Technology Company (ou qualquer subsidiária ou afiliada dessas entidades)."

(Fonte: Código de Conduta de Terceiros da Cloudflare, consultado em 29 de abril de 2025)

Esta declaração clara confirma que a infraestrutura da Cloudflare, que o Forward Email utiliza, atende aos requisitos da Seção 889.

Infraestrutura da DataPacket

DataPacket, nosso provedor de servidores, utiliza equipamentos de rede exclusivamente da Arista Networks e Cisco. Nem Arista nem Cisco estão entre as empresas proibidas pela Seção 889. Ambas são fornecedoras consolidadas, amplamente utilizadas em ambientes empresariais e governamentais seguros, conhecidas por seguir rigorosos padrões de segurança e conformidade.

Ao usar apenas Cloudflare e DataPacket, o Forward Email garante que toda a sua cadeia de entrega de serviço está livre de equipamentos proibidos pela Seção 889, proporcionando encaminhamento de e-mail seguro para agências federais e outros usuários preocupados com segurança.

Além da Seção 889: Conformidade Governamental Ampliada

Nosso compromisso com a segurança e conformidade de e-mails governamentais vai além da Seção 889. Embora o próprio Forward Email não processe ou armazene diretamente dados governamentais sensíveis como Informações Controladas Não Classificadas (CUI) da mesma forma que uma grande plataforma SaaS poderia, nossa arquitetura de encaminhamento de e-mail open-source e a dependência de provedores seguros e em conformidade estão alinhadas com os princípios de outras regulamentações importantes:

FAR (Federal Acquisition Regulation): Ao usar infraestrutura em conformidade e oferecer um serviço comercial simples, fornecemos princípios de encaminhamento de e-mail compatíveis com FAR adequados para contratantes governamentais.
Lei de Privacidade & FISMA: Somos focados em privacidade por design, oferecendo princípios de e-mail da Lei de Privacidade. Não armazenamos seus e-mails. Os e-mails são encaminhados diretamente, minimizando o manuseio de dados. Nossos provedores de infraestrutura (Cloudflare, DataPacket) gerenciam seus sistemas de acordo com altos padrões de segurança consistentes com os princípios de e-mail compatível com FISMA.
HIPAA: Para organizações que precisam de encaminhamento de e-mail compatível com HIPAA, o Forward Email pode fazer parte de uma solução em conformidade. Como não armazenamos e-mails, a principal responsabilidade de conformidade recai sobre os sistemas de e-mail do ponto final. No entanto, nossa camada de transporte segura suporta os requisitos da HIPAA quando usada corretamente.

Warning

Um Acordo de Associado Comercial (BAA) pode ser necessário com seu provedor final de e-mail, não com o próprio Forward Email, pois não armazenamos o conteúdo do seu e-mail (a menos que você use nossa camada de armazenamento IMAP/POP3 criptografada).

Nosso Caminho a Seguir: Expandindo os Horizontes de Conformidade

Embora nossa conformidade com a Seção 889 forneça uma base crucial, especialmente para contratantes federais, entendemos que diferentes organizações e agências governamentais possuem necessidades regulatórias diversas e em evolução. Na Forward Email, a transparência é fundamental, e queremos compartilhar nossa perspectiva sobre o panorama mais amplo da conformidade e nossa direção futura.

Reconhecemos a importância de frameworks e regulamentos como:

System for Award Management (SAM): Essencial para contratação federal direta.
FAR (Federal Acquisition Regulation): Incluindo cláusulas padrão como FAR 52.212-4 para serviços comerciais.
DFARS (Defense Federal Acquisition Regulation Supplement): Particularmente DFARS 252.239-7010 para serviços em nuvem do DoD.
CMMC (Cybersecurity Maturity Model Certification): Exigido para contratantes do DoD que lidam com Federal Contract Information (FCI) ou CUI.
NIST SP 800-171: A base para o CMMC Nível 2, focado na proteção do CUI. (NIST - Instituto Nacional de Padrões e Tecnologia)
FedRAMP (Federal Risk and Authorization Management Program): O padrão para serviços em nuvem usados por agências federais.
FISMA (Federal Information Security Modernization Act): O framework abrangente para segurança da informação federal.
HIPAA (Health Insurance Portability and Accountability Act): Para o manuseio de Informações de Saúde Protegidas (PHI).
FERPA (Family Educational Rights and Privacy Act): Para proteger registros educacionais de estudantes.
COPPA (Children's Online Privacy Protection Act): Para serviços que lidam com crianças menores de 13 anos.

Nossa Posição Atual e Metas Futuras:

O design central da Forward Email – sendo focado em privacidade, open-source e minimizando o tratamento de dados (especialmente em nosso serviço básico de encaminhamento de e-mail) – está bem alinhado com os princípios por trás de muitos desses regulamentos. Nossas práticas de segurança existentes (criptografia, suporte a padrões modernos de e-mail) e conformidade com a Seção 889 fornecem um ponto de partida sólido.

