Divisão de Serviços de Informações da Justiça Criminal (CJIS, na sigla em inglês) dos EUA

A Divisão de Serviços de Informações da Justiça Criminal (CJIS, na sigla em inglês) do Departamento Federal de Investigação (FBI, na sigla em inglês) dos EUA fornece aos órgãos federais, estaduais, locais e tribais instruções sobre como proteger as informações da justiça criminal (CJI) ao usar provedores de serviços em nuvem (CSPs, na sigla em inglês), como o Google Cloud.

Os clientes podem alcançar a conformidade com a versão 6.0 da Política de Segurança da CJIS no Google Cloud usando o Data Boundary via Assured Workloads e o Assured Controls para Google Workspace.

Introdução ao CJIS

A Divisão de CJIS do FBI supervisiona vários bancos de dados nacionais que são usados pelas Agências de justiça criminal (CJA, na sigla em inglês) em todo o país. Muitos dos dados mantidos nesses bancos de dados são considerados Informações de justiça criminal (CJI, na sigla em inglês) e estão sujeitos a proteção contra uso e divulgação não autorizados. A Política de Segurança do CJIS (CJISSECPOL), publicada pela Divisão de CJIS do FBI, fornece o conjunto mínimo de requisitos de segurança para proteger e salvaguardar a CJI.

O FBI também fornece um documento complementar de requisitos que destaca as mudanças recentes na Política de segurança do CJIS e ajuda a identificar papéis e responsabilidades de segurança para entidades que acessam a CJI. Embora o CJA que acessa CJI seja sempre responsável por garantir a conformidade com a CJIS, o documento complementar de requisitos orienta o CJA a determinar quem (por exemplo, Divisão de CJIS do FBI, CJA, provedor de serviços etc.) tem a capacidade técnica para garantir que um requisito específico seja atendido. 

Os clientes podem usar o Data Boundary via Assured Workloads e o Assured Controls para Google Workspace para garantir a conformidade com a versão 6.0 da Política de segurança da CJIS. A conformidade do Google Cloud com a v6.0 foi avaliada e validada de forma independente pela Coalfire, uma organização de avaliação terceirizada (3PAO). Também disponibilizamos um Guia de implementação da CJIS para simplificar a conformidade dos clientes com a CJIS v6.0. Outras informações de compliance também podem ser fornecidas mediante solicitação para demonstrar como o Google Cloud atende aos requisitos da CJISSECPOL aplicáveis aos provedores de serviços de nuvem. 

O Google Cloud também participa de reuniões do Conselho consultivo de políticas da CJIS e analisa novas versões da política de segurança da CJIS e do documento complementar de requisitos para garantir que nossas políticas e procedimentos estejam em conformidade com as mudanças.

Google Cloud e conformidade com a CJIS

Google Cloud

O Data Boundary via Assured Workloads do Google Cloud oferece uma abordagem moderna para que os clientes alcancem a conformidade com a versão 6.0 da Política de segurança da CJIS e permite a conformidade com outros frameworks, como FedRAMP High e Departamento de Defesa IL2/IL4/IL5.

O limite de dados com o Assured Workloads usa uma abordagem de confiança zero e baseada em software para compliance regulatório. Ele ajuda os clientes a atender aos requisitos rigorosos de conformidade com a nuvem do governo, além de oferecer os benefícios de desempenho, escalonabilidade, disponibilidade de serviço, custo e confiabilidade que os clientes perdem ao usar arquiteturas de nuvem fisicamente separadas. Os clientes do setor público e as agências de justiça criminal (CJAs) podem aproveitar o Data Boundary com o Assured Workloads para processar, armazenar e transmitir CJI no ambiente do Google Cloud. Para solicitar um teste gratuito, basta preencher este formulário.

O Data Boundary simplifica a segurança e a conformidade para as forças policiais estaduais, locais, tribais e federais (e quaisquer outros usuários de CJI de justiça criminal ou não criminal) ao:

  • Definir controles de localização de dados para restringir cargas de trabalho do CJIS a regiões apenas dos EUA (residência de dados)
  • Restringir o acesso sem escolta a CJI não criptografada a pessoas localizadas nos EUA que concluíram verificações de antecedentes com base em impressões digitais por uma agência de sistemas CJIS (CSA) ou CJA estadual
  • Ativar o uso de chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês), hospedadas no Google Cloud ou usando um gerenciador de chaves externo
  • Permitir que os clientes tenham controle e visibilidade sobre o acesso administrativo
  • Monitoramento contínuo dos ambientes dos clientes para detectar violações de compliance

Google Workspace

O Assured Controls para o Google Workspace permite que as organizações atendam a requisitos organizacionais e de compliance, seja limitando o acesso da equipe do Google aos dados do cliente ou garantindo que o local dos dados do cliente seja restrito aos Estados Unidos.

Os clientes que querem implantar soluções da CJIS usando o Google Workspace podem usar o Assured Controls para definir as políticas de acordo com a política de segurança da empresa. Veja um guia de configuração para as soluções CJIS no Google Workspace neste link.

