Conformidade com o DFARS para contratados do DoD: Práticas recomendadas

O que é DFARS?

DFARS significa Suplemento do Regulamento de Aquisições Federais de Defesa. É um conjunto de regulamentações utilizadas pela Departamento de Defesa dos EUA (DoD) para complementar o Regulamentação Federal de Aquisições (FAR), que rege o processo de aquisição para agências federais. O DFARS foi criado para fornecer orientações e requisitos adicionais específicos para aquisições de defesa, incluindo contratos, compras e subcontratações, a fim de garantir que o DoD adquira bens e serviços de forma a promover a segurança nacional e apoiar os objetivos de defesa. O DFARS é atualizado e mantido regularmente pelo DoD para cumprir as leis, regulamentos e políticas relacionadas à aquisição de defesa.

Por que isso é importante?

O DFARS é importante porque fornece regulamentações e diretrizes essenciais para que o Departamento de Defesa dos EUA (DoD) adquira bens e serviços de forma a apoiar os objetivos de defesa e promover a segurança nacional. Essas regulamentações ajudam a garantir que o DoD conduza aquisições de forma transparente, responsável e em conformidade. O DFARS inclui requisitos relacionados à adjudicação e administração de contratos, segurança cibernética, propriedade intelectual, utilização por pequenas empresas e outras áreas críticas.

Ao aderir ao DFARS, o DoD pode gerir eficazmente as suas aquisições, Proteger informações confidenciais, promover a concorrência justa entre contratantes e manter a integridade e a segurança de sua cadeia de suprimentos. A conformidade com o DFARS é essencial para contratantes que buscam fazer negócios com o DoD, pois ajuda a garantir que o processo de aquisição seja conduzido de forma alinhada às prioridades de defesa e proteja os interesses nacionais.

Quem deve cumprir?

Todos os contratantes, fornecedores e vendedores que desejam fazer negócios com o Departamento de Defesa dos EUA (DoD) devem cumprir o DFARS. A conformidade com o DFARS é obrigatória para qualquer entidade que busque participar de aquisições do DoD, incluindo contratantes principais, subcontratados e fornecedores em todos os níveis da cadeia de suprimentos. Isso inclui entidades nacionais e estrangeiras que fornecem bens ou serviços ao DoD, independentemente do tamanho ou tipo de negócio. A conformidade com o DFARS é um requisito contratual, e o não cumprimento pode resultar em penalidades, rescisão de contrato e perda de oportunidades de negócios com o DoD. É essencial que todas as entidades envolvidas em aquisições do DoD entendam e cumpram os requisitos descritos no DFARS para garantir sua elegibilidade para contratos do DoD e manter a conformidade com os regulamentos de aquisição do DoD.

Requisitos de conformidade do DFARS

Familiarize-se com os regulamentos do DFARS: contratantes, fornecedores e vendedores devem entender completamente os regulamentos e requisitos do DFARS aplicáveis aos seus contratos e aquisições específicos.

• Manter medidas de segurança cibernética: O DFARS inclui requisitos específicos de segurança cibernética, como proteger informações não classificadas controladas (CUI) e relatar incidentes de segurança cibernética ao DoD.
• Proteger a propriedade intelectual (PI): Os contratantes devem identificar, proteger e relatar adequadamente qualquer PI associada à execução de contratos do DoD, incluindo direitos de dados, patentes, marcas registradas e direitos autorais.
• Cumpra os requisitos de utilização de pequenas empresas: O DFARS inclui disposições relacionadas à subcontratação com pequenas empresas, incluindo planos de subcontratação para pequenas empresas e requisitos de relatórios.
• Implementar medidas de segurança da cadeia de suprimentos: Os contratantes devem garantir a integridade e a segurança de sua cadeia de suprimentos, incluindo a triagem e o monitoramento de fornecedores e a prevenção do uso de peças ou materiais falsificados.
• Acompanhe os processos de adjudicação e administração de contratos: Os contratantes devem cumprir os requisitos do DFARS relacionados à adjudicação, administração e relatórios de contratos, incluindo o envio de dados de custo ou preço precisos e completos.
• Manter registros e relatórios: Os contratantes devem manter registros e fornecer relatórios conforme exigido pelo DFARS, incluindo documentação de conformidade com vários regulamentos e requisitos.
• Fique atualizado com as mudanças do DFARS: O DFARS é atualizado regularmente, e os contratantes devem se manter informados sobre quaisquer alterações para garantir a conformidade contínua com os regulamentos mais recentes.
• Cooperar com auditorias e investigações do DoD: Os contratados devem cooperar com as auditorias, investigações e inquéritos do DoD relacionados à conformidade com o DFARS, incluindo o fornecimento de acesso a registros e informações conforme solicitado.
• Manter documentação e evidências de conformidade: Os contratados devem manter documentação e evidências de conformidade com os requisitos do DFARS, incluindo contratos, relatórios, certificações e outros registros relevantes.

