Criminal Justice Information Services (CJIS)

La divisione Criminal Justice Information Services (CJIS) del Federal Bureau of Investigations (FBI) degli Stati Uniti offre agli enti federali, statali e locali indicazioni su come proteggere le informazioni sulla giustizia penale (CJI) quando utilizzano provider di servizi cloud (CSP) come Google Cloud.

I clienti possono ottenere la conformità alla versione 6.0 delle norme di sicurezza CJIS su Google Cloud sfruttando Confine dei dati tramite Assured Workloads e Assured Controls per Google Workspace.

Introduzione a CJIS

La divisione FBI CJIS supervisiona molti database nazionali utilizzati dalle agenzie di giustizia penale (CJAs) di tutto il paese. Gran parte dei dati conservati in questi database è considerata Criminal Justice Information (CJI) ed è soggetta a protezione da uso e divulgazione non autorizzati. Le Norme sulla sicurezza CJIS ("CJISSECPOL"), pubblicate dalla FBI CJIS Division, forniscono l'insieme minimo di requisiti di sicurezza per la protezione e la salvaguardia delle CJI.

L'FBI fornisce anche un documento di accompagnamento sui requisiti che evidenzia le modifiche recenti alle norme sulla sicurezza CJIS e aiuta a identificare i ruoli e le responsabilità di sicurezza per le entità che accedono alle CJI. Sebbene la CJA che accede alle CJI sia sempre responsabile in ultima istanza di garantire la conformità al CJIS, il documento di accompagnamento ai requisiti guida la CJA nel determinare chi (ad es. FBI CJIS Division, CJA, Service Provider ecc.) ha la capacità tecnica di garantire il rispetto di un determinato requisito. 

I clienti possono utilizzare Data Boundary tramite Assured Workloads e Assured Controls per Google Workspace per ottenere la conformità alla versione 6.0 delle norme di sicurezza CJIS. La conformità di Google Cloud alla versione 6.0 è stata valutata e convalidata in modo indipendente da Coalfire, un'organizzazione di valutazione di terze parti (3PAO). Abbiamo anche reso disponibile una guida all'implementazione di CJIS per semplificare la conformità dei clienti a CJIS v6.0. Su richiesta, è possibile fornire ulteriori informazioni sulla conformità per dimostrare in che modo Google Cloud soddisfa i requisiti del CJISSECPOL applicabili ai fornitori di servizi cloud. 

Google Cloud partecipa inoltre alle riunioni del comitato consultivo per le norme del CJIS e rivede le nuove versioni delle norme di sicurezza del CJIS e del documento di accompagnamento dei requisiti per garantire che le nostre norme e procedure siano conformi a eventuali modifiche.

Google Cloud e conformità CJIS

Google Cloud

Limite dei dati tramite Assured Workloads di Google Cloud offre ai clienti un approccio moderno per ottenere la conformità alla versione 6.0 delle norme di sicurezza CJIS e consente la conformità a framework aggiuntivi come FedRAMP High e Department of Defense IL2/IL4/IL5.

Limite dei dati tramite Assured Workloads adotta un approccio basato sul software e Zero Trust per la conformità normativa. Aiuta i clienti a soddisfare i rigorosi requisiti di conformità del cloud governativo, offrendo al contempo i vantaggi in termini di prestazioni, scalabilità, disponibilità del servizio, costi e affidabilità che i clienti rinunciano quando utilizzano architetture cloud fisicamente separate. I clienti del settore pubblico e le agenzie di giustizia penale (CJA) possono sfruttare Limite dei dati tramite Assured Workloads per elaborare, archiviare e trasmettere le CJI nel loro ambiente Google Cloud e possono compilare questo modulo per richiedere una prova senza costi aggiuntivi.

