Servicios de Información de la Justicia Criminal (CJIS)

La división de Servicios de Información de la Justicia Criminal (CJIS) de la Oficina Federal de Investigación (FBI) de EE.UU. proporciona a agencias federales, estatales, locales y tribales información sobre cómo proteger la información de la justicia penal (CJI) cuando usan proveedores de servicios en la nube (CSP), como Google Cloud.

Los clientes de Google Cloud pueden usar Assured Workloads para Google Cloud y Assured Controls para Google Workspace para cumplir con la versión 5.9.5 de la Política de seguridad de los CJIS.

Introducción a los CJIS

La división de CJIS del FBI supervisa muchas bases de datos nacionales que son aprovechadas por las agencias de justicia penal (CJA) de todo el país. Gran parte de los datos que se mantienen en estas bases de datos se consideran información de justicia penal (CJI) y están sujetos a protección contra el uso y la divulgación no autorizados. La Política de Seguridad de los CJIS (“CJISSECPOL”), publicada por la división de CJIS del FBI, proporciona el conjunto mínimo de requisitos de seguridad para proteger y salvaguardar la CJI.

El FBI también tiene un Documento complementario de requisitos que destaca los cambios recientes en la Política de Seguridad de los CJIS y ayuda a identificar los roles y las responsabilidades de seguridad de las entidades que acceden a la CJI. Si bien las CJA que acceden a la CJI siempre son responsables de garantizar el cumplimiento de los CJIS, el documento complementario de requisitos guía a la CJA para determinar quién tiene la capacidad técnica para garantizar que se cumpla un requisito en particular (p. ej., la división de CJIS del FBI, la CJA, el proveedor de servicios, etcétera). 

Los clientes de Google Cloud y Google Workspace pueden usar Assured Workloads y Assured Controls para cumplir con la versión 5.9.5 de la política de seguridad de los CJIS. Hace poco, una organización de evaluación independiente analizó los controles de seguridad de Google Cloud para los CJIS y descubrió que Google Cloud permite el cumplimiento de CJIS. También se puede proporcionar información adicional sobre el cumplimiento a pedido para demostrar cómo Google Cloud satisface los requisitos de la CJISSECPOL aplicables a los proveedores de servicios en la nube. 

Google Cloud también asiste a las reuniones del Consejo Asesor de Políticas de los CJIS y revisa las nuevas versiones de la Política de Seguridad de los CJIS y el documento complementario de requisitos para garantizar que nuestros procedimientos y políticas cumplan con cualquier cambio.

Aloja cargas de trabajo de los CJIS en Google Cloud

Assured Workloads para CJIS permite que los clientes cumplan con la Política de Seguridad de CJIS. Assured Workloads para Google Cloud Platform es la nube regulatoria de Google Cloud y permite el cumplimiento de marcos de trabajo como CJIS, FedRAMP High y de IL2, IL4 y IL5 del Departamento de Defensa.

Assured Workloads adopta un enfoque de confianza cero y basado en software para el cumplimiento normativo. Permite que los clientes cumplan con los estrictos requisitos de cumplimiento de la nube del Gobierno, a la vez que proporciona los beneficios de rendimiento, escala, disponibilidad del servicio, costo y confiabilidad que los clientes sacrifican cuando usan arquitecturas de nube separadas físicamente.

Assured Workloads simplifica la seguridad y el cumplimiento para las agencias de orden público estatales, locales, tribales y federales (y cualquier otro usuario de CJI de justicia penal o no penal) de las siguientes maneras:

  • Establece controles de ubicación de datos para restringir las cargas de trabajo de los CJIS a regiones solo de EE.UU. (“residencia de datos”).
  • Implementa controles de seguridad y acceso para el personal a fin de restringir el acceso sin acompañamiento a la CJI no encriptada a las personas físicas o jurídicas de EE.UU. que hayan completado la verificación de antecedentes del FBI con las huellas dactilares.
  • Habilita el uso de claves de encriptación administradas por el cliente (CMEK) alojadas en Google Cloud o con un administrador de claves externo.
  • Permite que los clientes obtengan control y visibilidad sobre el acceso de administrador.
  • Supervisa continuamente los entornos de los clientes en busca de incumplimientos.

Aloja cargas de trabajo de CJIS en Google Workspace

Assured Controls para Google Workspace permite que las organizaciones cumplan con los requisitos organizacionales y de cumplimiento, ya sea que impliquen limitar el acceso del personal de Google a los datos del cliente o garantizar que la ubicación de los datos del cliente esté restringida a Estados Unidos.