O que a conformidade com o DFARS significa para os contratados do DoD

Conformidade com os requisitos de segurança cibernética: os contratados do DoD devem cumprir os requisitos de segurança cibernética conforme especificado na cláusula 252.204-7012 do DFARS, que determina a implementação de controles adequados de segurança cibernética para proteger informações de defesa cobertas (CDI) e relatar quaisquer incidentes de segurança cibernética.

• Proteção de Informações Não Classificadas Controladas (CUI): Os contratantes do DoD devem cumprir os requisitos da cláusula 252.204-7012 do DFARS, que inclui medidas para proteger o CUI, como marcar, manusear, armazenar e transmitir o CUI de acordo com as leis, regulamentos e requisitos contratuais aplicáveis.
• Implementação de controles de segurança: Os contratantes do DoD devem implementar controles de segurança especificados no Instituto Nacional de Padrões e Tecnologia (NIST) Publicação Especial 800-171, “Protegendo informações não classificadas controladas em sistemas e organizações não federais”, que descreve os requisitos de segurança para proteger CUI.
• Relatório de incidentes de segurança cibernética: Os contratados do DoD devem relatar imediatamente quaisquer incidentes de segurança cibernética, como violações de dados ou acesso não autorizado, ao DoD, conforme especificado na cláusula 252.204-7012 do DFARS e quaisquer requisitos contratuais aplicáveis.
• Conformidade com os requisitos do subcontratado: Os contratados do DoD devem repassar os requisitos da cláusula 252.204-7012 do DFARS aos seus subcontratados que podem ter acesso ao CDI ou CUI, e garantir que os subcontratados também cumpram os requisitos de segurança cibernética aplicáveis.
• Manutenção de documentação e registros: Os contratados do DoD devem manter documentação e registros relacionados à conformidade com os requisitos de segurança cibernética do DFARS, como planos de segurança do sistema, relatórios de avaliação de segurança e relatórios de incidentes, conforme exigido pela cláusula 252.204-7012 do DFARS.
• Conformidade com cláusulas adicionais do DFARS: Os contratantes do DoD devem cumprir outras cláusulas do DFARS relacionadas à proteção de dados, como Cláusula 252.239-7010 do DFARS, “Serviços de Computação em Nuvem” e cláusula 252.204-7008 do DFARS, “Conformidade com a Proteção de Controles de Informações de Defesa Cobertas”, que podem impor requisitos adicionais para a proteção de dados confidenciais.

É importante observar que os requisitos do DFARS para contratados do DoD podem variar dependendo do contrato específico, do tipo de informação processada e de outros fatores. Os contratados devem consultar especialistas jurídicos ou de conformidade para garantir a total conformidade com o DFARS e outras regulamentações aplicáveis.

O que você deve fazer se ocorrer uma violação de segurança do DSARS

Notificar as partes apropriadas: Os contratantes devem notificar imediatamente as partes apropriadas, incluindo o responsável pela contratação, o Diretor de Informações (CIO) do DoD e quaisquer outras partes interessadas relevantes, sobre a violação de segurança. Isso deve ser feito de acordo com os requisitos do contrato e quaisquer protocolos de relatórios específicos descritos no DFARS.

