Limite de dados para Criminal Justice Information Systems (CJIS)

Esta página descreve o conjunto de controlos que são aplicados em cargas de trabalho da CJIS no Assured Workloads. Fornece informações detalhadas sobre a residência de dados, os produtos Google Cloud suportados e os respetivos pontos finais da API, bem como quaisquer restrições ou limitações aplicáveis a esses produtos. As seguintes informações adicionais aplicam-se à CJIS:

• Residência dos dados: o pacote de controlos da CJIS define controlos de localização dos dados para suportar regiões apenas nos EUA. Consulte a secção Google CloudRestrições da política da organização ao nível da organização para mais informações.
• Apoio técnico: os serviços de apoio técnico para cargas de trabalho da CJIS estão disponíveis com subscrições do apoio ao cliente do Google Cloud Avançado ou Premium. Os registos de apoio técnico de cargas de trabalho do CJIS são encaminhados para pessoas dos EUA localizadas nos EUA que concluíram verificações de antecedentes do CJIS. Para mais informações, consulte o artigo Receber apoio técnico.
• Preços: o pacote de controlos da CJIS está incluído no nível Premium dos Assured Workloads, que incorre num custo adicional de 20%. Consulte os preços do Assured Workloads para mais informações.

Pré-requisitos

Para permanecer em conformidade como utilizador do pacote de controlo da CJIS, confirme que cumpre e respeita os seguintes pré-requisitos:

• Crie uma pasta da CJIS com o Assured Workloads e implemente as suas cargas de trabalho da CJIS apenas nessa pasta.
• Ative e use apenas os serviços CJIS no âmbito para cargas de trabalho CJIS.
• Não altere os valores predefinidos da restrição da política da organização, a menos que compreenda e esteja disposto a aceitar os riscos de residência de dados que possam ocorrer.
• Considere adotar as práticas recomendadas de segurança gerais fornecidas no Google Cloud centro de práticas recomendadas de segurança.
• Quando acede à Google Cloud consola, tem a opção de usar a consola jurisdicional Google Cloud . Não tem de usar a consola jurisdicional Google Cloud para o CJIS. Pode aceder a este conteúdo através de um dos seguintes URLs:
  • console.us.cloud.google.com
  • console.us.cloud.google para utilizadores de identidade federada

Produtos e pontos finais da API compatíveis

Salvo indicação em contrário, os utilizadores podem aceder a todos os produtos suportados através da Google Cloud consola. As restrições ou as limitações que afetam as funcionalidades de um produto suportado, incluindo as que são aplicadas através das definições de restrições da política da organização, estão listadas na tabela seguinte.

Se um produto não estiver listado, significa que não é compatível e não cumpriu os requisitos de controlo da CJIS. Não é recomendado usar produtos não suportados sem a devida diligência e uma compreensão exaustiva das suas responsabilidades no modelo de responsabilidade partilhada. Antes de usar um produto não suportado, certifique-se de que tem conhecimento e está disposto a aceitar os riscos associados envolvidos, como impactos negativos na residência ou soberania dos dados.

Restrições e limitações

As secções seguintes descrevem as restrições ou as limitações ao nível da organização ou específicas do produto para funcionalidades, incluindo quaisquer restrições de políticas organizacionais que sejam definidas por predefinição em pastas da CJIS. Google CloudOutras restrições de políticas organizacionais aplicáveis, mesmo que não estejam definidas por predefinição, podem fornecer uma defesa em profundidade adicional para proteger ainda mais os recursos Google Cloud da sua organização.

Google Cloudde largura

Funcionalidades afetadas Google Cloud

Funcionalidade

Descrição

Google Cloud consola

Para aceder à Google Cloud consola quando usar o pacote de controlo do CJIS, tem a opção de usar a consola Google Cloud jurisdicional. A consola Google Cloud jurisdicional não é necessária para o CJIS e pode ser acedida através de um dos seguintes URLs: console.us.cloud.google.com console.us.cloud.google para utilizadores de identidade federada Para mais informações, consulte a página da consola Google Cloud jurisdicional.

