Servicios de Información de la Justicia Criminal (CJIS)

La división de Servicios de Información de la Justicia Criminal (CJIS) de la Oficina Federal de Investigación (FBI) de EE.UU. proporciona a agencias federales, estatales, locales y tribales información sobre cómo proteger la información de la justicia penal (CJI) cuando usan proveedores de servicios en la nube (CSP), como Google Cloud.

Los clientes pueden cumplir con la versión 6.0 de la Política de Seguridad de los CJIS en Google Cloud aprovechando el Límite de seguridad mediante Assured Workloads y Assured Controls para Google Workspace.

Introducción a los CJIS

La división de CJIS del FBI supervisa muchas bases de datos nacionales que son aprovechadas por las agencias de justicia penal (CJA) de todo el país. Gran parte de los datos que se mantienen en estas bases de datos se consideran información de justicia penal (CJI) y están sujetos a protección contra el uso y la divulgación no autorizados. La Política de Seguridad de los CJIS (“CJISSECPOL”), publicada por la división de CJIS del FBI, proporciona el conjunto mínimo de requisitos de seguridad para proteger y salvaguardar la CJI.

El FBI también tiene un Documento complementario de requisitos que destaca los cambios recientes en la Política de Seguridad de los CJIS y ayuda a identificar los roles y las responsabilidades de seguridad de las entidades que acceden a la CJI. Si bien las CJA que acceden a la CJI siempre son responsables de garantizar el cumplimiento de los CJIS, el documento complementario de requisitos guía a la CJA para determinar quién tiene la capacidad técnica para garantizar que se cumpla un requisito en particular (p. ej., la división de CJIS del FBI, la CJA, el proveedor de servicios, etcétera) tiene la capacidad técnica para garantizar que se cumpla un requisito en particular. 

Los clientes pueden usar el Límite de datos mediante Assured Workloads y Assured Controls para Google Workspace para cumplir con la versión 6.0 de la Política de Seguridad de los CJIS. Coalfire, una organización de evaluación de terceros (3PAO), evaluó y validó de forma independiente el cumplimiento de la versión 6.0 de Google Cloud. También pusimos a disposición una Guía de implementación de CJIS para simplificar el cumplimiento de CJIS v6.0 por parte de los clientes. También se puede proporcionar información adicional sobre el cumplimiento a pedido para demostrar cómo Google Cloud satisface los requisitos de la CJISSECPOL aplicables a los proveedores de servicios en la nube. 

Google Cloud también asiste a las reuniones del Consejo Asesor de Políticas de los CJIS y revisa las nuevas versiones de la Política de Seguridad de los CJIS y el documento complementario de requisitos para garantizar que nuestros procedimientos y políticas cumplan con cualquier cambio.

Google Cloud y el cumplimiento de los CJIS

Google Cloud

El Límite de datos a través de Assured Workloads de Google Cloud proporciona un enfoque moderno para que los clientes logren el cumplimiento de la versión 6.0 de la Política de Seguridad de los CJIS y permite el cumplimiento de marcos adicionales como FedRAMP High y Department of Defense IL2, IL4 y IL5.

El Límite de seguridad mediante Assured Workloads adopta un enfoque de confianza cero y basado en software para el cumplimiento normativo. Ayuda a que los clientes cumplan con los estrictos requisitos de cumplimiento de la nube del Gobierno, a la vez que proporciona los beneficios de rendimiento, escala, disponibilidad del servicio, costo y confiabilidad que los clientes pueden sacrificar cuando usan arquitecturas de nube separadas físicamente. Los clientes del sector público y las agencias de justicia penal (CJA) pueden aprovechar el Límite de seguridad mediante Assured Workloads para procesar, almacenar y transmitir CJI en su entorno de Google Cloud, y pueden completar este formulario para solicitar una prueba gratuita.