Pessoal do Google e triagem da CJIS

Os clientes dos 50 estados dos EUA e do Distrito de Columbia podem hospedar ou migrar aplicativos da CJIS para o Google Cloud com confiança, sabendo que temos a capacidade de oferecer suporte às implementações dos clientes e demonstrar conformidade com a política de segurança da CJIS.

O pessoal do Google Cloud com escopo no CJIS foi verificado nos seguintes estados que oferecem verificação centralizada: Alabama, Alasca, Arizona, Colorado, Delaware, Flórida, Geórgia, Havaí, Idaho, Indiana, Kansas, Kentucky, Louisiana, Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, Carolina do Norte, Dakota do Norte, Oklahoma, Pensilvânia, Tennessee, Utah, Washington, Virgínia Ocidental, Wisconsin e Wyoming. 

Nossa equipe está pronta para passar por investigações de histórico em todos os outros estados. Para saber como nossa equipe pode ser verificada em um estado que não está listado acima, entre em contato com a CSA do seu estado ou com cjis@google.com.

Serviços do Google Cloud que cumprem os requisitos da Lei HIPAA

Access Context Manager

Transparência no acesso

Agent Assist

AlloyDB para PostgreSQL

Apigee

App Hub

Artifact Registry

Backup para GKE

BigQuery

Serviço de transferência de dados do BigQuery

Bigtable

Autorização binária

Certificate Authority Service

Inventário de recursos do Cloud

Cloud Build

Cloud Composer

Cloud Data Fusion

Cloud Deploy

Cloud DNS

Gerenciador de chaves externas do Cloud (Cloud EKM)

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Key Management Service

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (conversão de endereços de rede)

API Cloud OS Login

Cloud Router

Cloud Run

Funções do Cloud Run

Cloud SQL

Cloud Storage

Cloud Tasks

API Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Agentes de conversação (Dialogflow CX)

Insights de conversação

Central do banco de dados

Dataflow

Dataform

Dataplex Universal Catalog

Dataproc

Document AI

Contatos essenciais

Eventarc

Filestore

Regras de segurança do Firebase

Firestore

IA generativa na Vertex AI

Hub GKE

Serviço de identidade do GKE

Google Admin Console

Google Agentspace

Google Cloud Armor

Google Kubernetes Engine

Identity and Access Management

Identity-Aware Proxy

Infrastructure Manager

Justificativas de acesso às chaves

Looker (Google Cloud Core)

Memorystore for Redis

Model Armor

Network Connectivity Center

Organization Policy Service

Persistent Disk

Pub/Sub

Resource Manager

Secret Manager

Secure Source Manager

Proteção de Dados Sensíveis

Malha de serviço

Spanner

Speech-to-Text

Serviço de transferência do Cloud Storage

Text-to-Speech

Vertex AI Model Monitoring

Vertex AI Model Registry

Vertex AI para Pesquisa

Vertex AI Workbench

Nuvem privada virtual

VPC Service Controls

Web Risk

Federação de identidade de colaboradores

Perguntas frequentes

Recentemente, uma organização de avaliação independente avaliou os controles de segurança do Google Cloud e concluiu que o Google Cloud permite conformidade com a versão 6.0 da política de segurança da CJIS. 

Se solicitado por um cliente ou pela Agência de sistemas (CSA, na sigla em inglês) do CJIS, o Google Cloud assinará um contrato de gerenciamento que fornece aos clientes informações detalhadas sobre como o Google Cloud permite a conformidade com a política de segurança da CJIS, as responsabilidades de cada parte, quais serviços de nuvem são cobertos e muitas outras disposições importantes. É possível solicitar uma cópia do Contrato de gerenciamento do Google Cloud com CJIS enviando um e-mail para cjis@google.com.

A equipe de compliance do Google Cloud também pode fornecer narrativas detalhadas de compliance que demonstram como o Google Cloud atende aos requisitos da CJISSECPOL aplicáveis aos provedores de serviços de nuvem.

Sim. O Google Cloud permite que os clientes restrinjam as cargas de trabalho do CJIS a regiões apenas dos EUA usando o Assured Workloads e o Assured Controls. O Google vai armazenar seus dados em repouso de acordo com os Termos de serviço específicos.

O Google trabalha com as CSAs estaduais (ou agências locais) para garantir que os funcionários do Google que possam ter acesso sem escolta a CJI não criptografada de um estado passem por verificações de antecedentes criminais com base em impressões digitais de acordo com a Política de Segurança da CJIS. Os funcionários incluídos no escopo do Google devem enviar cartões de impressão digital FD-258, além da documentação necessária, para cada CSA ou agência local.

Esse processo garante que os funcionários dentro do escopo só tenha acesso sem escolta a CJI não criptografada depois de concluir a investigação de histórico para contratação com base em impressões digitais, o treinamento de conscientização de segurança da CJIS e assinar o Adendo de segurança da CJIS.

O Google implementou a confiança zero no núcleo dos nossos serviços e operações. Nossa infraestrutura não pressupõe confiança entre os serviços em execução nela. Em outras palavras, cada solicitação de acesso a recursos é inspecionada, autenticada e verificada como se viesse de uma rede não confiável.

