Servicios de Información de la Justicia Criminal (CJIS)

La División de Servicios de Información de la Justicia Criminal (CJIS) de la Oficina Federal de Investigación (FBI) de EE.UU. proporciona a agencias federales, estatales y locales información sobre cómo proteger la información de la justicia penal (CJI) cuando usan proveedores de servicios en la nube (CSP), como Google Cloud.

Google Cloud ofrece controles de seguridad para proteger y almacenar CJI a través de Assured Workloads para Google Cloud y Assured Controls para Google Workspace. Las agencias de orden público pueden lograr el cumplimiento de la Política de seguridad de CJIS implementando estos controles para los servicios de Google Cloud que se encuentran dentro del alcance.

Cumplimiento de CJIS de Google

La Oficina del Programa de CJIS del FBI publicó varios artefactos que proporcionan una guía específica para proteger el CJI. El documento principal es la Política de Seguridad CJIS del FBI, en la que se detalla un conjunto mínimo de requisitos de seguridad que se deben cumplir para proteger el CJI.

El FBI también proporciona una asignación de los requisitos de CJIS a los controles de seguridad que se encuentran en la revisión 4 de NIST SP 800-53.

Todos los servicios de Google Cloud que admiten CJIS pueden cumplir con los requisitos necesarios para protegerla. Google también recibió certificaciones de un evaluador independiente de terceros que confirma el cumplimiento de los controles de NIST 800-53 incluidos en la asignación del FBI.

Comunícate con el equipo de Ventas de Google Cloud mediante nuestro formulario de contacto para obtener más información sobre el cumplimiento de CJIS de Google.

Funciones de CJIS de Google

Los servicios con alcance de CJIS disponibles a través de Assured Workloads y Assured Controls implementan controles de seguridad CJIS y permiten que los clientes usen las capacidades de Google Cloud y Google Workspace para satisfacer sus necesidades comerciales.

Las agencias de justicia y las autoridades penales estatales, locales y federales (y sus contratistas) pueden usar estos servicios para lo siguiente:

Configurar protecciones para restringir las cargas de trabajo de CJIS a EE.UU.,
Restringir el personal de asistencia técnica a las personas físicas o jurídicas de EE.UU. ubicadas en ese país y que Google y la agencia CJIS estatales hayan evaluado,
Aplicar la encriptación que cumple con FIPS-140-2 en reposo y en tránsito
Usar claves de encriptación administradas por el cliente (CMEK)
Implementar controles de acceso del personal
Aplica restricciones de cumplimiento para desarrolladores y segmentación lógica a fin de cumplir con los requisitos de CJIS y mucho más

Si bien todos los empleados de Google Cloud en Estados Unidos están sujetos a la verificación de antecedentes de Google, Google reconoce la sensibilidad de los datos de CJI. Es por eso que Google Cloud trabaja con los clientes a fin de restringir la asistencia técnica para el personal de EE.UU. que completó las verificaciones de antecedentes del FBI basadas en huellas dactilares y las verificaciones de antecedentes penales que exige la CJIS Security Policy.

Los estados también pueden proporcionar su propio proceso de verificación de antecedentes aprobado para mantener a los clientes controlados quién puede admitir CJI.

Actualizaciones clave en la Política de Seguridad CJIS v5.9.1 y v5.9.2

El FBI actualizó la Política de Seguridad CJIS de v5.9.0 a v5.9.2 a finales de 2022. Los cambios se pueden ver en el documento complementario de requisitos publicado por el FBI.

La política más reciente contiene actualizaciones significativas en algunas áreas. En particular, se actualizó la orientación relacionada con la protección de contenido multimedia, la selección de personal, la administración de identidades y accesos, el reconocimiento y la capacitación, y la integridad de la información y el sistema, y ahora está más relacionada con NIST 800- 53 controles.

También hay algunos conceptos erróneos populares sobre estos cambios. El Apéndice G.3 (que ha estado presente en las versiones anteriores de la política) especifica en la Situación 2 que, cuando se desencripta CJI en el entorno de un CSP, cualquier personal administrativo que el acceso al entorno debe estar “sujeto a la capacitación sobre el reconocimiento de la seguridad y a los controles de seguridad del personal, como se describe en la Política de Seguridad de CJIS”. Esto se aplica incluso cuando la agencia de CJIS mantiene el control de las claves de encriptación.

A fin de proporcionar una protección completa a los clientes, Google usa claves de encriptación administradas por el cliente (CMEK) y controles de seguridad para el personal a fin de restringir el acceso de CJI a las personas estadounidenses que se encuentran en EE.UU. con autorización para cumplir con los requisitos de la Política de Seguridad de CJIS.

