Pular para o conteúdo
Governança e Conformidade

O que é o FedRAMP?

O FedRAMP é o programa dos Estados Unidos que padroniza como um serviço de nuvem é avaliado, autorizado e monitorado para ser usado por agências do governo federal americano. Ele estabelece um conjunto único de requisitos de segurança, baseado nos controles do NIST, para que uma nuvem seja verificada uma vez e reaproveitada por muitas agências. Vale para qualquer provedor de nuvem, dentro ou fora dos EUA, que queira vender ao governo federal americano.

Zamak TechnologiesAtualizado em 11 de julho de 2026

Como o FedRAMP funciona

O FedRAMP resolve um problema de repetição: sem ele, cada agência avaliaria a mesma nuvem do zero. O programa cria uma autorização padronizada, com o princípio de 'autorize uma vez, use muitas': o provedor prova a segurança uma vez, e cada agência reaproveita essa autorização para emitir a sua própria permissão de uso mais rápido.

1

Escolha o nível de impacto

O provedor classifica o serviço em baixo, moderado ou alto, conforme o dano que um incidente causaria. O nível define quantos e quais controles de segurança se aplicam.

2

Implemente os controles do NIST

A base são os controles de segurança do NIST 800-53. Quanto maior o nível de impacto, mais rigorosos e numerosos são os controles exigidos.

3

Passe pela avaliação independente

Um avaliador credenciado testa o serviço e produz o pacote de evidências. É a prova de que os controles não existem só no papel.

4

Autorize e monitore continuamente

Com o pacote aprovado, o serviço recebe a autorização, e cada agência a reaproveita. A partir daí, o monitoramento é contínuo: a segurança precisa ser mantida e comprovada no tempo, não só no início.

Fonte: Programa FedRAMP (fedramp.gov) e NIST SP 800-53 Rev. 5.

Por que o FedRAMP existe, e por que ele importa além do governo

  • Sem um padrão único, cada agência repetiria a mesma avaliação de segurança de uma nuvem, gastando tempo e dinheiro. O FedRAMP nasceu para avaliar uma vez e reaproveitar muitas.
  • A nuvem virou a espinha dorsal do governo digital. Padronizar a segurança de quem hospeda dado público não é burocracia: é o que evita que cada compra reinvente a régua e deixe brechas.
  • Para o provedor, é uma porta de entrada obrigatória. Vender nuvem ao governo federal americano sem a autorização simplesmente não acontece, e o processo é longo o bastante para exigir preparação séria.
  • O rótulo pesa mesmo fora do governo. Uma autorização FedRAMP virou um selo de confiança que clientes privados também reconhecem, porque significa que a nuvem passou por uma das avaliações mais rigorosas que existem.

Como o FedRAMP se organiza

  • Nível baixo Para serviços cujo comprometimento traria dano limitado. Menos controles, adequado a dados públicos ou de baixa sensibilidade.
  • Nível moderado O mais comum. Para a maioria dos dados do governo que não são públicos, com um conjunto robusto de controles do NIST 800-53.
  • Nível alto Para os dados mais sensíveis, como os de segurança pública e saúde. O conjunto de controles mais rigoroso do programa.
  • FedRAMP 20x (2025) Uma via modernizada proposta em março de 2025, baseada em automação e em indicadores de segurança verificáveis, para tornar a autorização mais rápida e menos manual.

O que está em jogo para o negócio

3
níveis de impacto (baixo, moderado e alto) que definem o rigor dos controles, todos derivados do NIST 800-53 Rev 5
uma autorização, reaproveitada por muitas agências: o princípio 'autorize uma vez, use muitas'
Mar/2025
quando o programa propôs o FedRAMP 20x, uma via automatizada de autorização

Para um provedor de nuvem, o FedRAMP é a diferença entre poder ou não vender ao maior comprador de tecnologia do mundo. O programa baseia os seus requisitos nos controles do NIST 800-53 Rev 5 e organiza a segurança em três níveis de impacto (baixo, moderado e alto), com o princípio de 'autorize uma vez, use muitas' reduzindo a repetição entre agências. Em março de 2025, o programa propôs o FedRAMP 20x, uma via mais automatizada de autorização, sinal de que a régua está evoluindo para ser mais rápida sem abrir mão do rigor. O peso vai além do contrato público: uma autorização FedRAMP virou um selo de confiança reconhecido também por clientes privados, porque atesta que a nuvem passou por uma das avaliações mais duras que existem. E o custo de negligenciar segurança de nuvem é concreto: uma violação de dados ainda custa, em média, $ 4,44 milhões no mundo (IBM, 2025).