Os ambientes do cliente no Google Cloud também são segregados logicamente para impedir que usuários e clientes acessem recursos não atribuídos a eles. Os dados do cliente (incluindo CJI) são separados logicamente por domínio para permitir a produção de dados para um único locatário. A capacidade do Google Cloud de proteger os dados do cliente dessa maneira, além de permitir o desenvolvimento mais rápido de recursos e benefícios de custo para o cliente, faz dele a melhor escolha para clientes do governo.

Sim. O Google Cloud usa um módulo de criptografia com validação FIPS 140-3 chamado BoringCrypto (certificado 4735) no ambiente de produção. O Google Cloud usa um ou mais mecanismos para criptografar todo o conteúdo armazenado em repouso e em trânsito entre nossas instalações, sem a necessidade de qualquer ação por parte do cliente. 

Isso permite que os clientes mantenham a conformidade com a política de segurança do CJIS enquanto escolhem uma das várias ofertas do Cloud Key Management, como as chaves gerenciadas pelo Google, as chaves de criptografia gerenciadas pelo cliente e o gerenciamento de chaves externas. Como o Google Cloud usa esse nível de criptografia para dados em repouso e em trânsito por padrão, os clientes podem herdar a criptografia do FIPS 140-3 validada e eliminar o requisito de executar produtos e serviços no modo FIPS.

Não. Como o Google fornece chaves de criptografia gerenciadas pelo cliente e restringe o acesso sem escolta a CJI não criptografada a funcionários com escopo de CJIS que foram devidamente verificados, para a CJIS no Google Cloud dispensa a computação confidencial. No entanto, os clientes podem optar por usar a computação confidencial sobre o limite de dados seguro e restrito da CJIS.

A política de segurança do CJIS não exige o uso de uma nuvem de governo (GovCloud), e não há uma definição ou padrão sobre o que constitui uma GovCloud. O limite de dados do CJIS do Google Cloud ajuda os clientes a cumprir a política de segurança do CJIS. A conformidade do Google Cloud foi validada por uma organização de avaliação independente e por várias CSAs estaduais. 

O Google investiu em uma abordagem de segurança em camadas para sua infraestrutura de nuvem pública, fornecendo recursos como criptografia e controles rígidos de acesso a dados de pessoal. Isso, junto com a implementação de confiança zero descrita acima, proporciona uma postura de segurança forte necessária para atender aos requisitos rigorosos da Política de segurança da CJIS, além de permitir que os clientes aproveitem as inovações contínuas de produtos da nuvem pública.

A implementação do Google dos controles mencionados acima (e muitos outros) obedece aos requisitos moderados e altos do FedRAMP e foi reconhecida pelo Conselho de autorização conjunta (JAB, na sigla em inglês). 

Nossa abordagem é validada no memorando M-24-15 ("Modernizing the Federal Risk and Authorization Management Program (FedRAMP)") do Escritório de Gestão e Orçamento (OMB, na sigla em inglês), que recomenda que as agências federais deixem de usar arquiteturas isoladas de GovCloud:

"O FedRAMP não deve incentivar nem exigir que provedores de nuvem comerciais criem ofertas separadas e dedicadas para uso federal, seja pela aplicação de estruturas de segurança federais ou por outras operações do programa. O governo federal se beneficia do investimento, da manutenção de segurança e do rápido desenvolvimento de recursos que os provedores de nuvem comerciais oferecem aos produtos principais para ter sucesso no mercado. Os provedores comerciais também são incentivados a integrar práticas de segurança aprimoradas que surgem do engajamento com o FedRAMP aos serviços principais, beneficiando todos os clientes.”

Sim, os clientes do Google Cloud são os proprietários dos próprios dados ao usar o Google Cloud ou o Google Workspace. Consulte o Aditivo sobre tratamento de dados do Cloud (CDPA) e nossa Central de recursos de privacidade para mais detalhes sobre nossos compromissos com o processamento de dados.

Vá além

Comece a criar no Google Cloud com US$ 300 em créditos e mais de 20 produtos do programa Sempre gratuito.

Google Cloud
DocumentosSuporte
Console
Fazer login
Security
Inteligência contra ameaçasSecOpsSegurança na nuvemConsultoriaRecursos de segurança
  • Acelere sua transformação digital
  • Seja no início da jornada ou já a caminho da transformação digital, o Google Cloud pode ajudar a superar os desafios mais difíceis.
  • Produtos do Google Cloud
  • Acesse mais de 100 produtos. Clientes novos ganham US$ 300,00 em créditos para executar, testar e implantar cargas de trabalho. Todos os clientes podem usar mais de 25 produtos gratuitamente até alcançarem os limites de uso mensais.
  • Economize com nossa abordagem de preços transparente
  • Os preços de pagamento por utilização do Google Cloud oferecem economia automática com base no uso mensal e preços com desconto para recursos pré-pagos. Entre em contato hoje mesmo para receber uma cotação.
Google Cloud