Cumple con el CPCSC: Certifica tu cadena de suministro de defensa sin complicaciones
CPCSC es la certificación de ciberseguridad obligatoria en Canadá para proveedores de defensa que gestionan información gubernamental confidencial no clasificada. Gestionado por Public Services and Procurement Canada, el programa exige certificación en tres niveles: Nivel 1 (13 controles, autoevaluación, requerido en ciertos contratos de defensa a partir del verano de 2026), Nivel 2 (98 controles, evaluación trianual por terceros más una afirmación anual) y Nivel 3 (200 controles, evaluación trianual por el Gobierno de Canadá más una afirmación anual). Los niveles 2 y 3 están en desarrollo y se implementarán de forma gradual. El estándar base, ITSP.10.171, es una adaptación canadiense del NIST SP 800-171 desarrollada por el Canadian Centre for Cyber Security. Los proveedores de defensa que no puedan certificar quedan excluidos del proceso de adquisición: sin certificación, no hay elegibilidad para contratos.
La Red de datos privados de Kiteworks facilita el cumplimiento de CPCSC con controles ITSP.10.171 predefinidos, cifrado FIPS 140-3 validado, registros de auditoría sin límite y opciones de implementación en Canadá que garantizan que la información especificada nunca salga de la jurisdicción canadiense. Kiteworks cumple con el 80% de los controles ITSP.10.171 de Nivel 2—79 de 98. Los 19 restantes corresponden a requisitos organizativos, físicos o de procesos.
Una línea de tiempo ajustada, controles complejos y un desafío de soberanía sin igual
Los proveedores de defensa en Canadá enfrentan 98 controles distribuidos en 17 familias de requisitos, una dimensión de soberanía que el programa equivalente de EE. UU. no exige y un cronograma de certificación que ya está en vigor. Solo el 46% de los contratistas en el programa paralelo CMMC de EE. UU. se consideran preparados para la certificación de Nivel 2, y el 62% carece de controles de gobernanza adecuados.
Cumple con 98 controles de seguridad en 17 familias de requisitos
El nivel 2 de CPCSC exige una evaluación trianual de terceros sobre 98 controles que abarcan control de acceso, auditoría y responsabilidad, identificación y autenticación, protección de sistemas y comunicaciones, y 13 familias adicionales. Cada control incluye parámetros definidos por la organización que deben especificarse y documentarse. Los proveedores de defensa tienen que demostrar que los controles funcionan de manera efectiva en todos los canales por los que circula la información especificada—correo electrónico, uso compartido de archivos, SFTP, transferencia de archivos gestionada y formularios web. Las herramientas fragmentadas generan evidencias fragmentadas y multiplican la carga de la evaluación.
Protege la información especificada bajo jurisdicción canadiense
La ITSP.10.171 protege la «información especificada», es decir, cualquier dato que una autoridad del Gobierno de Canadá identifique como sujeto a protección. Estos datos deben permanecer bajo control jurisdiccional canadiense. Sin embargo, el 40% de las organizaciones canadienses señalan los cambios en el intercambio de datos Canadá–EE. UU. como su principal preocupación regulatoria, y el 21% identifica la CLOUD Act como una amenaza directa a la soberanía. Los proveedores de defensa que usan servicios en la nube multiusuario con sede en EE. UU. enfrentan una brecha de soberanía arquitectónica que los contratos no pueden cerrar.
Genera evidencia lista para auditoría para organismos de certificación acreditados
Las evaluadoras de nivel 2 de CPCSC exigen evidencia documentada de la implementación de controles—no declaraciones de políticas, sino pruebas operativas. Las organizaciones deben presentar trazabilidad completa de auditoría, demostrar la aplicación de controles de acceso y aportar evidencia de monitoreo continuo. Recopilar evidencia manualmente desde sistemas fragmentados puede tomar meses. Las evaluaciones fallidas retrasan la certificación, ponen en riesgo contratos y generan ciclos de reevaluación.
Cómo Kiteworks ayuda a los proveedores de defensa canadienses a obtener la certificación CPCSC
Unifica el intercambio seguro de datos bajo un solo motor de políticas
Kiteworks consolida el correo electrónico seguro, el uso compartido de archivos, la transferencia de archivos gestionada, SFTP, formularios web, APIs e integraciones con IA bajo una única arquitectura de gobernanza. El motor de políticas de datos aplica controles de acceso basados en roles y atributos de forma coherente en todos los canales. Ocho roles administrativos predeterminados aseguran la separación de funciones con privilegios mínimos por defecto. La integración con LDAP, Active Directory, SAML 2.0 y Kerberos permite una gestión centralizada de identidades con aprovisionamiento automático. La autenticación multifactor es compatible con RADIUS, PIV/CAC, OTP basado en tiempo y autenticadores empresariales.
