Comunicado de Prensa

La plataforma es compatible con 79 de los 98 controles ITSP.10.171 de nivel 2, con opciones de implementación en Canadá para la soberanía de datos y soporte dual de marcos tanto para la certificación CPCSC como para la CMMC de EE. UU.

Kiteworks, que permite a las organizaciones gestionar eficazmente el riesgo en cada envío, intercambio, recepción y uso de información confidencial, anuncia hoy soporte integral de plataforma para el Canadian Program for Cyber Security Certification (CPCSC), el marco obligatorio de certificación de ciberseguridad de Canadá para proveedores de defensa. Con los requisitos de autoevaluación de Nivel 1 entrando en vigor en contratos de defensa seleccionados a partir del verano de 2026, y los Niveles 2 y 3 en desarrollo para una introducción gradual, los controles ITSP.10.171 pre-mapeados de Kiteworks, las opciones de implementación en Canadá y la generación de evidencia lista para auditoría permiten a los proveedores de defensa acelerar la certificación y mantener la elegibilidad contractual.

El CPCSC, gestionado por Public Services and Procurement Canada en colaboración con el Department of National Defence, el Standards Council of Canada y el Canadian Centre for Cyber Security, exige que los proveedores de defensa que gestionan información especificada—información sensible no clasificada del Gobierno de Canadá—se certifiquen conforme a ITSP.10.171, una adaptación canadiense del NIST SP 800-171.

El programa establece tres niveles progresivos de certificación:

• El Nivel 1 requiere una autoevaluación anual frente a 13 controles fundamentales
• El Nivel 2 introduce evaluaciones trianuales de terceros acreditados sobre 98 controles, además de una afirmación anual
• El Nivel 3 suma 200 controles evaluados cada tres años por el Gobierno de Canadá

Los proveedores que no logren certificarse serán excluidos de las adquisiciones de defensa. Los datos de preparación en EE. UU. sobre el mismo conjunto de controles NIST 800-171 muestran la magnitud del reto: solo el 46% de los contratistas de defensa se consideran preparados para el Nivel 2, el 57% no ha completado un análisis de distancia y el 62% carece de controles de gobernanza adecuados.

La alineación del CPCSC con NIST SP 800-171 es intencionada, ya que respalda la interoperabilidad entre los aliados Five Eyes de Canadá y permite a los proveedores de defensa canadienses demostrar un nivel de seguridad equivalente al de los contratistas certificados por CMMC en EE. UU. Para los proveedores que licitan en contratos de defensa tanto canadienses como estadounidenses, ambos programas comparten el mismo conjunto de controles fundamentales—y la inversión en uno acelera directamente la certificación en el otro.

«Los proveedores de defensa canadienses enfrentan los mismos requisitos de control NIST 800-171 que han sido un desafío para los contratistas estadounidenses durante años, pero con la complejidad añadida de las obligaciones de soberanía de datos en Canadá y el hecho de que los Niveles 2 y 3 aún están en desarrollo», afirma Frank Balonis, CISO y SVP de Operaciones en Kiteworks. «Kiteworks ha estado ayudando a los contratistas de defensa a navegar la certificación CMMC desde el inicio del programa. El CPCSC se basa en el mismo estándar fundamental, lo que significa que nuestros controles pre-mapeados, nuestra arquitectura de seguridad validada por FedRAMP y nuestra generación de evidencia de cumplimiento funcionan para ambos programas desde una sola implementación. Los proveedores canadienses no tienen que empezar de cero—necesitan una plataforma ya probada frente a estos requisitos exactos.»

