Criminal Justice Information Services (CJIS)

La division Criminal Justice Information Services (CJIS) de l'US Federal Bureau of Investigation (FBI) dispense des conseils aux autorités fédérales, gouvernementales, locales et tribales sur la protection des informations liées à la justice pénale (CJI) lors de l'utilisation de fournisseurs de services cloud (FSC), comme Google Cloud.

Les clients peuvent se conformer à la version 6.0 de la politique de sécurité du CJIS sur Google Cloud en utilisant le périmètre de données avec Assured Workloads et Assured Controls pour Google Workspace.

Présentation du CJIS

La division CJIS du FBI supervise de nombreuses bases de données nationales utilisées par les services de justice pénale à travers le pays.La plupart des données stockées dans ces bases sont considérées comme des informations sur la justice pénale (CJI, Criminal Justice Information) et sont protégées contre toute utilisation et divulgation non autorisées. La politique de sécurité CJIS (CJISSECPOL), publiée par la division CJIS du FBI, fournit l'ensemble minimal d'exigences de sécurité pour protéger et sauvegarder les données CJI.

Le FBI fournit également un document d'accompagnement sur les exigences qui met en avant les modifications récentes apportées à la politique de sécurité CJIS et aide à identifier les rôles et responsabilités de sécurité des entités qui accèdent aux données CJI. Bien que le CJA qui accède aux données CJI soit toujours responsable de la conformité au CJIS, le document d'accompagnement des exigences l'aide à déterminer qui (par exemple, Division CJIS du FBI, CJA, fournisseur de services, etc.) dispose de la capacité technique nécessaire pour s'assurer que les exigences sont respectées.

Les clients peuvent utiliser le périmètre de données avec Assured Workloads et Assured Controls pour Google Workspace pour se conformer à la version 6.0 de la politique de sécurité du CJIS. La conformité de Google Cloud à la version 6.0 a été évaluée et validée de manière indépendante par Coalfire, un organisme tiers d'évaluation (3PAO). Nous avons également mis à disposition un guide d'implémentation CJIS pour simplifier la conformité des clients avec le CJIS v6.0. Des informations supplémentaires sur la conformité peuvent également être fournies sur demande pour démontrer comment Google Cloud répond aux exigences du CJISSECPOL applicables aux fournisseurs de services cloud.

Google Cloud participe également aux réunions du Conseil consultatif sur les règles de sécurité du CJIS et examine les nouvelles versions de la politique de sécurité du CJIS et du document d'accompagnement sur les exigences pour s'assurer que nos règles et procédures sont conformes à toute modification.

Google Cloud et la conformité CJIS

Google Cloud

Le périmètre de données avec Assured Workloads de Google Cloud offre une approche moderne permettant aux clients de se conformer à la version 6.0 de la politique de sécurité du CJIS, ainsi qu'à d'autres frameworks tels que FedRAMP Élevé et les niveaux d'impact IL2 / IL4 / IL5 du ministère de la Défense des États-Unis.

Le périmètre de données avec Assured Workloads adopte une approche zéro confiance basée sur des logiciels pour la conformité réglementaire. Il permet aux clients de répondre aux exigences strictes de conformité du cloud imposées par les gouvernements, tout en offrant les avantages en termes de performances, d'évolutivité, de disponibilité des services, de coûts et de fiabilité auxquels les clients renoncent lorsqu'ils utilisent des architectures cloud physiquement séparées. Les clients du secteur public et les agences de justice pénale peuvent utiliser le périmètre de données avec Assured Workloads pour traiter, stocker et transmettre les données CJI dans leur environnement Google Cloud. Ils peuvent remplir ce formulaire pour demander un essai gratuit.