No entanto, alcançar certificação formal ou autorização para frameworks como FedRAMP ou CMMC é um empreendimento significativo. Envolve documentação rigorosa, implementação de controles técnicos e procedimentais específicos (frequentemente centenas deles), avaliações independentes (como 3PAO para FedRAMP - Organização de Avaliação de Terceiros), e monitoramento contínuo.

Important

Conformidade não é apenas sobre tecnologia; é sobre processos documentados, políticas e vigilância contínua. Alcançar certificações como FedRAMP ou CMMC requer investimento e tempo substanciais.

Nosso Compromisso:

À medida que a Forward Email cresce e as necessidades de nossos clientes evoluem, estamos comprometidos em explorar e buscar certificações de conformidade relevantes. Isso inclui planos para:

Registro no SAM: Para facilitar o engajamento direto com agências federais dos EUA.
Formalização de Processos: Aprimorar nossa documentação interna e procedimentos para alinhar com padrões como o NIST SP 800-171, que forma a base para o CMMC.
Avaliação dos Caminhos FedRAMP: Avaliar os requisitos e a viabilidade de buscar autorização FedRAMP, provavelmente começando com uma baseline Baixa ou Moderada, potencialmente aproveitando o modelo LI-SaaS quando aplicável.
Apoio a Necessidades Específicas: Atender requisitos como HIPAA (potencialmente por meio de BAAs e configurações específicas para dados armazenados) e FERPA (por meio de termos contratuais e controles apropriados) à medida que nos envolvemos mais com instituições de saúde e educacionais. Esta jornada requer planejamento cuidadoso e investimento. Embora não tenhamos prazos imediatos para todas as certificações, fortalecer nossa postura de conformidade para atender às necessidades do governo e de indústrias reguladas é uma parte fundamental do nosso roteiro.

Note

Acreditamos que nossa natureza open-source proporciona transparência única durante todo esse processo, permitindo que nossa comunidade e clientes vejam nosso compromisso em primeira mão.

Continuaremos a atualizar nossa comunidade à medida que alcançarmos marcos significativos em nossa jornada de conformidade.

Por Que Isso Importa Para Você

Escolher um serviço de encaminhamento de email compatível com a Seção 889 como o Forward Email significa:

Tranquilidade: Especialmente para agências governamentais, contratantes e organizações preocupadas com segurança.
Risco Reduzido: Evita potenciais conflitos com regulamentações federais para email.
Confiança: Demonstra um compromisso com a segurança e a integridade da cadeia de suprimentos.

Forward Email oferece uma maneira simples, confiável e compatível de gerenciar suas necessidades de encaminhamento de email para domínios personalizados.

Encaminhamento de Email Seguro e em Conformidade Começa Aqui

Forward Email é dedicado a fornecer um serviço de encaminhamento de email seguro, privado e open-source. Nossa conformidade com a Seção 889, alcançada por meio de nossa parceria com Cloudflare e DataPacket (refletindo nosso trabalho de conformidade do Forward Email para a Academia Naval dos EUA), é uma prova desse compromisso. Seja você uma entidade governamental, um contratante ou simplesmente valorize a segurança de email governamental, o Forward Email foi feito para você.

Pronto para um encaminhamento de email seguro e em conformidade? Cadastre-se gratuitamente hoje!

Referências

Seção 889 (NDAA): https://www.acquisition.gov/Section-889-Policies
Cloudflare: https://www.cloudflare.com/
Código de Conduta de Terceiros da Cloudflare: https://cf-assets.www.cloudflare.com/slt3lc6tev37/284hiWkCYNc49GQpAeBvGN/e137cdac96d1c4cd403c6b525831d284/Third_Party_Code_of_Conduct.pdf
DataPacket: https://datapacket.com/
Sistema para Gerenciamento de Premiações (SAM): https://sam.gov/
Regulamento Federal de Aquisições (FAR): https://www.acquisition.gov/browse/index/far
FAR 52.212-4: https://www.acquisition.gov/far/52.212-4
Suplemento do Regulamento Federal de Aquisições de Defesa (DFARS): https://www.acquisition.gov/dfars
DFARS 252.239-7010: https://www.acquisition.gov/dfars/252.239-7010-cloud-computing-services.
Certificação do Modelo de Maturidade em Cibersegurança (CMMC): https://dodcio.defense.gov/cmmc/About/
NIST SP 800-171: https://csrc.nist.gov/pubs/sp/800/171/r3/final
Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP): https://www.fedramp.gov/
Lei Federal de Modernização da Segurança da Informação (FISMA): https://www.cisa.gov/topics/cybersecurity-best-practices/fisma
Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA): https://www.hhs.gov/hipaa/index.html
Lei de Direitos Educacionais e Privacidade da Família (FERPA): https://studentprivacy.ed.gov/ferpa
Lei de Proteção à Privacidade Online das Crianças (COPPA): https://www.ftc.gov/legal-library/browse/rules/childrens-online-privacy-protection-rule-coppa