1. Ative o plano de resposta a incidentes: Os contratados devem ativar seu plano de resposta a incidentes, que deve incluir procedimentos predefinidos para responder a violações de segurança. Isso pode envolver o isolamento dos sistemas afetados, a coleta de evidências e a realização de análises forenses para determinar a extensão e o impacto da violação.
2. Implementar medidas de mitigação: Os contratantes devem implementar medidas de mitigação imediatas para conter a violação e evitar maiores danos. Isso pode envolver a correção de vulnerabilidades, a alteração de credenciais de acesso, a desativação de contas comprometidas e a adoção de outras medidas para impedir o acesso não autorizado ou a exfiltração de dados.
3. Preservar evidências: Os contratantes devem tomar medidas para preservar evidências relacionadas à violação de segurança, como logs, snapshots do sistema e outros dados relevantes. Essas evidências podem ser necessárias para análises forenses, relatórios e possíveis processos judiciais.
4. Relatar ao DoD e às partes afetadas: Os contratantes devem reportar a violação de segurança ao DoD e às partes afetadas, conforme exigido pelo DFARS e por quaisquer obrigações contratuais. Isso pode incluir o fornecimento de informações detalhadas sobre a natureza e o escopo da violação, bem como as medidas tomadas para mitigar o incidente.
5. Cooperar com as investigações: Os contratados devem cooperar integralmente com quaisquer investigações conduzidas pelo DoD ou outras autoridades relevantes. Isso pode envolver o fornecimento de acesso a sistemas e dados, auxílio em análises forenses e fornecimento de informações e documentação conforme necessário.
6. Revise e atualize as medidas de segurança: Os contratados devem revisar e atualizar suas medidas de segurança para evitar violações de segurança semelhantes no futuro. Isso pode envolver a revisão e o fortalecimento dos controles de segurança cibernética, a atualização de políticas e procedimentos e a realização de programas adicionais de treinamento e conscientização para os funcionários.
7. Comunique-se com clientes e partes interessadas: Os contratantes devem manter uma comunicação aberta e transparente com clientes, partes interessadas e outras partes relevantes sobre a violação de segurança, as medidas tomadas para mitigar o incidente e quaisquer esforços contínuos para aprimorar as medidas de segurança.
8. Revisar e melhorar o plano de resposta a incidentes: Os contratados devem revisar e aprimorar seu plano de resposta a incidentes com base nas lições aprendidas com a violação de segurança. Isso pode envolver a atualização de procedimentos, a revisão de funções e responsabilidades e o aprimoramento dos protocolos de comunicação para melhor responder a incidentes futuros.
9. Procure assistência jurídica e técnica: Os contratantes devem buscar assistência jurídica e técnica conforme necessário para lidar com a violação de segurança, cumprir com os requisitos do DFARS e lidar com quaisquer potenciais implicações legais ou regulatórias.

Penalidades por não conformidade com o DFARS

1. Consequências contratuais: Os contratados do DoD que não cumprirem os requisitos do DFARS podem enfrentar consequências contratuais, incluindo rescisão por inadimplência, retenção de pagamentos e/ou redução ou negação de taxas ou lucros.
2. Responsabilidades legais: O não cumprimento dos requisitos do DFARS pode resultar em responsabilidades legais, incluindo penalidades civis, multas e danos em caso de quebra de contrato ou violação de leis ou regulamentos aplicáveis.
3. Perda de contratos futuros: Os contratados do DoD que não estiverem em conformidade com os requisitos do DFARS podem enfrentar repercussões na forma de perda de contratos futuros com o DoD ou outras agências federais, pois a não conformidade pode impactar negativamente sua reputação e elegibilidade para futuras oportunidades de contrato.
4. Suspensão ou impedimento: O não cumprimento dos requisitos do DFARS pode resultar na suspensão ou impedimento de contratados do DoD, o que pode impedi-los de participar de futuros contratos federais por um período de tempo específico ou indefinidamente, dependendo da gravidade do não cumprimento.
5. Custos de remediação: Os contratados do DoD podem incorrer em custos adicionais para corrigir quaisquer deficiências ou vulnerabilidades identificadas para atingir a conformidade com os requisitos do DFARS, como implementar controles de segurança cibernética, realizar auditorias ou melhorar medidas de proteção de dados.
6. Danos à reputação: O não cumprimento dos requisitos do DFARS pode resultar em danos à reputação dos contratados do DoD, o que pode ter consequências de longo prazo em seus relacionamentos comerciais, na confiança do cliente e na imagem geral da marca.

DFARS vs ITAR

DFARS (Suplemento de Regulamentação de Aquisições Federais de Defesa) e ITAR (Regulamento sobre o Tráfico Internacional de Armas) são dois conjuntos distintos de regulamentações nos Estados Unidos que dizem respeito a diferentes aspectos das atividades relacionadas à defesa.

O DFARS é um conjunto de regulamentações que complementa o Regulamento Federal de Aquisições (FAR) e se aplica a contratantes e subcontratantes que fazem negócios com o Departamento de Defesa dos EUA (DoD). O DFARS estabelece requisitos adicionais para a proteção de informações confidenciais de defesa, segurança cibernética e segurança da cadeia de suprimentos, entre outros.

