Criminal Justice Information Services (CJIS)

La División de Servicios de Justicia Criminal (CJIS) de la Oficina Federal de Investigación (FBI) de Estados Unidos proporciona a las agencias federales, estatales locales y tribales directrices sobre cómo proteger la información sobre justicia penal (CJI) cuando utilizan proveedores de servicios en la nube (CSP) como Google Cloud.

Los clientes pueden cumplir la versión 6.0 de la política de seguridad de CJIS en Google Cloud aprovechando Data Boundary a través de Assured Workloads y Assured Controls para Google Workspace.

Introducción a CJIS

La división CJIS del FBI supervisa muchas bases de datos nacionales que utilizan las agencias de justicia penal de todo el país. Gran parte de los datos que se conservan en estas bases de datos se consideran información sobre justicia penal (CJI) y están sujetos a protección contra el uso y la divulgación no autorizados. La Política de Seguridad del CJIS (CJISSECPOL), publicada por la División CJIS del FBI, proporciona el conjunto mínimo de requisitos de seguridad para proteger y salvaguardar el CJI.

El FBI también proporciona un documento complementario de requisitos que destaca los cambios recientes en la política de seguridad del CJIS y ayuda a identificar los roles y las responsabilidades de seguridad de las entidades que acceden a la información clasificada de inteligencia. Aunque el CJA que accede al CJI siempre es el responsable de garantizar el cumplimiento de la normativa CJIS, el documento complementario de requisitos orienta al CJA para determinar quién (por ejemplo, la división CJIS del FBI, el CJA, el proveedor de servicios, etc.) tiene la capacidad técnica para garantizar que se cumple un requisito concreto. 

Los clientes pueden usar Data Boundary a través de Assured Workloads y Assured Controls para Google Workspace para cumplir la versión 6.0 de la política de seguridad de CJIS. Coalfire, una organización de evaluación externa, ha evaluado y validado de forma independiente el cumplimiento de la versión 6.0 por parte de Google Cloud. También hemos puesto a disposición de los clientes una guía de implementación de CJIS para simplificar el cumplimiento de la versión 6.0 de CJIS. También podemos proporcionarte más información sobre el cumplimiento de requisitos a petición para demostrarte cómo cumple Google Cloud los requisitos de CJISSECPOL que se aplican a los proveedores de servicios en la nube. 

Google Cloud también asiste a las reuniones del Consejo Asesor de Políticas del CJIS y revisa las nuevas versiones de la Política de Seguridad del CJIS y del documento complementario de requisitos para asegurarnos de que nuestras políticas y procedimientos cumplen con los cambios que se produzcan.

Google Cloud y el cumplimiento de CJIS

Google Cloud

Data Boundary de Google Cloud a través de Assured Workloads ofrece un enfoque moderno para que los clientes cumplan la versión 6.0 de la política de seguridad de CJIS y otros marcos, como FedRAMP High y los niveles IL2, IL4 e IL5 del Departamento de Defensa de EE. UU.

Límite de datos mediante Assured Workloads adopta un enfoque de cumplimiento normativo basado en software y en la confianza cero. Ayuda a los clientes a cumplir los estrictos requisitos de cumplimiento de la nube de los gobiernos, a la vez que ofrece las ventajas en cuanto a rendimiento, escalabilidad, disponibilidad de los servicios, coste y fiabilidad que los clientes pierden cuando utilizan arquitecturas de nube con separación física. Los clientes del sector público y las agencias de justicia penal pueden aprovechar Data Boundary a través de Assured Workloads para procesar, almacenar y transmitir CJI en su entorno de Google Cloud. Para solicitar una prueba gratuita, pueden rellenar este formulario.