Google Cloudrestrições de políticas da organização ao nível da entidade

As seguintes restrições de políticas da organização aplicam-se em Google Cloud.

Restrição da política da organização	Descrição
gcp.resourceLocations	Definido para as seguintes localizações na lista allowedValues: us-locations us-central1 us-central2 us-east1 us-east4 us-east5 us-south1 us-west1 us-west2 us-west3 us-west4 Este valor restringe a criação de novos recursos aos valores selecionados. Quando definido, não é possível criar recursos noutras regiões, multirregiões ou localizações fora da seleção. Consulte o artigo Serviços suportados por localizações de recursos para ver uma lista de recursos que podem ser restritos pela restrição da política da organização de localizações de recursos, uma vez que alguns recursos podem estar fora do âmbito e não ser restritíveis. Alterar este valor tornando-o menos restritivo compromete potencialmente a residência de dados, uma vez que permite que os dados sejam criados ou armazenados fora de um limite de dados em conformidade.
gcp.restrictCmekCryptoKeyProjects	Definido como under:organizations/your-organization-name, que é a sua organização do Assured Workloads. Pode restringir ainda mais este valor especificando um projeto ou uma pasta. Limita o âmbito das pastas ou dos projetos aprovados que podem fornecer chaves do Cloud KMS para encriptar dados em repouso através de CMEK. Esta restrição impede que pastas ou projetos não aprovados forneçam chaves de encriptação, ajudando assim a garantir a soberania dos dados para os dados em repouso dos serviços no âmbito.
gcp.restrictNonCmekServices	Definido como uma lista de todos os nomes de serviços da API no âmbito, incluindo: bigquery.googleapis.com compute.googleapis.com container.googleapis.com logging.googleapis.com sqladmin.googleapis.com storage.googleapis.com Algumas funcionalidades podem ser afetadas para cada um dos serviços indicados acima. Cada serviço listado requer chaves de encriptação geridas pelo cliente (CMEK). A CMEK permite que os dados em repouso sejam encriptados com uma chave gerida por si e não com os mecanismos de encriptação predefinidos da Google. Se alterar este valor removendo um ou mais serviços no âmbito da lista, pode comprometer a soberania dos dados, porque os novos dados em repouso são encriptados automaticamente com as chaves da Google em vez das suas. Os dados em repouso existentes vão permanecer encriptados pela chave que forneceu.
gcp.restrictServiceUsage	Definido para permitir todos os produtos e pontos finais da API suportados. Determina os serviços que podem ser usados restringindo o acesso em tempo de execução aos respetivos recursos. Para mais informações, consulte o artigo Restringir a utilização de recursos.
gcp.restrictTLSVersion	Definido para recusar as seguintes versões do TLS: TLS_1_0 TLS_1_1 Consulte a página Restrinja as versões de TLS para mais informações.