O ITAR, por outro lado, é um conjunto de regulamentações administrado pelo Departamento de Estado dos EUA que rege a exportação, importação e transferência de artigos e serviços de defesa, bem como dados técnicos e serviços de defesa relacionados. O ITAR visa regulamentar a exportação e a importação de artigos e serviços de defesa para proteger os interesses da segurança nacional e impedir o acesso não autorizado a tecnologias de defesa sensíveis.

Embora o DFARS e o ITAR se refiram a atividades relacionadas à defesa, eles têm escopos e requisitos diferentes. O DFARS concentra-se principalmente nos processos de aquisição do DoD e inclui requisitos para que contratantes e subcontratados protejam informações confidenciais de defesa e mantenham práticas robustas de segurança cibernética. O ITAR, por outro lado, aborda especificamente a exportação e importação de artigos e serviços de defesa, incluindo dados técnicos, e impõe controles à transferência desses itens para pessoas ou entidades não americanas.

Em alguns casos, empresas de defesa podem precisar cumprir o DFARS e o ITAR, dependendo da natureza de seus negócios e dos contratos específicos que mantêm com o governo dos EUA. Por exemplo, uma empresa de defesa pode precisar cumprir os requisitos de segurança cibernética do DFARS e, ao mesmo tempo, aderir aos regulamentos do ITAR ao exportar ou importar artigos ou dados técnicos de defesa. No entanto, embora possa haver algumas áreas sobrepostas, o DFARS e o ITAR são conjuntos distintos de regulamentos com seus próprios requisitos e obrigações de conformidade específicos.

O que sua organização pode fazer para se tornar compatível com o DFARS

1. Revise e entenda os requisitos do DFARS: As organizações devem revisar e entender cuidadosamente os requisitos do DFARS, incluindo a cláusula 252.204-7012 do DFARS e as orientações associadas, para obter uma compreensão clara dos controles de segurança cibernética e medidas de proteção de dados que precisam ser implementados.
2. Realizar uma análise abrangente de lacunas: As organizações devem realizar uma análise abrangente de lacunas para identificar quaisquer deficiências ou lacunas em sua postura atual de segurança cibernética e práticas de proteção de dados, em comparação com os requisitos do DFARS. Essa análise pode ajudar a priorizar áreas que precisam de melhorias para atingir a conformidade.
3. Implementar controles de segurança apropriados: As organizações devem implementar os controles de segurança apropriados especificados na Publicação Especial 800-171 do NIST, que descreve os requisitos de segurança para a proteção de Informações Não Classificadas Controladas (CUI), conforme exigido pelo DFARS. Isso pode envolver a implementação de controles técnicos, administrativos e físicos para proteger as CUI e impedir acesso não autorizado ou violações de dados.
4. Desenvolver e implementar políticas e procedimentos de segurança cibernética: As organizações devem desenvolver e implementar políticas e procedimentos abrangentes de segurança cibernética alinhados aos requisitos do DFARS. Isso inclui políticas e procedimentos para controles de acesso, resposta a incidentes, backup e recuperação de dados, gestão de riscos e treinamento de funcionários, entre outros.
5. Garantir a conformidade do subcontratado: As organizações devem garantir que seus subcontratados que possam ter acesso ao CUI também cumpram os requisitos do DFARS. Isso pode envolver a divulgação das cláusulas relevantes do DFARS aos subcontratados e a verificação de sua conformidade por meio de acordos contratuais, auditorias e monitoramento.
6. Manter documentação e registros: As organizações devem manter documentação e registros relacionados aos seus esforços de conformidade, incluindo planos de segurança de sistemas, relatórios de avaliação de segurança, relatórios de incidentes e outra documentação relevante, conforme exigido pelo DFARS. Essa documentação serve como evidência de conformidade e pode ser necessária para auditorias ou avaliações.
7. Monitorar e avaliar a postura de segurança cibernética: As organizações devem monitorar e avaliar continuamente sua postura de segurança cibernética para identificar e abordar quaisquer novos riscos ou vulnerabilidades. Isso pode envolver auditorias regulares de segurança cibernética, avaliações de vulnerabilidades e testes de penetração para garantir a conformidade contínua com os requisitos do DFARS.
8. Fique atualizado com as mudanças nos requisitos do DFARS: As organizações devem se manter atualizadas sobre quaisquer alterações ou atualizações nos requisitos do DFARS e orientações associadas e incorporar prontamente quaisquer alterações necessárias em suas práticas de segurança cibernética para manter a conformidade.
9. Treinar e educar funcionários: As organizações devem oferecer treinamento e educação regulares em segurança cibernética aos seus funcionários para conscientizá-los sobre os requisitos do DFARS, as melhores práticas de segurança cibernética e a importância de proteger o CUI. Isso pode ajudar a garantir que os funcionários tenham conhecimento e sejam responsáveis no manuseio de informações confidenciais.
10. Estabelecer processos de resposta e relatórios de incidentes: As organizações devem estabelecer processos de resposta e relato de incidentes para detectar, responder e reportar prontamente quaisquer incidentes ou violações de segurança cibernética, de acordo com os requisitos do DFARS. Isso inclui definir funções e responsabilidades, estabelecer planos de resposta a incidentes e implementar mecanismos para reportar incidentes às autoridades competentes.