Assured Workloads simplifica la seguridad y el cumplimiento para las autoridades estatales, locales, tribales y federales (y cualquier otro usuario de CJI que no esté relacionado con la justicia penal) de las siguientes formas:

  • Configura controles de ubicación de datos para restringir las cargas de trabajo de CJIS a regiones solo de EE. UU. (residencia de datos).
  • Restringir el acceso sin supervisión al CJI no encriptado exclusivamente a las personas estadounidenses ubicadas en EE. UU. que hayan completado las comprobaciones de antecedentes basadas en la huella digital por parte de una agencia de sistemas del CJIS (CSA) o una agencia de justicia criminal (CJA) estatal.
  • Posibilita el uso de claves de encriptado gestionadas por el cliente (CMEK) alojadas en Google Cloud o mediante un gestor de claves externo.
  • Permite a los clientes tener control y visibilidad sobre el acceso de administrador.
  • Monitoriza de forma continua los entornos de los clientes para detectar infracciones de cumplimiento.

Google Workspace

Assured Controls for Google Workspace permite a las organizaciones cumplir los requisitos organizativos y de cumplimiento, ya sea limitar el acceso del personal de Google a los datos o asegurar que la ubicación de los datos de los clientes se restrinja a Estados Unidos.

Los clientes que quieran desplegar soluciones de CJIS con Google Workspace pueden usar Assured Controls para definir políticas que se ajusten a la política de seguridad de CJIS. Puedes consultar una guía de configuración de las soluciones de CJIS en Google Workspace aquí.

Personal de Google y verificación del CJIS

Los clientes de los 50 estados de EE. UU. y Washington D. C. pueden alojar o migrar aplicaciones de CJIS a Google Cloud con la tranquilidad de saber que podemos ayudarles a implementar sus soluciones y demostrar que cumplen la Política de seguridad de CJIS.

El personal de Google Cloud que tiene acceso a datos de CJIS ha sido investigado en los siguientes estados que admiten la investigación centralizada: Alabama, Alaska, Arizona, Colorado, Delaware, Florida, Georgia, Hawái, Idaho, Indiana, Kansas, Kentucky, Luisiana, Maine, Maryland, Massachusetts, Michigan, Minnesota, Misisipi, Misuri, Montana, Nebraska, Carolina del Norte, Dakota del Norte, Oklahoma, Pensilvania, Tennessee, Utah, Washington, Virginia Occidental, Wisconsin y Wyoming. 

Nuestro personal está dispuesto a someterse a comprobaciones de antecedentes en todos los demás estados. Para obtener más información sobre cómo se puede investigar a nuestro personal en un estado que no se haya incluido en la lista anterior, ponte en contacto con la CSA de tu estado o con cjis@google.com.

Servicios de Google Cloud que están dentro del ámbito de CJIS

Administrador de contextos de acceso

Transparencia de acceso

Agent Assist

AlloyDB for PostgreSQL

Apigee

App Hub

Artifact Registry

Copia de seguridad de GKE

BigQuery

BigQuery Data Transfer Service

Bigtable

Autorización binaria

Servicio de Autoridades de Certificación

Inventario de Recursos de Cloud

Cloud Build

Cloud Composer

Cloud Data Fusion

Cloud Deploy

Cloud DNS

Cloud External Key Manager (Cloud EKM)

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Key Management Service

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (Traducción de direcciones de red)

API de Cloud OS Login

Cloud Router

Cloud Run

Cloud Run Functions

Cloud SQL

Cloud Storage

Cloud Tasks

API de Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Conversational Agents (Dialogflow CX)

Conversational Insights

Centro de bases de datos

Dataflow

Dataform

Dataplex Universal Catalog

Dataproc

Document AI

Contactos esenciales

Eventarc

Filestore

Reglas de seguridad de Firebase

Firestore

IA generativa en Vertex AI

Hub de GKE

Servicio de identidad de GKE

Consola de administración de Google

Google Agentspace

Google Cloud Armor

Google Kubernetes Engine

Gestión de Identidades y Accesos

Identity-Aware Proxy

Infrastructure Manager

Justificaciones de Acceso a Claves

Looker (servicio principal de Google Cloud)