Limite dei dati tramite Assured Workloads semplifica la sicurezza e la conformità per le forze dell'ordine statali, locali, tribali e federali (e per qualsiasi altro utente di CJI per la giustizia penale o non penale) grazie a:

  • Impostazione dei controlli della località dei dati per limitare i carichi di lavoro CJIS alle regioni solo degli Stati Uniti ("residenza dei dati")
  • Limitazione dell'accesso non accompagnato alla CJI non criptata alle persone statunitensi che si trovano negli Stati Uniti e che hanno completato i controlli dei precedenti basati sulle impronte digitali da parte di un'agenzia di sistemi CJIS statale (CSA) o CJA
  • Attivazione dell'uso delle chiavi di crittografia gestite dal cliente (CMEK), ospitate su Google Cloud o tramite un gestore chiavi esterno
  • Autorizzazione ai clienti di ottenere controllo e visibilità sull'accesso amministrativo
  • Monitoraggio continuo degli ambienti dei clienti per rilevare violazioni della conformità

Google Workspace

Assured Controls per Google Workspace consente alle organizzazioni di soddisfare i requisiti organizzativi e di conformità, sia che ciò implichi la limitazione dell'accesso del personale Google ai dati dei clienti o che imponga la località in cui questi dati dei clienti sono posizionati negli Stati Uniti.

I clienti che vogliono eseguire il deployment di soluzioni CJIS utilizzando Google Workspace possono utilizzare Assured Controls per impostare criteri in linea con i criteri di sicurezza CJIS. Qui puoi trovare una guida alla configurazione delle soluzioni CJIS in Google Workspace.

Personale Google e screening CJIS

I clienti di tutti i 50 stati e del Distretto di Columbia possono ospitare o migrare con sicurezza le applicazioni CJIS su Google Cloud, certi della nostra capacità di supportare le implementazioni dei clienti e dimostrare la conformità con le norme sulla sicurezza CJIS.

Il personale di Google Cloud con ambito CJIS è stato verificato nei seguenti stati che supportano la verifica centralizzata: Alabama, Alaska, Arizona, Colorado, Delaware, Florida, Georgia, Hawaii, Idaho, Indiana, Kansas, Kentucky, Louisiana, Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, North Carolina, North Dakota, Oklahoma, Pennsylvania, Tennessee, Utah, Washington, West Virginia, Wisconsin e Wyoming. 

Il nostro personale è pronto a sottoporsi a controlli dei precedenti in tutti gli altri stati. Per saperne di più su come il nostro personale può essere verificato in uno stato non elencato sopra, contatta il CSA del tuo stato o cjis@google.com.

Servizi Google Cloud interessati dalla normativa CJIS

Gestore contesto accesso

Access Transparency

Agent Assist

AlloyDB per PostgreSQL

Apigee

App Hub

Artifact Registry

Backup per GKE

BigQuery

BigQuery Data Transfer Service

Bigtable

Autorizzazione binaria

Certificate Authority Service

Cloud Asset Inventory

Cloud Build

Cloud Composer

Cloud Data Fusion

Cloud Deploy

Cloud DNS

Cloud External Key Manager (Cloud EKM)

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Key Management Service

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (Network Address Translation)

API Cloud OS Login

Cloud Router

Cloud Run

Cloud Run Functions

Cloud SQL

Cloud Storage

Cloud Tasks

API Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Conversational Agents (Dialogflow CX)

Conversational Insights

Database Center

Dataflow

Dataform

Dataplex Universal Catalog

Dataproc

Document AI

Contatti fondamentali

Eventarc

Filestore

Regole di sicurezza Firebase

Firestore

AI generativa su Vertex AI

GKE Hub

Servizio di identità GKE

Console di amministrazione Google

Google Agentspace

Google Cloud Armor

Google Kubernetes Engine

Identity and Access Management

Identity-Aware Proxy

Infrastructure Manager

Key Access Justifications

Looker (Google Cloud core)

Memorystore for Redis

Model Armor

Network Connectivity Center

Servizio Criteri dell'organizzazione

Persistent Disk

Pub/Sub

Resource Manager

Secret Manager

Secure Source Manager

Sensitive Data Protection

Mesh di servizi

Spanner

Speech-to-Text

Storage Transfer Service

Text-to-Speech

Vertex AI Model Monitoring

Vertex AI Model Registry

Vertex AI Search

Workbench Vertex AI

Virtual Private Cloud

Controlli di servizio VPC

Web Risk

Federazione delle identità della forza lavoro

Domande frequenti

Recentemente un'organizzazione di test indipendente di terze parti ha valutato i controlli di sicurezza di Google Cloud e ha rilevato che Google Cloud consente la conformità alla versione 6.0 delle norme di sicurezza CJIS. 