Servicios de Google Cloud dentro del alcance de la HIPAA

BigQuery

Cloud Key Management Service

Google Kubernetes Engine

Identity and Access Management

Persistent Disk

Pub/Sub

Virtual Private Cloud

VPC Service Controls

Preguntas frecuentes

Las entidades que administran CJI (como Google Cloud) deben ejecutar un Anexo de Seguridad de CJIS con estados que deseen usar los servicios de la entidad para protegerlos. El Anexo es un acuerdo basado en una plantilla aprobado por el fiscal general de EE.UU. que confirma a Google Cloud que mantenga un programa de seguridad que cumple con las CJIS.

También puedes consultar la Política de Seguridad de CJIS para obtener más información sobre cómo tu agencia debe proteger el ciclo de vida completo de CJI.

Google Cloud está dedicado a trabajar con los Gobiernos estatales y locales para asistir las cargas de trabajo de CJIS. Si bien los clientes pueden usar Google Cloud para ejecutar cargas de trabajo que contengan CJI en EE.UU., Google Cloud está autorizado a proteger la CJI en los siguientes estados:

Florida

Massachusetts

Oklahoma

Pensilvania

Tennessee

Utah

Comunícate con el equipo de Ventas de Google Cloud Platform de tu estado a través de nuestro formulario de contacto para iniciar el proceso y obtener acceso a un Anexo de seguridad de CJIS de Google Cloud.

En este apéndice, se les proporciona a los clientes información detallada sobre cómo Google Cloud cumple con la Política de Seguridad CJIS, las responsabilidades de cada parte, los servicios que se ofrecen en la nube y muchas otras disposiciones importantes.

Google firma un Anexo de Seguridad de CJIS ante una Agencia de Sistemas de CJIS (CSA) o un Oficial de Seguridad de la CJIS (CSO) puedes solicitar una copia de Google o del CSA o CSO de tu estado.

Además, Google ofrece a los clientes acceso a informes de cumplimiento preparados por auditores independientes para que puedan validar que Google implementó controles de seguridad (como ISO y NIST). , SOC) adecuados para el alcance de la auditoría correspondiente.

Los clientes pueden auditar los controles de seguridad de Google para verificar que cumplan con los requisitos de la Política de Seguridad de CJIS.

Sí. Los clientes pueden configurar recursos en ubicaciones de EE.UU., para nuestros servicios clave, y Google almacenará tus datos en reposo solo en la región seleccionada, según nuestras Condiciones específicas del Servicio.

Google invirtió en un enfoque de seguridad en capas para su infraestructura de nube pública, que proporciona funciones como la encriptación y controles sólidos de acceso a datos de personal. Esto proporciona la fuerte postura de seguridad necesaria para cumplir con los estrictos requisitos de la política de seguridad de CJIS y, al mismo tiempo, permite que los clientes aprovechen las innovaciones continuas de los productos de la nube pública.

La implementación de los controles mencionados arriba (y muchos otros) por parte de Google cumple con los requisitos del FedRAMP Moderate y de FedRAMP High, y ha sido reconocido por la Junta de Autorización conjunta (JAB).

No, dado que Google proporciona claves de encriptación administradas por el cliente y controles de acceso a los datos del personal que restringen el acceso a CJI, no se requiere computación confidencial para CJIS en Google Cloud.

Sin embargo, los clientes aún pueden utilizar la computación confidencial como un control de seguridad complementario, además del entorno seguro y restringido que ofrece Google a los clientes de CJIS

Google Cloud usa un estándar FIPS 140-2 (Consulta la página de cumplimiento de FIPS 140-2 ) módulo de encriptación validado llamadoBoringCrypto (certificado 3678) en nuestro entorno de producción. Esto significa que los datos en tránsito (al cliente y entre centros de datos) y los datos en reposo se encriptan de forma predeterminada con encriptación validada por FIPS 140-2.

El módulo que consiguió la validación con FIPS 140-2 forma parte de nuestra biblioteca BoringSSL. Esto permite a los clientes mantener el cumplimiento con FIPS y elegir entre una variedad de ofertas de Cloud Key Management, como claves administradas por Google, claves de encriptación administradas por el cliente, y la Administración de claves externa. Dado que Google Cloud usa este nivel de encriptación de forma predeterminada para los datos en reposo y en tránsito, los clientes pueden heredar la encriptación FIPS 140-2 y eliminar el requisito de ejecutar productos y servicios en modo FIPS. de Google.