FedRAMP 3PAO (third-party assessment organization)

Een 3PAO is een organisatie die gecertificeerd is om cloud service providers en overheidsinstanties te helpen voldoen aan de FedRAMP compliance regelgeving. 3PAO staat voor Third Party Assessment Organization.

Een 3PAO evalueert de systemen van een cloudprovider om transparantie tussen overheid en cloudproviders en consistentie in gegevensbeveiligingsstrategie├źn te waarborgen. Gecertificeerde 3PAO's gebruiken FedRAMP-sjablonen bij het uitvoeren van beveiligingsbeoordelingen.

Op de website van de Amerikaanse General Services Administration (GSA) staan de volgende eisen voor kwalificatie als 3PAO:

  • Onafhankelijkheid en kwaliteitsbeheer in overeenstemming met ISO/IEC 17020: 1998-normen.
  • Bekwaamheid op het gebied van informatieborging, waaronder ervaring met FISMA en het testen van beveiligingscontroles.
  • Bekwaamheid in het beoordelen van de beveiliging van cloudgebaseerde informatiesystemen.

Zie ook: Federal Cloud Computing Initiative