Le périmètre de données avec Assured Workloads simplifie la sécurité et la conformité pour les organismes locaux, tribaux, fédéraux et étatiques chargés de l'application des lois (ainsi que pour tout autre utilisateur CJI relevant de la justice pénale ou non pénale) de la manière suivante :

  • En définissant des contrôles sur l'emplacement des données pour restreindre les charges de travail CJIS aux régions situées aux États-Unis uniquement ("résidence des données").
  • Limiter l'accès non accompagné aux CJI non chiffrées aux personnes basées aux États-Unis ayant fait l'objet d'une vérification d'antécédents sur empreintes digitales par une agence des systèmes CJIS (CSA) ou une agence de justice pénale (CJA) d'un État
  • En permettant l'utilisation de clés de chiffrement gérées par le client (CMEK), hébergées sur Google Cloud ou dans un gestionnaire de clés externe.
  • En permettant aux clients de bénéficier d'une visibilité et d'un contrôle sur les accès administratifs.
  • En surveillant de manière continue les environnements client pour détecter les cas de non-conformité.

Google Workspace

Assured Controls pour Google Workspace permet aux entreprises de répondre aux exigences organisationnelles et de conformité, qu'il s'agisse de limiter l'accès du personnel Google aux données client ou de s'assurer que l'emplacement de ces données est limité aux États-Unis.

Les clients qui souhaitent déployer des solutions CJIS à l'aide de Google Workspace peuvent utiliser Assured Controls pour définir des règles conformes à la politique de sécurité de la division CJIS. Cliquez ici pour consulter le guide de configuration des solutions CJIS sur Google Workspace.

Personnel Google et vérification CJIS

Les clients des 50 États américains et de Washington D.C. peuvent héberger ou migrer en toute confiance leurs applications CJIS vers Google Cloud, car nous sommes en mesure de les accompagner dans leurs implémentations et de démontrer leur conformité avec la politique de sécurité du CJIS.

Le personnel Google Cloud dont les activités sont soumises au CJIS a été contrôlé dans les États suivants, qui prennent en charge les contrôles centralisés : Alabama, Alaska, Arizona, Colorado, Delaware, Floride, Géorgie, Hawaï, Idaho, Indiana, Kansas, Kentucky, Louisiane, Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, Caroline du Nord, Dakota du Nord, Oklahoma, Pennsylvanie, Tennessee, Utah, Washington, Virginie-Occidentale, Wisconsin et Wyoming.

Notre personnel est prêt à se soumettre à des vérifications d'antécédents dans tous les autres États. Pour savoir comment notre personnel peut être contrôlé dans un État qui ne figure pas dans la liste ci-dessus, veuillez contacter le CSA de votre État ou cjis@google.com.

Services Google Cloud conformes aux exigences du CJIS

Access Context Manager

Access Transparency

Agent Assist

AlloyDB pour PostgreSQL

Apigee

App Hub

Artifact Registry

Sauvegarde pour GKE

BigQuery

Service de transfert de données BigQuery

Bigtable

Autorisation binaire

Certificate Authority Service

Inventaire des éléments cloud

Cloud Build

Cloud Composer

Cloud Data Fusion

Cloud Deploy

Cloud DNS

Cloud External Key Manager (Cloud EKM)

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Key Management Service

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (traduction d'adresse réseau)

API Cloud OS Login

Cloud Router

Cloud Run

Fonctions Cloud Run

Cloud SQL

Cloud Storage

Cloud Tasks

API Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Agents de conversation (Dialogflow CX)

Conversational Insights

Centre de bases de données

Dataflow

Dataform

Dataplex Universal Catalog

Dataproc

Document AI

Contacts essentiels

Eventarc

Filestore

Règles de sécurité Firebase

Firestore

IA générative sur Vertex AI

GKE Hub

Service d'identité GKE

Console d'administration Google

Google Agentspace

Google Cloud Armor

Google Kubernetes Engine

Identity and Access Management

Identity-Aware Proxy

Infrastructure Manager

Key Access Justifications

Looker (Google Cloud Core)

Memorystore pour Redis

Model Armor

Network Connectivity Center

Service de règles d'organisation

Persistent Disk

Pub/Sub

Resource Manager

Secret Manager

Secure Source Manager

Sensitive Data Protection

Maillage de services

Spanner

Speech-to-Text

Service de transfert de stockage

Text-to-Speech

Vertex AI Model Monitoring

Vertex AI Model Registry

Vertex AI Search

Vertex AI Workbench

Cloud privé virtuel

VPC Service Controls

Web Risk

Fédération des identités des employés

Questions fréquentes

Une organisation tierce indépendante a récemment évalué les contrôles de sécurité de Google Cloud et a conclu que Google Cloud était conforme à la version 6.0 de la politique de sécurité du CJIS.