BigQuery

Funcionalidades do BigQuery afetadas

Funcionalidade	Descrição
Ativar o BigQuery numa nova pasta	O BigQuery é suportado, mas não é ativado automaticamente quando cria uma nova pasta do Assured Workloads devido a um processo de configuração interno. Normalmente, este processo termina em dez minutos, mas pode demorar muito mais tempo em algumas circunstâncias. Para verificar se o processo está concluído e ativar o BigQuery, conclua os seguintes passos: Na Google Cloud consola, aceda à página Assured Workloads. Aceda ao Assured Workloads Selecione a nova pasta do Assured Workloads na lista. Na página Detalhes da pasta, na secção Serviços permitidos, clique em Rever atualizações disponíveis. No painel Serviços permitidos, reveja os serviços a adicionar à política da organização Restrição de utilização de recursos para a pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para os adicionar. Se os serviços do BigQuery não estiverem listados, aguarde que o processo interno seja concluído. Se os serviços não forem apresentados no prazo de 12 horas após a criação da pasta, contacte o apoio técnico do Google Cloud. Após a conclusão do processo de ativação, pode usar o BigQuery na sua pasta do Assured Workloads. O Gemini no BigQuery não é suportado pelos Assured Workloads.
Funcionalidades não suportadas	As seguintes funcionalidades do BigQuery não são suportadas e não devem ser usadas na CLI do BigQuery. É da sua responsabilidade não os usar no BigQuery para Assured Workloads. Interação com origens de dados remotas Os modelos BQML preparados externamente não são suportados. Os modelos BQML preparados internamente são suportados. Ocultação dinâmica de dados Exportação para o GDrive Funções remotas Consultas guardadas Agendamento de fluxos de trabalho Para o BigQuery Studio, os blocos de notas não são suportados. O Gemini no BigQuery não é suportado.
CLI do BigQuery	A CLI do BigQuery é suportada.
SDK Google Cloud	Tem de usar a versão 403.0.0 ou mais recente do Google Cloud SDK para manter as garantias de regionalização de dados para dados técnicos. Para verificar a sua versão atual do Google Cloud SDK, execute o comando gcloud --version e, em seguida, gcloud components update para atualizar para a versão mais recente.
Controlos para administradores	O BigQuery desativa as APIs não suportadas, mas os administradores com autorizações suficientes para criar uma pasta do Assured Workloads podem ativar uma API não suportada. Se isto ocorrer, recebe uma notificação sobre a potencial não conformidade através do painel de controlo de monitorização do Assured Workloads.
Carregar dados	Os conetores do Serviço de transferência de dados do BigQuery para apps de software como serviço (SaaS) da Google, fornecedores de armazenamento na nuvem externos e armazéns de dados não são suportados. É da sua responsabilidade não usar conetores do Serviço de transferência de dados do BigQuery para cargas de trabalho da CJIS.
Transferências de terceiros	O BigQuery não valida o suporte para transferências de terceiros para o Serviço de transferência de dados do BigQuery. É da sua responsabilidade verificar o apoio técnico quando usar qualquer transferência de terceiros para o Serviço de transferência de dados do BigQuery.
Modelos BQML não conformes	Os modelos BQML preparados externamente não são suportados.
Consultar tarefas	Os trabalhos de consulta só devem ser criados em pastas do Assured Workloads.
Consultas em conjuntos de dados noutros projetos	O BigQuery não impede que os conjuntos de dados dos Assured Workloads sejam consultados a partir de projetos que não sejam dos Assured Workloads. Deve garantir que qualquer consulta que tenha uma leitura ou uma junção em dados do Assured Workloads é colocada numa pasta do Assured Workloads. Pode especificar um nome de tabela totalmente qualificado para o resultado da consulta através de projectname.dataset.table na CLI do BigQuery.
Cloud Logging	O BigQuery usa o Cloud Logging para alguns dos seus dados de registo. Deve desativar os contentores de registo _default ou restringir os contentores _default às regiões no âmbito para manter a conformidade através do seguinte comando: gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Consulte o artigo Regionalize os seus registos para mais informações.

