software de cumplimiento FedRAMP
Lumicost evalúa 12 controles del baseline NIST SP 800-53 Rev.5 Low (AC-2, AC-3, AC-6, AU-2, AU-6, CA-7, CM-3, IR-4, RA-5, SC-7, SC-13, SI-4) sobre tu infraestructura AWS, GCP y Azure — y exporta paquetes de evidencia listos para evaluación 3PAO.
Las autorizaciones FedRAMP Low requieren evidencia continua y demostrable contra el baseline NIST SP 800-53 Rev.5 Low. Lumicost inspecciona continuamente tu configuración cloud contra 12 controles pre-mapeados en 8 familias — Access Control, Audit & Accountability, Assessment & Authorisation, Configuration Management, Incident Response, Risk Assessment, System & Communications Protection, System & Information Integrity — y produce paquetes de evidencia listos para 3PAO con hashes criptográficos de integridad.
AC-2 Account Management, AC-3 Access Enforcement, AC-6 Least Privilege, AU-2 Audit Events, AU-6 Audit Review, CA-7 Continuous Monitoring, CM-3 Change Control, IR-4 Incident Handling, RA-5 Vulnerability Scanning, SC-7 Boundary Protection, SC-13 Cryptographic Protection, SI-4 System Monitoring.
Snapshots diarios de configuración cloud con detección de drift. Cada transición COMPLIANT → PARTIAL dispara una alerta a tu canal de compliance — exactamente lo que un 3PAO espera de un programa ConMon CA-7.
Paquetes de evidencia con un clic, alineados a templates FedRAMP Rev.5. El audit log append-only satisface los requisitos de trazabilidad AU-2/AU-6 con hash SHA-256 de integridad por reporte.
Lumicost se conecta a AWS GovCloud (US-Gov-West / US-Gov-East), Azure Government y GCP Assured Workloads usando los mismos patrones WIF / IAM Role / App Registration que las regiones comerciales — solo lectura.
Los 12 controles FedRAMP Low comparten evidencia con SOC 2 (CC6/CC7/CC8), ISO 27001 Anexo A y HIPAA Security Rule. Mapea una vez, audita muchos.
Ninguna herramienta lo hace. La autorización FedRAMP la otorga una agencia federal o la JAB tras una evaluación 3PAO. Lumicost automatiza la parte de continuous monitoring (CA-7) y recolección de evidencia del baseline NIST SP 800-53 Rev.5 Low — típicamente la pieza más laboriosa de la obligación ConMon.
El baseline Low contiene ~125 controles. La mayoría son administrativos o procedurales (políticas, capacitación, contratos) y viven fuera de la configuración cloud. Lumicost evalúa los 12 controles técnicos que mapean directo a telemetría cloud — el resto se evidencia con documentos de política y screenshots de tu herramienta GRC.
Sí. Lumicost lee vía IAM Roles estándar en GovCloud (us-gov-west-1 / us-gov-east-1) usando el mismo patrón external-id que en AWS comercial. Azure Government y GCP Assured Workloads también están soportados.
La evidencia FedRAMP Low es parte del plan Enterprise Compliance. SOC 2 e ISO 27001 están disponibles desde Enterprise.
Conecta credenciales solo lectura y obtén tus primeros insights en 24 horas.