Si un client ou un CSA (organisme chargé de la gestion des systèmes CJIS) en fait la demande, Google Cloud signera un accord de gestion qui fournit aux clients des informations détaillées sur la manière dont Google Cloud respecte la politique de sécurité de la division CJIS, sur les responsabilités de chacune des parties, sur les services cloud couverts et sur de nombreuses autres dispositions importantes. Vous pouvez demander une copie de l'accord de gestion CJIS de Google Cloud en envoyant un e-mail à l'adresse cjis@google.com.

L'équipe de conformité de Google Cloud peut également fournir des documents détaillés sur la conformité, qui montrent comment Google Cloud répond aux exigences de la loi CJISSECPOL applicables aux fournisseurs de services cloud.

Oui. Google Cloud permet aux clients de restreindre les charges de travail CJIS à des régions uniquement situées aux États-Unis grâce à Assured Workloads et Assured Controls. Google stockera vos données au repos conformément aux conditions spécifiques du service.

Google collabore avec les CSA (ou les agences locales) des États pour s'assurer que le personnel Google qui peut avoir un accès non accompagné aux CJI non chiffrées d'un État fait l'objet d'une vérification d'antécédents basée sur les empreintes digitales, conformément à la politique de sécurité du CJIS. Le personnel concerné de Google fournira à chaque CSA ou agence locale le formulaire d'empreintes digitales FD-258, ainsi que tout document requis.

Cette procédure permet de s'assurer que les membres concernés du personnel ne vont bénéficier d'un accès sans supervision aux CJI non chiffrées qu'après avoir effectué la vérification d'antécédents sur empreintes digitales, suivi la formation de sensibilisation à la sécurité de la division CJIS et signé l'addendum de sécurité CJIS.

Google a implémenté le principe zéro confiance au cœur de ses services et de ses opérations. Notre infrastructure ne présume aucune confiance entre les services qui s'exécutent dessus. En d'autres termes, chaque demande d'accès aux ressources est inspectée, authentifiée et vérifiée comme si elle provenait d'un réseau non approuvé.

Les environnements client dans Google Cloud sont également séparés logiquement pour empêcher les utilisateurs et les clients d'accéder aux ressources qui ne leur sont pas attribuées. Les données client (y compris les CJI) sont séparées logiquement par domaine afin de permettre la production de données pour un seul locataire. La capacité de Google Cloud à protéger les données client de cette manière, tout en permettant de développer des fonctionnalités plus rapidement et en offrant des avantages en termes de coûts pour le client, en fait le meilleur choix pour les administrations.

Oui. Google Cloud utilise un module de chiffrement certifié FIPS 140-3 appelé BoringCrypto (certificat 4735) dans son environnement de production. Google Cloud chiffre tout le contenu client stocké au repos et en transit entre nos installations, sans action requise de la part du client, à l'aide d'un ou de plusieurs mécanismes de chiffrement.

Les clients peuvent ainsi conserver leur conformité avec la politique de sécurité du CJIS tout en choisissant parmi diverses offres de gestion de clés cloud, telles que les clés gérées par Google, les clés de chiffrement gérées par le client et un système externe de gestion de clés. Étant donné que Google Cloud utilise ce niveau de chiffrement par défaut pour les données au repos et les données en transit, les clients peuvent hériter du chiffrement certifié FIPS 140-3 et n'ont plus besoin d'exécuter des produits et services en mode FIPS.