Compute Engine

Funcionalidades do Compute Engine afetadas

Funcionalidade	Descrição
Suspender e retomar uma instância de VM	Esta funcionalidade está desativada. A suspensão e o reinício de uma instância de VM requerem armazenamento em disco persistente, e o armazenamento em disco persistente usado para armazenar o estado da VM suspensa não pode ser encriptado atualmente através da CMEK. Consulte a restrição da gcp.restrictNonCmekServices política da organização na secção acima para compreender as implicações da soberania e residência dos dados da ativação desta funcionalidade.
SSDs locais	Esta funcionalidade está desativada. Não pode criar uma instância com SSDs locais porque, atualmente, não podem ser encriptados através da CMEK. Consulte a restrição da gcp.restrictNonCmekServices política da organização na secção acima para compreender as implicações da soberania e residência dos dados da ativação desta funcionalidade.
Ambiente convidado	É possível que os scripts, os daemons e os ficheiros binários incluídos no ambiente convidado acedam a dados não encriptados em repouso e em utilização. Dependendo da configuração da VM, as atualizações a este software podem ser instaladas por predefinição. Consulte o ambiente de convidado para ver informações específicas sobre o conteúdo, o código-fonte e muito mais de cada pacote. Estes componentes ajudam a cumprir a soberania dos dados através de controlos de segurança internos e processos. No entanto, se quiser um controlo adicional, também pode organizar as suas próprias imagens ou agentes e, opcionalmente, usar a restrição da compute.trustedImageProjects política da organização. Consulte a página Criar uma imagem personalizada para mais informações.
Políticas de SO no VM Manager	Os scripts inline e os ficheiros de saída binários nos ficheiros de políticas do SO não são encriptados com chaves de encriptação geridas pelo cliente (CMEK). Por conseguinte, não inclua informações confidenciais nestes ficheiros. Em alternativa, considere armazenar estes scripts e ficheiros de saída em contentores do Cloud Storage. Para mais informações, consulte os exemplos de políticas de SO. Se quiser restringir a criação ou a modificação de recursos de políticas do SO que usam scripts inline ou ficheiros de saída binários, ative a restrição da política da organização constraints/osconfig.restrictInlineScriptAndOutputFileUsage. Para mais informações, consulte Restrições para a configuração do SO.
instances.getSerialPortOutput()	Esta API está desativada. Não vai poder obter a saída da porta de série da instância especificada através desta API. Altere o valor da restrição da política da organização compute.disableInstanceDataAccessApis para Falso para ativar esta API. Também pode ativar e usar a porta de série interativa seguindo as instruções em Ativar o acesso para um projeto.
instances.getScreenshot()	Esta API está desativada. Não vai poder obter uma captura de ecrã da instância especificada com esta API. Altere o valor da restrição da política da organização compute.disableInstanceDataAccessApis para Falso para ativar esta API. Também pode ativar e usar a porta de série interativa seguindo as instruções em Ativar o acesso para um projeto.

Restrições de políticas de organização do Compute Engine

Restrição da política da organização	Descrição
compute.disableGlobalCloudArmorPolicy	Definido como Verdadeiro. Desativa a criação de novas políticas de segurança do Google Cloud Armor globais e a adição ou modificação de regras a políticas de segurança do Google Cloud Armor globais existentes. Esta restrição não restringe a remoção de regras nem a capacidade de remover ou alterar a descrição e a ficha de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por esta restrição. Todas as políticas de segurança globais e regionais que existirem antes da aplicação desta restrição permanecem em vigor.
compute.disableInstanceDataAccessApis	Definido como Verdadeiro. Desativa globalmente as APIs instances.getSerialPortOutput() e instances.getScreenshot(). A ativação desta restrição impede que gere credenciais em VMs do Windows Server. Se precisar de gerir um nome de utilizador e uma palavra-passe numa VM do Windows, faça o seguinte: Ative o SSH para VMs Windows. Execute o seguinte comando para alterar a palavra-passe da VM: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Substitua o seguinte: VM_NAME: o nome da VM para a qual está a definir a palavra-passe. USERNAME: o nome de utilizador do utilizador para o qual está a definir a palavra-passe. PASSWORD: a nova palavra-passe.
compute.restrictNonConfidentialComputing	(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional. Consulte a documentação sobre a VM confidencial para mais informações.
compute.trustedImageProjects	(Opcional) O valor não está definido. Defina este valor para fornecer uma defesa em profundidade adicional. A definição deste valor restringe o armazenamento de imagens e a instanciação de discos à lista especificada de projetos. Este valor afeta a soberania dos dados, impedindo a utilização de imagens ou agentes não autorizados.

Dataform

Funcionalidades do Dataform afetadas

Funcionalidade	Descrição
Funcionalidades	É da sua responsabilidade não usar o produto Vertex Colab Enterprise nem as respetivas funcionalidades, uma vez que não está em conformidade com a CJIS.

Cloud Interconnect

Funcionalidades do Cloud Interconnect afetadas

Funcionalidade	Descrição
VPN de alta disponibilidade (HA)	Tem de ativar a funcionalidade de VPN de alta disponibilidade (HA) quando usar o Cloud Interconnect com o Cloud VPN. Além disso, tem de cumprir os requisitos de encriptação e regionalização indicados na secção Funcionalidades da VPN na nuvem afetadas.