Abordagem da BigID para conformidade com o DFARS

BigID é uma plataforma de descoberta de dados para privacidade, segurançae governança que ajuda as organizações a cumprir os requisitos do Suplemento de Regulamentação de Aquisição Federal de Defesa (DFARS) de várias maneiras:

1. Descoberta de dados: O BigID pode ajudar organizações a identificar e classificar dados sensíveis que se enquadram no escopo do DFARS, como informações não classificadas controladas (CUI) ou outras informações sensíveis de defesa. digitalização e catalogação dados de várias fontes, incluindo dados estruturados e não estruturadosO BigID identifica onde residem dados confidenciais, o que é um primeiro passo crítico para cumprir com os requisitos do DFARS relacionados à proteção de dados e à segurança cibernética.
2. Classificação e marcação de dados: O BigID classifica automaticamente dados sensíveis com base em classificadores predefinidos ou personalizados, como números de cartão de crédito, números de previdência social ou outros tipos de informações sensíveis que podem estar sujeitos aos regulamentos do DFARS. Isso permite que as organizações rotulem e marquem com precisão dados sensíveis, que podem ser usados para fins de gerenciamento e conformidade de dados, como a implementação de controles de acesso, criptografia ou políticas de retenção de dados.
3. Mapeamento e visualização de dados: O BigID fornece às organizações uma representação visual de seu cenário de dados, incluindo fluxos de dados, armazenamentos de dados e uso de dados, o que pode ajudá-las a obter visibilidade sobre como dados confidenciais são coletados, processados e transmitidos em seu ambiente. Isso pode ajudar as organizações a identificar potenciais lacunas ou riscos em suas práticas de tratamento de dados, bem como a demonstrar conformidade com os requisitos do DFARS relacionados à proteção de dados e ao gerenciamento de fluxo de dados.
4. Governança de dados e gerenciamento de consentimento: O BigID ajuda organizações a estabelecer políticas e fluxos de trabalho de governança de dados para garantir que dados confidenciais sejam gerenciados e processados em conformidade com os requisitos do DFARS. Isso inclui recursos como políticas de retenção de dados, controles de acesso a dados e recursos de gerenciamento de consentimento que podem ajudar as organizações a rastrear e gerenciar o manuseio de dados confidenciais e demonstrar conformidade com os requisitos do DFARS relacionados ao gerenciamento e consentimento de dados.
5. Segurança de Dados e Gestão de Riscos: O BigID inclui recursos como controles de acesso a dados, criptografia e recursos de detecção de violações de dados que podem ajudar as organizações a proteger dados confidenciais em conformidade com os requisitos do DFARS relacionados à proteção de dados e à segurança cibernética. O BigID também pode ajudar as organizações a identificar e mitigar riscos associados a dados confidenciais, como identificando riscos de exposição de dados, riscos de compartilhamento de dados ou práticas de tratamento de dados que podem não estar em conformidade com os requisitos do DFARS.

Para acelerar suas iniciativas de privacidade, como a conformidade com o DFARS — Agende uma demonstração individual gratuita com a BigID hoje mesmo.

Autor

Alexis Porter

Gerente de marketing de conteúdo

Alexis atua como gerente de marketing de conteúdo da BigID, fornecedora de DSPM líder do setor. Ela é especialista em ajudar startups de tecnologia a criar e aprimorar sua voz - para contar histórias mais convincentes que repercutam em diversos públicos. Ela é bacharel em Redação Profissional e tem mestrado em Comunicação de Marketing pela Universidade de Denver. Alexis mora em Orlando, Flórida.