Garantiza la soberanía de datos canadiense desde la arquitectura
Kiteworks ofrece opciones en las instalaciones, nube privada en centros de datos canadienses o implementación híbrida, combinadas con aislamiento de tenencia única que elimina la exposición multi-tenant. Las claves de cifrado propiedad del cliente aseguran que ni Kiteworks ni terceros puedan acceder a la información especificada sin autorización del cliente. El geofencing mediante controles de IP configurables refuerza los límites jurisdiccionales a nivel de infraestructura. Los controles de soberanía de datos enrutan la información indicada exclusivamente a través de jurisdicciones canadienses asignadas según atributos LDAP o SAML.
Genera evidencia lista para auditoría en horas, no en meses
El registro de auditoría integral de Kiteworks captura cada acceso, transferencia y decisión de política sobre archivos en tiempo real sin limitaciones: sin vacíos en los registros, sin demoras, sin licencias premium. La integración con SIEM mediante syslog y el conector nativo de Splunk envía evidencia de forma continua a las operaciones de seguridad. Los informes de cumplimiento preconfigurados automatizan la generación de evidencia específica para cada marco. El acceso a los datos de auditoría está restringido al rol de administrador de Cumplimiento; ni siquiera los administradores del sistema pueden modificar los registros, lo que garantiza integridad a prueba de manipulaciones y cumple con los requisitos de los evaluadores.
Preguntas frecuentes
El Programa Canadiense de Certificación en Ciberseguridad es la certificación obligatoria de ciberseguridad de Canadá para proveedores de defensa que gestionan información gubernamental sensible no clasificada. Aplica a todas las empresas que licitan o ejecutan contratos de defensa que involucren información especificada. El Nivel 1 (autoevaluación, 13 controles) será obligatorio en ciertos contratos de defensa a partir del verano de 2026. Los Niveles 2 (evaluación trianual por terceros, 98 controles) y 3 (evaluación trianual del Gobierno de Canadá, 200 controles) están en desarrollo y se implementarán de forma gradual. Sin certificación, no hay elegibilidad para contratos.
ITSP.10.171 es el estándar canadiense de ciberseguridad que respalda el CPCSC, desarrollado por el Centro Canadiense para la Ciberseguridad. Es una adaptación directa de NIST SP 800-171 sin cambios técnicos sustanciales—solo modificaciones que reflejan el entorno regulatorio de Canadá, como terminología diferente (“información especificada” en vez de “información no clasificada controlada”) y autoridades de gobierno distintas (políticas de la Secretaría de la Junta del Tesoro en lugar de directivas NIST). Las organizaciones que ya trabajan para obtener la certificación CMMC de EE. UU. encontrarán que los requisitos de control son funcionalmente idénticos.
Kiteworks cumple con el 80% de los controles de ITSP.10.171 Nivel 2—79 de 98—a través de una plataforma unificada de intercambio seguro de datos. Sus principales capacidades incluyen el Motor de Políticas de Datos que aplica RBAC y ABAC controles de acceso en todos los canales, registro de auditoría sin limitaciones con integración en tiempo real con SIEM, FIPS 140-3 validado, cifrado AES-256 y cifrado doble con claves propiedad del cliente, un dispositivo virtual reforzado con firewall integrado y detección de intrusiones, autenticación multifactor y opciones de implementación en Canadá que garantizan la soberanía de datos.
Sí. Como ITSP.10.171 es técnicamente equivalente a NIST SP 800-171, una sola implementación de Kiteworks permite la certificación tanto para CPCSC en contratos canadienses como para CMMC en contratos DoW de EE. UU. Kiteworks cuenta con autorización FedRAMP, controles NIST 800-171 pre-mapeados y ofrece informes de cumplimiento CMMC 2.0 con un anexo de controles que cubre las 110 prácticas. La misma infraestructura genera evidencia para los organismos de certificación de CPCSC.
Kiteworks ofrece soberanía a nivel de arquitectura mediante implementación en las instalaciones, nube privada alojada en Canadá o implementación híbrida con aislamiento de tenencia única. Las claves de cifrado propiedad del cliente aseguran que la información especificada esté cifrada con claves que solo el cliente controla—Kiteworks no puede descifrar los datos del cliente. El geofencing restringe el acceso por ubicación geográfica y los controles de soberanía de datos enrutan la información especificada exclusivamente por jurisdicciones canadienses asignadas según atributos LDAP o SAML.