Memorystore para Redis

Model Armor

Network Connectivity Center

Servicio de política de organización

Persistent Disk

Pub/Sub

Resource Manager

Secret Manager

Secure Source Manager

Protección de Datos Sensibles

Service Mesh

Spanner

Speech-to-Text

Servicio de transferencia de Storage

Text-to-Speech

Vertex AI Model Monitoring

Registro de modelos de Vertex AI

Vertex AI Search

Vertex AI Workbench

Nube privada virtual

Controles de Servicio de VPC

Web Risk

Federación de identidades para los trabajadores

Preguntas frecuentes

Recientemente, una organización de evaluación externa independiente ha evaluado los controles de seguridad de Google Cloud y ha determinado que Google Cloud cumple los requisitos de la versión 6.0 de la política de seguridad de CJIS. 

Si un cliente o una agencia de sistemas del CJIS de un estado lo solicita, Google Cloud firmará un acuerdo de gestión que proporcionará a los clientes información detallada sobre cómo cumple Google Cloud la política de seguridad del CJIS, cuáles son las responsabilidades de cada una de las partes, qué servicios en la nube están cubiertos y muchas otras disposiciones importantes. Puedes solicitar una copia del Acuerdo de Gestión de CJIS de Google Cloud enviando un correo a cjis@google.com.

El equipo de cumplimiento de Google Cloud también puede proporcionar argumentarios de cumplimiento detallados que demuestren cómo cumple Google Cloud los requisitos de CJISSECPOL aplicables a los proveedores de servicios en la nube.

Sí. Google Cloud permite a los clientes limitar las cargas de trabajo de CJIS a determinadas regiones de EE. UU. mediante Assured Workloads y Assured Controls. Google almacenará tus datos en reposo de acuerdo con nuestros Términos del Servicio específicos.

Google colabora con los CSAs estatales (o agencias locales) para que el personal de Google que pueda acceder sin supervisión a datos CJI no encriptados de un estado se someta a comprobaciones de antecedentes basadas en la huella digital de conformidad con la política de seguridad del CJIS. El personal de Google que corresponda enviará a cada CSA o agencia local las tarjetas de huella digital FD-258, junto con toda la documentación requerida.

Con este proceso se asegura que se concederá acceso sin supervisión al personal autorizado únicamente después de completar la comprobación de antecedentes basada en la huella digital, la formación de concienciación sobre seguridad del CJIS y la firma del anexo de seguridad del CJIS.

Google ha implementado la confianza cero en el núcleo de nuestros servicios y operaciones. Esto significa que nuestra infraestructura no presupone el nivel de confianza entre los servicios que se ejecutan en ella. Es decir, cada solicitud de acceso a recursos se inspecciona, se autentica y se verifica como si procediera de una red que no es de confianza.

Los entornos de los clientes en Google Cloud también están segregados de forma lógica para evitar que los usuarios y los clientes accedan a recursos que no se les han asignado. Los datos de los clientes (incluidos los datos de carácter personal identificativo) se segregan de forma lógica por dominio para que se puedan generar datos de un solo cliente. La capacidad de Google Cloud para proteger los datos de los clientes de esta forma, a la vez que permite desarrollar funciones más rápidamente y ofrece ventajas en cuanto a costes para los clientes, lo convierte en la mejor opción para los clientes del sector público.

Sí. En el entorno de producción de Google Cloud se utiliza BoringCrypto (certificado 4735), un módulo de encriptado validado por el estándar FIPS 140-3. Google Cloud encripta mediante uno o varios mecanismos el contenido de los clientes que se almacena en reposo y en tránsito entre nuestras instalaciones, sin que estos tengan que realizar ninguna acción. 

De este modo, los clientes pueden cumplir la política de seguridad CJIS y elegir entre una amplia gama de Cloud Key Management, como claves gestionadas de Google, claves de encriptado gestionadas por el cliente y gestión de claves externas. Dado que Google Cloud utiliza este nivel de encriptado de forma predeterminada para los datos en reposo y en tránsito, los clientes pueden heredar el encriptado FIPS 140‐3 validado y eliminar el requisito de ejecutar productos y servicios en modo FIPS para obtener más información.