El Límite de seguridad mediante Assured Workloads simplifica la seguridad y el cumplimiento para las autoridades de orden público estatales, locales, tribales y federales (y cualquier otro usuario de CJI de justicia penal o no penal) de las siguientes maneras:

  • Establece controles de ubicación de datos para restringir las cargas de trabajo de los CJIS a regiones solo de EE.UU. (“residencia de datos”).
  • Restringe el acceso sin acompañamiento a la CJI no encriptada a las personas físicas o jurídicas de EE.UU. que hayan completado la verificación de antecedentes basada en huellas digitales por una agencia de sistemas CJIS (CSA) o CJA estatal.
  • Habilita el uso de claves de encriptación administradas por el cliente (CMEK) alojadas en Google Cloud o con un administrador de claves externo.
  • Permite que los clientes obtengan control y visibilidad sobre el acceso de administrador.
  • Supervisa continuamente los entornos de los clientes en busca de incumplimientos.

Google Workspace

Assured Controls para Google Workspace permite que las organizaciones cumplan con los requisitos organizacionales y de cumplimiento, ya sea que impliquen limitar el acceso del personal de Google a los datos del cliente o garantizar que la ubicación de los datos del cliente esté restringida a Estados Unidos.

Los clientes que deseen implementar soluciones de CJIS con Google Workspace pueden utilizar Assured Controls para establecer políticas en consonancia con la Política de Seguridad de CJIS. Aquí puedes encontrar una guía de configuración para las soluciones de CJIS en Google Workspace.

Selección de personal de Google y CJIS

Los clientes de los 50 estados y DC pueden alojar o migrar aplicaciones de CJIS a Google Cloud con confianza, ya que saben que podemos respaldar las implementaciones de los clientes y demostrar el cumplimiento de la Política de Seguridad de los CJIS.

El personal de Google Cloud con alcance de CJIS se examinó en los siguientes estados que admiten la investigación centralizada: Alabama, Alaska, Arizona, Colorado, Delaware, Florida, Georgia, Hawái, Idaho, Indiana, Kansas, Kentucky, Luisiana, Maine, Maryland, Massachusetts, Míchigan, Minnesota, Misisipi, Misuri, Montana, Nebraska, Carolina del Norte, Dakota del Norte, Oklahoma, Pensilvania, Tennessee, Utah, Washington, Virginia Occidental, Wisconsin y Wyoming. 

Nuestro personal está listo para someterse a verificaciones de antecedentes en todos los demás estados. Para obtener más información sobre cómo se puede investigar a nuestro personal en un estado que no se encuentra en la lista anterior, comunícate con el CSA de tu estado o escribe a cjis@google.com.

Servicios de Google Cloud dentro del alcance de la HIPAA

Access Context Manager

Transparencia de acceso

Agent Assist

AlloyDB para PostgreSQL

Apigee

App Hub

Artifact Registry

Copia de seguridad para GKE

BigQuery

Servicio de transferencia de datos de BigQuery

Bigtable

Autorización binaria

Certificate Authority Service

Cloud Asset Inventory

Cloud Build

Cloud Composer

Cloud Data Fusion

Cloud Deploy

Cloud DNS

Cloud External Key Manager (Cloud EKM)

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Key Management Service

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (traducción de direcciones de red)

API de Cloud OS Login

Cloud Router

Cloud Run

Cloud Run Functions

Cloud SQL

Cloud Storage

Cloud Tasks

API de Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Agentes conversacionales (Dialogflow CX)

Estadísticas de conversación

Centro de bases de datos

Dataflow

Dataform

Dataplex Universal Catalog

Dataproc

Document AI

Contactos esenciales

Eventarc

Filestore

Reglas de seguridad de Firebase

Firestore

IA generativa en Vertex AI

GKE Hub

GKE Identity Service

Consola del administrador de Google

Google Agentspace

Google Cloud Armor

Google Kubernetes Engine

Identity and Access Management

Identity-Aware Proxy

Infrastructure Manager

Key Access Justifications

Looker (Google Cloud Core)