Los clientes que deseen implementar soluciones de CJIS con Google Workspace pueden utilizar Assured Controls para establecer políticas en consonancia con la Política de Seguridad de CJIS. Aquí puedes encontrar una guía de configuración para las soluciones de CJIS en Google Workspace.

Servicios de Google Cloud dentro del alcance de la HIPAA

Preguntas frecuentes

Recientemente, una organización de evaluación independiente analizó los controles de seguridad de Google Cloud para los CJIS y descubrió que Google Cloud permite el cumplimiento de los CJIS con éxito. Google planea actualizar esta evaluación una vez que se publique la Política de Seguridad de los CJIS v6.0. 

Si un cliente o la agencia de sistemas de los CJIS (CSA) del estado lo solicita, Google Cloud celebrará un Acuerdo de Administración que les proporcionará a los clientes información detallada sobre cómo Google Cloud permite el cumplimiento de la Política de Seguridad de CJIS, las responsabilidades de cada parte, los servicios en la nube que se abarcan y muchas otras disposiciones importantes. Puedes solicitar una copia del Acuerdo de Administración de CJIS de Google Cloud enviando un correo electrónico a cjis@google.com.

El equipo de cumplimiento de Google Cloud también puede proporcionar narrativas de cumplimiento detalladas que demuestren cómo Google Cloud satisface los requisitos de la CJISSECPOL aplicables a los proveedores de servicios en la nube.

Sí. Google Cloud permite a los clientes restringir las cargas de trabajo de los CJIS a regiones solo de EE.UU. a través de Assured Workloads y Assured Controls. Google almacenará tus datos en reposo de acuerdo con nuestras Condiciones específicas del Servicio.

En los estados en los que los empleados de Google pueden tener acceso sin acompañamiento a la CJI no encriptada, Google trabaja con el CSA (o una agencia local) para garantizar que el personal que puede tener acceso sin acompañamiento a la CJI no encriptada de un estado se someta a verificaciones de antecedentes del FBI basadas en huellas dactilares. El personal de Google calificado enviará las tarjetas de huella digital FD-258, junto con la documentación requerida, a cada CSA.

Este proceso garantiza que el personal autorizado obtenga acceso sin escolta solo después de completar la verificación de antecedentes y la capacitación de sensibilización sobre la seguridad de CJIS.

Google implementó la confianza cero como base de nuestros servicios y operaciones. Nuestra infraestructura no supone ninguna confianza entre los servicios que se ejecutan en ella. En otras palabras, cada solicitud de acceso a recursos se inspecciona, autentica y verifica como si proviniera de una red no confiable.

Los entornos de los clientes dentro de Google Cloud también están segregados de forma lógica para evitar que los usuarios y los clientes accedan a recursos que no se les asignaron. Los datos del cliente (incluida la CJI) se segregan lógicamente por dominio para permitir que se generen datos para un solo usuario. La capacidad de Google Cloud de proteger los datos de los clientes de esta manera, a la vez que permite un desarrollo de funciones más rápido y beneficios de costos para los clientes, la convierte en la mejor opción para los clientes del Gobierno. 

Por último, todos los datos de los clientes en tránsito y en reposo están encriptados de forma predeterminada para TODOS los clientes. Esto garantiza que haya múltiples capas de defensa en una arquitectura de nube multiusuario y proporciona un aislamiento sólido para todos los clientes.

No. Dado que Google proporciona claves de encriptación administradas por el cliente y controles de acceso a los datos del personal que restringen el acceso a la CJI, no se requiere computación confidencial para CJIS en Google Cloud. Sin embargo, los clientes aún pueden utilizar la computación confidencial como un control de seguridad complementario, además del entorno seguro y restringido que ofrece Google a los clientes de CJIS

Sí, Google Cloud usa un módulo de encriptación validado por FIPS 140-3 llamado BoringCrypto (certificado 4735) en el entorno de producción. Esto significa que los datos en tránsito (al cliente y entre centros de datos) y los datos en reposo se encriptan de forma predeterminada con encriptación validada por FIPS 140-3. 

Esto permite a los clientes mantener el cumplimiento de FIPS y elegir entre una variedad de ofertas de Cloud Key Management, como claves administradas por Google, claves de encriptación administradas por el cliente y la administración de claves externa. Dado que Google Cloud usa este nivel de encriptación de forma predeterminada para los datos en reposo y en tránsito, los clientes pueden heredar la encriptación de FIPS 140-3 y eliminar el requisito de ejecutar productos y servicios en modo FIPS.