Capacidades clave de Kiteworks para apoyar la certificación CPCSC:

• Controles ITSP.10.171 pre-mapeados: Kiteworks cubre 79 de los 98 controles del Nivel 2 (80% de cobertura), abarcando las familias de requisitos de seguridad ITSP.10.171 más relevantes para la gobernanza del intercambio de datos, incluyendo Control de Acceso, Auditoría y Responsabilidad, Identificación y Autenticación, Protección de Medios, Protección de Sistemas y Comunicaciones, Integridad de Sistemas e Información y gestión de riesgos de la cadena de suministro. Los 19 controles que Kiteworks no cubre son organizativos, físicos o basados en procesos—formación, selección de personal, acceso físico y documentación de políticas—áreas que requieren gobernanza humana.
• Evidencia de auditoría sin restricciones: El registro completo de auditoría captura cada acceso a archivos, transferencia y decisión de política en tiempo real, sin limitaciones, demoras ni licencias premium. La integración con SIEM vía syslog y el Splunk Forwarder nativo entrega evidencia a las operaciones de seguridad. Cuando los organismos de certificación acreditados lleguen, la evidencia para la evaluación estará lista en horas.
• Soberanía de datos canadiense: Implementación en las instalaciones, nube privada en centros de datos canadienses o implementación híbrida—combinado con aislamiento de tenencia única, claves de cifrado propiedad del cliente y geofencing—garantiza que la información especificada nunca salga de la jurisdicción canadiense. Esto responde al 40% de las organizaciones canadienses que citan los cambios en los acuerdos de intercambio de datos Canadá–EE. UU. como su principal preocupación regulatoria, y al 21% que señala la Ley CLOUD de EE. UU. como una amenaza directa a la soberanía.
• FIPS 140-3 cifrado validado: Utiliza AES-256 y cifrado doble en reposo y TLS 1.3 en tránsito, con módulos criptográficos validados que cumplen los requisitos de confidencialidad de transmisión y almacenamiento de ITSP.10.171.
• Certificación dual CPCSC-CMMC: Dado que ITSP.10.171 y NIST SP 800-171 son técnicamente equivalentes, la misma implementación de Kiteworks permite la certificación tanto para contratos canadienses bajo CPCSC como para contratos del Department of War de EE. UU. bajo CMMC. Kiteworks cuenta con autorización FedRAMP y proporciona informes de cumplimiento CMMC 2.0 con un anexo de controles que cubre las 110 prácticas, facilitando la interoperabilidad Five Eyes y las adquisiciones transfronterizas.
• Arquitectura de defensa en profundidad: Dispositivo virtual reforzado con firewall de red integrado, WAF y detección de intrusiones basada en IA, que ofrece seguridad como capacidad del producto, no como responsabilidad del cliente. La arquitectura de red con denegación por defecto y la segmentación interna de confianza cero cubren los requisitos de protección de perímetro e integridad del sistema.
• Plataforma de control para el intercambio seguro de datos: Kiteworks consolida correo electrónico, uso compartido de archivos, transferencia de archivos gestionada, SFTP, formularios web, APIs e integraciones de IA en una sola plataforma gobernada por un único motor de políticas, un registro de auditoría y una arquitectura de seguridad. Los proveedores de defensa mapean los controles una vez y los aplican en todos lados—a través de cada canal por el que se mueve la información especificada.

La Guía de Soluciones de Kiteworks para CPCSC, que incluye un mapeo completo control por control de los 98 requisitos ITSP.10.171 del Nivel 2, está disponible aquí.

Acerca de Kiteworks

La misión de Kiteworks es permitir que las organizaciones gestionen eficazmente el riesgo en cada envío, uso compartido, recepción y utilización de datos confidenciales. La plataforma de Kiteworks ofrece a los clientes un intercambio seguro de datos que proporciona gobernanza de datos, cumplimiento y protección en un único plano de control. Kiteworks unifica, rastrea, controla y protege los datos sensibles que se mueven dentro, hacia y fuera de la organización, mejorando notablemente la administración de riesgos y garantizando el cumplimiento normativo en todos los intercambios de datos confidenciales. Con sede en Silicon Valley, Kiteworks protege a más de 100 millones de usuarios finales y a miles de empresas globales y organismos gubernamentales.

Contacto de prensa
David Schutzman
PR Manager
david.schutzman@kiteworks.com