Se richiesto da un cliente o dall'agenzia per i sistemi CJIS (CSA) di uno stato, Google Cloud stipulerà un contratto di gestione che fornisce ai clienti informazioni dettagliate su come Google Cloud consente la conformità ai criteri di sicurezza CJIS, sulle responsabilità di ogni parte, sui servizi cloud coperti e su molte altre disposizioni importanti. Puoi richiedere una copia del contratto di gestione CJIS di Google Cloud inviando un'email all'indirizzo cjis@google.com.

Il team per la conformità di Google Cloud può anche fornire relazioni dettagliate sulla conformità che dimostrano come Google Cloud soddisfi i requisiti CJISSECPOL applicabili ai fornitori di servizi cloud.

Sì. Google Cloud consente ai clienti di limitare i carichi di lavoro CJIS a regioni solo degli Stati Uniti tramite Assured Workloads e Assured Controls. Google archivia i dati at-rest in conformità con i nostri Termini di servizio specifici.

Google collabora con i CSA statali (o le agenzie locali) per garantire che il personale Google che può avere accesso non accompagnato ai dati CJI non criptati di uno stato sia sottoposto a controlli dei precedenti basati sulle impronte digitali in conformità con le norme sulla sicurezza CJIS. Il personale Google interessato invierà a ciascuna CSA o agenzia locale le carte delle impronte FD-258, insieme alla documentazione richiesta.

Questo processo garantisce che il personale interessato riceva l'accesso non accompagnato ai dati CJI non criptati solo dopo aver completato il controllo dei precedenti basato sulle impronte digitali, la formazione per la consapevolezza della sicurezza CJIS e aver firmato l'appendice di sicurezza CJIS.

Google ha implementato il principio di Zero Trust al centro dei suoi servizi e delle sue operazioni; la nostra infrastruttura non presuppone alcuna relazione di attendibilità tra i servizi in esecuzione. In altre parole, ogni richiesta di accesso alle risorse viene ispezionata, autenticata e verificata come se provenisse da una rete non attendibile.

Gli ambienti dei clienti all'interno di Google Cloud sono inoltre logicamente segregati per impedire agli utenti e ai clienti di accedere alle risorse che non sono loro assegnate. I dati dei clienti (incluse le CJI) sono logicamente segregati per dominio per consentire la produzione di dati per un singolo tenant. La capacità di Google Cloud di proteggere i dati dei clienti in questo modo, consentendo allo stesso tempo uno sviluppo più rapido delle funzionalità e vantaggi economici per i clienti, lo rende la scelta migliore per i clienti del settore pubblico.

Sì, Google Cloud utilizza un modulo di crittografia convalidato FIPS 140-3 denominato BoringCrypto (certificato 4735) nel nostro ambiente di produzione. Google Cloud utilizza uno o più meccanismi di crittografia per criptare tutti i contenuti archiviati dei clienti, sia inattivi che in transito tra le proprie strutture, senza che sia richiesta alcuna azione da parte loro. 

Consente ai clienti di mantenere la conformità con le norme sulla sicurezza CJIS scegliendo tra una vasta gamma di offerte di Cloud Key Management, tra cui chiavi gestite da Google, chiavi di crittografia gestite dal cliente e chiavi gestite esternamente. Poiché Google Cloud utilizza questo livello di crittografia per impostazione predefinita per i dati at-rest e in transito, i clienti possono ereditare la crittografia convalidata FIPS 140-3 ed eliminare il requisito per eseguire i prodotti e i servizi in modalità FIPS.