Memorystore for Redis

Model Armor

Network Connectivity Center

Servicio de políticas de la organización

Persistent Disk

Pub/Sub

Resource Manager

Secret Manager

Secure Source Manager

Sensitive Data Protection

Malla de servicios

Spanner

Speech-to-Text

Servicio de transferencia de almacenamiento

Text-to-Speech

Vertex AI Model Monitoring

Registro de modelos de Vertex AI

Vertex AI Search

Vertex AI Workbench

Nube privada virtual

Controles del servicio de VPC

Web Risk

Federación de identidades de personal

Preguntas frecuentes

Recientemente, una organización de evaluación independiente analizó los controles de seguridad de Google Cloud y descubrió que Google Cloud permite el cumplimiento de la versión 6.0 de la Política de Seguridad de los CJIS. 

Si un cliente o la agencia de sistemas de los CJIS (CSA) del estado lo solicita, Google Cloud celebrará un Acuerdo de Administración que les proporcionará a los clientes información detallada sobre cómo Google Cloud permite el cumplimiento de la Política de Seguridad de CJIS, las responsabilidades de cada parte, los servicios en la nube que se abarcan y muchas otras disposiciones importantes. Puedes solicitar una copia del Acuerdo de Administración de CJIS de Google Cloud enviando un correo electrónico a cjis@google.com.

El equipo de cumplimiento de Google Cloud también puede proporcionar narrativas de cumplimiento detalladas que demuestren cómo Google Cloud satisface los requisitos de la CJISSECPOL aplicables a los proveedores de servicios en la nube.

Sí. Google Cloud permite a los clientes restringir las cargas de trabajo de los CJIS a regiones solo de EE.UU. a través de Assured Workloads y Assured Controls. Google almacenará tus datos en reposo de acuerdo con nuestras Condiciones específicas del Servicio.

Google trabaja con los CSA estatales (o agencias locales) para garantizar que el personal de Google que puede tener acceso sin acompañamiento a la CJI no encriptada de un estado se someta a verificaciones de antecedentes basadas en huellas digitales coherentes con la Política de Seguridad de los CJIS. El personal de Google incluido en el alcance enviará las tarjetas de huella digital FD-258, junto con la documentación requerida, a cada CSA o agencia local.

Este proceso garantiza que el personal en el alcance obtenga acceso sin acompañamiento a la CJI no encriptada solo después de completar la verificación de antecedentes basada en huellas digitales, completar la capacitación de sensibilización sobre la seguridad de CJIS y firmar el anexo de seguridad de CJIS.

Google implementó la confianza cero como base de nuestros servicios y operaciones. Nuestra infraestructura no supone ninguna confianza entre los servicios que se ejecutan en ella. En otras palabras, cada solicitud de acceso a recursos se inspecciona, autentica y verifica como si proviniera de una red no confiable.

Los entornos de los clientes dentro de Google Cloud también están segregados de forma lógica para evitar que los usuarios y los clientes accedan a recursos que no se les asignaron. Los datos del cliente (incluida la CJI) se segregan lógicamente por dominio para permitir que se generen datos para un solo usuario. La capacidad de Google Cloud de proteger los datos de los clientes de esta manera, a la vez que permite un desarrollo de funciones más rápido y beneficios de costos para los clientes, la convierte en la mejor opción para los clientes del Gobierno.

Sí, Google Cloud usa un módulo de encriptación validado por FIPS 140-3 llamado BoringCrypto (certificado 4735) en el entorno de producción. Google Cloud encripta todo el contenido de los clientes almacenado en reposo y en tránsito entre nuestras instalaciones, sin que los clientes deban realizar ninguna acción, usando uno o más mecanismos de encriptación. 

Esto permite a los clientes mantener el cumplimiento de la Política de seguridad de CJIS y elegir entre una variedad de ofertas de Cloud Key Management, como claves administradas por Google, claves de encriptación administradas por el cliente y la administración de claves externa. Dado que Google Cloud usa este nivel de encriptación de forma predeterminada para los datos en reposo y en tránsito, los clientes pueden heredar la encriptación validada por FIPS 140-3 y eliminar el requisito de ejecutar productos y servicios en modo FIPS.