Cloud KMS

Restrições da política de organização do Cloud KMS

Restrição da política da organização	Descrição
cloudkms.allowedProtectionLevels	Definido para permitir a criação de CryptoKeys do Cloud Key Management Service com os seguintes níveis de proteção: SOFTWARE HSM EXTERNAL EXTERNAL_VPC Consulte os níveis de proteção para mais informações.

Cloud Logging

Funcionalidades do Cloud Logging afetadas

Funcionalidade	Descrição
Sinks de registo	Os filtros não devem conter dados de clientes. Os destinos de registos incluem filtros que são armazenados como configuração. Não crie filtros que contenham dados de clientes.
Monitorização em tempo real de entradas do registo	Os filtros não devem conter dados de clientes. Uma sessão de monitorização em tempo real inclui um filtro que é armazenado como configuração. A monitorização de registos não armazena dados de entradas de registo, mas pode consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes.

Cloud Monitoring

Funcionalidades do Cloud Monitoring afetadas

Funcionalidade	Descrição
Monitor sintético	Esta funcionalidade está desativada.
Verificações de tempo de atividade	Esta funcionalidade está desativada.
Widgets do painel de registo em Painéis de controlo	Esta funcionalidade está desativada. Não pode adicionar um painel de registo a um painel de controlo.
Widgets do painel de relatórios de erros em Painéis de controlo	Esta funcionalidade está desativada. Não pode adicionar um painel de relatórios de erros a um painel de controlo.
Filtre em EventAnnotation para Painéis de controlo	Esta funcionalidade está desativada. O filtro de EventAnnotation não pode ser definido num painel de controlo.
SqlCondition em alertPolicies	Esta funcionalidade está desativada. Não pode adicionar um SqlCondition a um alertPolicy.

Cloud Run

Funcionalidades do Cloud Run afetadas

Funcionalidade	Descrição
Funcionalidades não suportadas	As seguintes funcionalidades do Cloud Run não são suportadas: Integração do Cloud Trace Funções do Cloud Run Acionadores do Eventarc

Cloud VPN

Funcionalidades do Cloud VPN afetadas

Funcionalidade	Descrição
Endpoints da VPN	Tem de usar apenas pontos finais da VPN do Google Cloud localizados numa região dentro do âmbito. Certifique-se de que o gateway de VPN está configurado para utilização apenas numa região no âmbito.

Conversational Insights

Funcionalidades de estatísticas de conversação afetadas

Funcionalidade	Descrição
IA de qualidade com exemplos de conversas	É da sua responsabilidade não usar esta funcionalidade, uma vez que não está em conformidade com a CJIS.

Google Cloud Armor

Funcionalidades do Google Cloud Armor afetadas

Funcionalidade	Descrição
Políticas de segurança com âmbito global	Esta funcionalidade está desativada pela restrição da política da organização.compute.disableGlobalCloudArmorPolicy

Spanner

Restrições da política da organização do Spanner

Restrição da política da organização	Descrição
spanner.disableMultiRegionInstanceIfNoLocationSelected	Definido como Verdadeiro. Desativa a capacidade de criar instâncias do Spanner de várias regiões para aplicar a residência e a soberania dos dados.

Conversão de voz em texto

Funcionalidades de conversão de voz em texto afetadas

Funcionalidade	Descrição
Modelos de conversão de voz em texto personalizados	É da sua responsabilidade não usar modelos de conversão de voz em texto personalizados, uma vez que não estão em conformidade com a CJIS.

Vertex AI Search

Funcionalidades do Vertex AI Search afetadas

Funcionalidade	Descrição
Ajuste da pesquisa	É da sua responsabilidade não usar a funcionalidade de ajuste da pesquisa do Vertex AI Search, uma vez que não está em conformidade com a CJIS.
Recomendações genéricas	É da sua responsabilidade não usar a funcionalidade de recomendações genéricas do Vertex AI Search, uma vez que não está em conformidade com a CJIS.
Recomendações de multimédia	É da sua responsabilidade não usar a funcionalidade de recomendações de multimédia do Vertex AI Search, uma vez que não está em conformidade com a CJIS.

O que se segue?

• Saiba como criar uma pasta do Assured Workloads
• Compreenda os preços do Assured Workloads