La Política de Seguridad de los CJIS no requiere el uso de una nube del Gobierno (“GovCloud”) y no existe una definición o un estándar universal sobre lo que constituye una GovCloud. Google Cloud puede habilitar el cumplimiento de los CJIS con la Política de Seguridad de CJIS y demostró su cumplimiento a una organización de evaluación externa independiente y a numerosos CSA estatales. 

Google invirtió en un enfoque de seguridad en capas para su infraestructura de nube pública, que proporciona funciones como la encriptación y controles sólidos de acceso a datos de personal. Esto, junto con la implementación de confianza cero descrita anteriormente, proporciona la postura de seguridad sólida necesaria para cumplir con los estrictos requisitos de la Política de Seguridad de CJIS y, al mismo tiempo, permite que los clientes aprovechen las innovaciones continuas de los productos de la nube pública.

La implementación de los controles mencionados arriba (y muchos otros) por parte de Google cumple con los requisitos del FedRAMP Moderate y del FedRAMP High, y ha sido reconocido por la Junta de Autorización Conjunta (JAB). 

La validación de nuestro enfoque se encuentra en el memorando M-24-15 ("Modernizing the Federal Risk and Authorization Management Program [FedRAMP]") de la Oficina de Administración y Presupuesto (OMB), en el que se recomienda que las agencias federales dejen de usar arquitecturas aisladas de GovCloud:

“FedRAMP no debería incentivar ni exigir a los proveedores de servicios en la nube comerciales que creen ofertas separadas y dedicadas para el uso federal, ya sea a través de la aplicación de sus marcos de trabajo de seguridad federales o de otras operaciones de programas. El Gobierno federal se beneficia de la inversión, el mantenimiento de la seguridad y el desarrollo rápido de funciones que los proveedores de servicios en la nube comerciales le dan a sus productos principales para tener éxito en el mercado. De forma similar, se incentiva a los proveedores comerciales a integrar prácticas de seguridad mejoradas que surgen de su participación en el FedRAMP en sus servicios principales, lo que beneficia a todos los clientes”.

En Google Cloud, creemos que la confianza se genera a través de la transparencia y queremos ser transparentes respecto de nuestros compromisos y las expectativas que puedes tener en relación con nuestra responsabilidad compartida para la protección y la administración de tus datos en la nube.

Cuando usas Google Workspace o Google Cloud Platform, sucede lo siguiente:

  1. Usted es propietario de sus datos, no Google.
  2. Google no vende los datos de los clientes a terceros
  3. Google Cloud no usa los datos del cliente con fines publicitarios.
  4. Todos los datos del cliente están encriptados de forma predeterminada
  5. Protegemos tus datos contra el acceso de usuarios con información privilegiada.
  6. Nunca permitiremos que una entidad gubernamental acceda de manera irregular a tus datos.
  7. Nuestras prácticas de privacidad se someten a auditorías de estándares internacionales

Consulta el Anexo de Tratamiento de Datos de Cloud (CDPA) para obtener más información sobre nuestros compromisos de procesamiento de datos.

Da el siguiente paso

Comienza a desarrollar en Google Cloud con el crédito gratis de $300 y los más de 20 productos del nivel Siempre gratuito.

Comenzar gratis
Google Cloud
DocumentaciónAsistencia
Consola
Acceder
Security
Página principalInformación y experienciaSecOpsSeguridad en la nubeRecursos de seguridad
Asistencia para la respuesta ante incidentes
Comunicarse con nosotros
  • Acelera tu transformación digital
  • Google Cloud puede ayudarte a superar los desafíos más complejos, ya sea que tu negocio recién comience su recorrido o se encuentre en una fase avanzada de la transformación digital.
  • Productos de Google Cloud
  • Explora más de 100 productos. Los clientes nuevos obtienen $300 en créditos gratuitos para ejecutar, probar e implementar cargas de trabajo. Todos los clientes pueden usar más de 25 productos gratis, hasta alcanzar los límites de uso mensuales.
  • Ahorra dinero con nuestro enfoque transparente de precios
  • Los precios de prepago de Google Cloud ofrecen ahorros automáticos en función del uso mensual y las tarifas con descuento para recursos prepagados. Comunícate con nosotros hoy para obtener una cotización.
Google Cloud