No. Dado que Google proporciona claves de encriptación administradas por el cliente y restringe el acceso sin acompañamiento a la CJI no encriptada al personal con alcance de CJIS que se sometió a las verificaciones adecuadas, no se requiere computación confidencial para CJIS en Google Cloud. Sin embargo, los clientes pueden optar por utilizar la computación confidencial además del límite de datos seguro y restringido de CJIS.

La Política de Seguridad de los CJIS no requiere el uso de una nube del Gobierno (“GovCloud”) y no existe una definición en la Política de Seguridad de los CJIS o un estándar sobre lo que constituye una GovCloud. El límite de Datos de CJIS de Google Cloud respalda el cumplimiento de los clientes con la Política de Seguridad de los CJIS, y el cumplimiento de Google Cloud fue validado por una organización de evaluación externa independiente y numerosos CSA estatales. 

Google invirtió en un enfoque de seguridad en capas para su infraestructura de nube pública, que proporciona funciones como la encriptación y controles sólidos de acceso a datos de personal. Esto, junto con la implementación de confianza cero descrita anteriormente, proporciona la postura de seguridad sólida necesaria para cumplir con los estrictos requisitos de la Política de Seguridad de CJIS y, al mismo tiempo, permite que los clientes aprovechen las innovaciones continuas de los productos de la nube pública.

La implementación de los controles mencionados arriba (y muchos otros) por parte de Google cumple con los requisitos del FedRAMP Moderate y del FedRAMP High, y ha sido reconocido por la Junta de Autorización Conjunta (JAB). 

La validación de nuestro enfoque se encuentra en el memorando M-24-15 ("Modernizing the Federal Risk and Authorization Management Program [FedRAMP]") de la Oficina de Administración y Presupuesto (OMB), en el que se recomienda que las agencias federales dejen de usar arquitecturas aisladas de GovCloud:

“FedRAMP no debería incentivar ni exigir a los proveedores de servicios en la nube comerciales que creen ofertas separadas y dedicadas para el uso federal, ya sea a través de la aplicación de sus marcos de trabajo de seguridad federales o de otras operaciones de programas. El Gobierno federal se beneficia de la inversión, el mantenimiento de la seguridad y el desarrollo rápido de funciones que los proveedores de servicios en la nube comerciales le dan a sus productos principales para tener éxito en el mercado. De forma similar, se incentiva a los proveedores comerciales a integrar prácticas de seguridad mejoradas que surgen de su participación en el FedRAMP en sus servicios principales, lo que beneficia a todos los clientes”.

Sí, los clientes de Google Cloud son propietarios de sus datos cuando usan Google Cloud o Google Workspace. Consulta el Anexo de Tratamiento de Datos de Cloud (CDPA) y nuestro Centro de recursos de privacidad para obtener más información sobre nuestros compromisos de procesamiento de datos.

Da el siguiente paso

Comienza a desarrollar en Google Cloud con el crédito gratis de $300 y los más de 20 productos del nivel Siempre gratuito.

Google Cloud
DocumentaciónAsistencia
Consola
Acceder
Security
Inteligencia contra amenazasSecOpsSeguridad en la nubeAsesoríaRecursos de seguridad
  • Acelera tu transformación digital
  • Google Cloud puede ayudarte a superar los desafíos más complejos, ya sea que tu negocio recién comience su recorrido o se encuentre en una fase avanzada de la transformación digital.
  • Productos de Google Cloud
  • Explora más de 100 productos. Los clientes nuevos obtienen $300 en créditos gratuitos para ejecutar, probar e implementar cargas de trabajo. Todos los clientes pueden usar más de 25 productos gratis, hasta alcanzar los límites de uso mensuales.
  • Ahorra dinero con nuestro enfoque transparente de precios
  • Los precios de prepago de Google Cloud ofrecen ahorros automáticos en función del uso mensual y las tarifas con descuento para recursos prepagados. Comunícate con nosotros hoy para obtener una cotización.
Google Cloud