No. Poiché Google fornisce chiavi di crittografia gestite dal cliente e limita l'accesso non accompagnato ai dati CJI non criptati al personale con ambito CJIS che è stato adeguatamente controllato, il Confidential Computing non è richiesto per CJIS su Google Cloud. Tuttavia, i clienti possono scegliere di utilizzare il Confidential Computing oltre al Limite dei dati CJIS sicuro e limitato.

Il documento sulle norme sulla sicurezza CJIS non richiede l'utilizzo di un cloud governativo ("GovCloud") e non esiste una definizione nelle Norme sulla sicurezza CJIS o uno standard per ciò che costituisce un GovCloud. Il Limite dei dati CJIS di Google Cloud supporta la conformità dei clienti alle norme sulla sicurezza CJIS e la conformità di Google Cloud è stata convalidata da un'organizzazione di valutazione indipendente di terze parti e da numerosi CSA statali. 

Google ha investito in un approccio di sicurezza a più livelli per la propria infrastruttura cloud pubblica, fornendo funzionalità quali crittografia e solidi controlli dell'accesso ai dati del personale. Ciò, insieme all'implementazione del modello Zero Trust descritto in precedenza, fornisce la solida security posture necessaria per soddisfare i severi requisiti delle norme sulla sicurezza CJIS e consente inoltre ai clienti di sfruttare le attuali innovazioni del cloud pubblico.

L'implementazione di Google dei suddetti controlli (e di tanti altri) è conforme ai requisiti FedRAMP Moderate e FedRAMP High ed è stata riconosciuta dal Joint Authorization Board (JAB). 

La convalida del nostro approccio è contenuta nel memorandum M-24-15 ("Modernizing the Federal Risk and Authorization Management Program (FedRAMP)") dell'Office of Management and Budget (OMB), che consiglia alle agenzie federali di abbandonare le architetture GovCloud isolate:

"Il FedRAMP non dovrebbe incentivare o richiedere ai fornitori di servizi cloud commerciali di creare offerte separate e dedicate per l'uso federale, sia attraverso l'applicazione di quadri di sicurezza federali che altre operazioni di programma. Il governo federale beneficia degli investimenti, della manutenzione della sicurezza e dello sviluppo rapido delle funzionalità che i fornitori di servizi cloud commerciali offrono ai loro prodotti principali per avere successo sul mercato. Allo stesso modo, i fornitori commerciali sono incentivati a integrare nei loro servizi principali le migliori prassi di sicurezza che emergono dal loro impegno con FedRAMP, a beneficio di tutti i clienti".

Sì, i clienti Google Cloud sono proprietari dei propri dati dei clienti quando utilizzano Google Cloud o Google Workspace. Consulta l'Addendum per il trattamento dei dati Cloud (ATDC) e il nostro Centro risorse per la privacy per i dettagli sul nostro impegno in materia di trattamento dei dati.

Fai il prossimo passo

Inizia a creare su Google Cloud con 300 $ di crediti gratuiti e oltre 20 prodotti Always Free.

Google Cloud
DocumentiAssistenza
Console
Accedi
Security
Threat intelligenceSecOpsSicurezza del cloudConsulenzaRisorse per la sicurezza
  • Accelera la tua trasformazione digitale
  • Sia che la tua azienda sia all'inizio o a buon punto del suo percorso verso la trasformazione digitale, Google Cloud può aiutarti a risolvere le sfide più difficili.
  • Prodotti Google Cloud
  • Scopri oltre 100 prodotti. I nuovi clienti ricevono 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei workload. Tutti i clienti hanno a disposizione oltre 25 prodotti gratuitamente, entro i limiti di utilizzo mensili.
  • Risparmia con il nostro approccio trasparente ai prezzi
  • Il pagamento a consumo di Google Cloud offre risparmi automatici in base all'utilizzo mensile e alle tariffe scontate per risorse prepagate. Contattaci oggi per richiedere un preventivo.
Google Cloud