No, dado que Google proporciona claves de encriptado gestionadas por el cliente y restringe el acceso sin supervisión a datos CJI no encriptados al personal que está dentro del ámbito de CJIS y que ha pasado las comprobaciones pertinentes, no se requiere la computación confidencial para CJIS en Google Cloud. Sin embargo, los clientes pueden optar por utilizar la informática confidencial además del límite de datos de CJIS seguro y restringido.

La política de seguridad de CJIS no exige el uso de un Gobierno en la nube (GovCloud), y no existe una definición o estándar universal sobre lo que constituye un GovCloud. La frontera de datos de CJIS de Google Cloud ayuda a los clientes a cumplir la política de seguridad de CJIS. Además, el cumplimiento de Google Cloud ha sido validado por una organización de evaluación externa independiente y numerosas CSAs estatales. 

En Google, hemos invertido en un enfoque de seguridad por capas de nuestra infraestructura en la nube pública que proporciona funciones como el encriptado y controles sólidos de acceso a los datos del personal. Esto, junto con la implementación de confianza cero que se ha descrito anteriormente, proporciona la estrategia de seguridad sólida que se necesita para cumplir los estrictos requisitos de la política de seguridad del CJIS y, al mismo tiempo, permite que los clientes aprovechen las innovaciones en productos de la nube pública.

La implementación por parte de Google de los controles mencionados (y muchos otros) cumple los requisitos de nivel moderado y alto del programa FedRAMP, y ha sido reconocida por la junta de autorización conjunta (JAB).

Nuestro enfoque se ve validado en el memorando M-24-15 de la Oficina de Gestión y Presupuesto de EE. UU. (OMB) sobre la modernización del programa federal de gestión de autorizaciones y riesgo de EE. UU. (FedRAMP), en el que se recomienda que las agencias federales dejen de usar arquitecturas de GovCloud aisladas:

"FedRAMP no debe incentivar ni exigir a los proveedores de servicios en la nube comerciales que creen ofertas independientes y específicas para su uso por parte del Gobierno federal, ya sea mediante la aplicación de marcos de seguridad federales o de otras operaciones del programa. El Gobierno Federal se beneficia de la inversión, el mantenimiento de la seguridad y el desarrollo rápido de funciones que los proveedores de servicios en la nube comerciales ofrecen a sus productos principales para tener éxito en el mercado. De forma similar, los proveedores comerciales tienen incentivos para integrar las prácticas de seguridad mejoradas que surgen de su colaboración con FedRAMP en sus servicios principales, lo que beneficia a todos los clientes".

Sí, los clientes de Google Cloud son los dueños de sus datos de clientes cuando usan Google Cloud o Google Workspace. Consulta la Adenda sobre Tratamiento de Datos de Cloud (CDPA) y nuestro Centro de Recursos de Privacidad para obtener más información sobre nuestros compromisos con el tratamiento de datos.

Ve un paso más allá

Empieza a crear en Google Cloud con 300 USD en crédito gratis y más de 20 productos Always Free.

Google Cloud
DocumentosAsistencia
Consola
Iniciar sesión
Security
Threat IntelSecOpsSeguridad en la nubeAsesoríaRecursos sobre seguridad
  • Agiliza tu transformación digital
  • Tanto si tu negocio ya está inmerso en la transformación digital como si aún se encuentra en la etapa inicial, Google Cloud puede ayudarte a hacer frente a los retos más difíciles.
  • Productos de Google Cloud
  • Descubre más de 100 productos. Los nuevos clientes reciben 300 USD en crédito gratis para ejecutar, probar y desplegar cargas de trabajo. Todos los clientes pueden usar más de 25 productos de forma gratuita hasta alcanzar los límites de uso mensuales.
  • Ahorra dinero con nuestro enfoque de transparencia sobre los precios
  • El modelo de pago por uso de Google Cloud ofrece ahorros automáticos en función del uso mensual y de las tarifas con descuento para los recursos de prepago. Ponte en contacto con nosotros y solicita un presupuesto.
Google Cloud