Non. Étant donné que Google fournit des clés de chiffrement gérées par le client et limite l'accès non accompagné aux CJI non chiffrées au personnel concerné par le CJIS qui a fait l'objet d'une vérification appropriée, l'informatique confidentielle n'est pas requise pour se conformer au CJIS sur Google Cloud. Toutefois, les clients peuvent choisir d'utiliser l'informatique confidentielle en plus de la limite de données CJIS sécurisée et restreinte.

Le règlement sur la sécurité CJIS ne requiert pas l'utilisation d'un cloud gouvernemental (ou "cloud public") et il n'existe pas de définition ou de norme universelles concernant ce qui constitue un cloud public. La limite de données CJIS de Google Cloud aide les clients à se conformer à la politique de sécurité CJIS. La conformité de Google Cloud a été validée par une organisation d'évaluation tierce indépendante et par de nombreux CSA d'États. 

Google a investi dans une approche de sécurité multicouche de son infrastructure cloud publique, en fournissant des fonctionnalités telles que le chiffrement et des contrôles stricts des accès aux données par le personnel. Cela, associé à l'implémentation de la stratégie zéro confiance décrite ci-dessus, définit une stratégie de sécurité forte, qui permet de satisfaire aux exigences strictes de la politique de sécurité de la division CJIS, tout en permettant aux clients de bénéficier des constantes innovations produit dans le cloud public.

L'implémentation par Google des contrôles mentionnés ci-dessus (et de bien d'autres) est conforme aux exigences de niveau d'impact FedRAMP Modéré et FedRAMP Élevé, du programme FedRAMP (Federal Risk and Authorization Management Program). Elle a été reconnue par la commission Joint Authorization Board (JAB).

Notre approche est validée par le mémo M-24-15 du Bureau de la gestion et du budget (OMB) intitulé "Modernizing the Federal Risk and Authorization Management Program (FedRAMP)" ("Moderniser le programme FedRAMP"). Ce document recommande aux organismes fédéraux de s'éloigner des architectures GovCloud isolées:

"Le FedRAMP ne devrait pas inciter ni obliger les fournisseurs de services cloud commerciaux à créer des offres distinctes et dédiées à l'utilisation fédérale, que ce soit par l'application de cadres de sécurité fédéraux ou d'autres opérations du programme. Le gouvernement fédéral bénéficie des investissements, de la maintenance de la sécurité et du développement rapide de fonctionnalités que les fournisseurs de services cloud commerciaux apportent à leurs produits phares pour réussir sur le marché. De même, les fournisseurs commerciaux sont encouragés à intégrer à leurs services principaux les pratiques de sécurité améliorées qui découlent de leur engagement avec le FedRAMP, ce qui profite à tous les clients."

Oui, les clients Google Cloud sont propriétaires de leurs données client lorsqu'ils utilisent Google Cloud ou Google Workspace. Consultez l'Avenant relatif au traitement des données dans le cloud (ATDC) et notre Centre de ressources sur la confidentialité pour en savoir plus sur nos engagements concernant le traitement des données.

Passez à l'étape suivante

Profitez de 300 $ de crédits gratuits et de plus de 20 produits Always Free pour commencer à créer des applications sur Google Cloud.

Google Cloud
DocumentationAssistance
Console
Se connecter
Security
Infos sur les menacesSecOpsSécurité du cloudConseilRessources concernant la sécurité
  • Accélérez votre transformation numérique
  • Votre entreprise a déjà bien amorcé son processus de transformation numérique ? Vous n'en êtes qu'aux premiers stades ? Dans les deux cas, Google Cloud peut vous aider à relever vos défis les plus complexes.
  • Produits Google Cloud
  • Parcourez plus de 100 produits. Les nouveaux clients bénéficient de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail. Tous les clients peuvent utiliser plus de 25 produits gratuitement, dans les limites mensuelles spécifiées.
  • Faites des économies grâce à notre approche transparente concernant la tarification
  • Le paiement à l'usage de Google Cloud permet de réaliser des économies automatiques basées sur votre utilisation mensuelle et des tarifs réduits pour les ressources prépayées. Contactez-nous dès aujourd'hui afin d'obtenir un devis.
Google Cloud