Como um provedor se prepara para o FedRAMP

Buscar a autorização FedRAMP é um projeto longo e caro, que recompensa quem se prepara com método:

  1. Defina o nível de impacto certoBaixo, moderado ou alto muda tudo: o número de controles, o custo e o prazo. Classificar o serviço corretamente evita gastar demais ou de menos.
  2. Feche as lacunas do NIST 800-53 antesA base do FedRAMP são os controles do NIST 800-53. Chegar à avaliação com essa base já madura é o que separa um processo de meses de um de anos.
  3. Documente a arquitetura de segurançaO pacote de evidências é volumoso e detalhado. Documentar como cada controle é implementado, enquanto se implementa, é mais barato que reconstruir depois.
  4. Prepare-se para a avaliação independenteUm avaliador credenciado vai testar o serviço. Um teste interno antes, honesto, reduz surpresas caras na avaliação oficial.
  5. Planeje o monitoramento contínuoA autorização não é um ponto de chegada. Manter a segurança comprovada ao longo do tempo é parte do compromisso, e é onde a operação contínua entra.

Na prática

Se a sua empresa quisesse vender nuvem ao governo federal americano, saberia dizer em qual nível de impacto o seu serviço se enquadra, e quão perto está dos controles do NIST 800-53? Quando a resposta é vaga, o caminho até a autorização ainda nem começou.

Como a Zamak apoia a jornada rumo ao FedRAMP

A Zamak Technologies apoia a preparação para exigências de nuvem no padrão FedRAMP ao lado da sua equipe: ajuda a mapear o nível de impacto, a fechar as lacunas de controles do NIST 800-53 e a organizar a evidência de segurança, usando uma plataforma de conformidade como um dos roteiros. A governança documenta e comprova a conformidade; a segurança efetiva da nuvem vem das defesas técnicas que operam ao lado dela. Um bom ponto de partida é o autodiagnóstico de conformidade, dentro da Governança e Conformidade do Método Zamak.

Perguntas frequentes sobre o FedRAMP

Qual a diferença entre o FedRAMP e o NIST 800-53?
O NIST 800-53 é o catálogo de controles de segurança; o FedRAMP é o programa que aplica esses controles especificamente a serviços de nuvem usados pelo governo federal americano, com níveis de impacto, avaliação independente e uma autorização reaproveitável. O 800-53 é a matéria-prima; o FedRAMP é o programa que a usa.
Minha empresa fica fora dos EUA. Posso buscar o FedRAMP?
Pode. O FedRAMP não é restrito por país: qualquer provedor de nuvem que queira vender ao governo federal americano pode buscar a autorização, desde que atenda aos requisitos. O que define o alcance é o cliente (o governo dos EUA), não a sede do provedor.
O que são os níveis de impacto baixo, moderado e alto?
São a classificação do dano que um incidente causaria ao serviço. Baixo é para dado de baixa sensibilidade; moderado, o mais comum, para a maioria do dado não público; alto, para o dado mais sensível. Quanto maior o nível, mais controles do NIST 800-53 se aplicam.
O que significa 'autorize uma vez, use muitas'?
É o princípio central do FedRAMP: em vez de cada agência avaliar a mesma nuvem do zero, o serviço é avaliado uma vez contra um padrão único, e cada agência reaproveita essa autorização para emitir a sua permissão de uso mais rápido. Economiza tempo e evita reinventar a régua.
O que é o FedRAMP 20x?
É uma via modernizada de autorização proposta em março de 2025, baseada em automação e em indicadores de segurança verificáveis, em vez de revisão manual de documentos. O objetivo é tornar a autorização mais rápida e contínua, sem reduzir o rigor da segurança.
Uma empresa que não vende ao governo precisa do FedRAMP?
Não é obrigada, mas o rótulo tem valor de mercado. Como a autorização FedRAMP atesta uma das avaliações de segurança mais rigorosas que existem, alguns provedores a buscam também como um selo de confiança para clientes privados exigentes.