Criminal Justice Information Services (CJIS)

La División de Servicios de Justicia Criminal (CJIS) de la Oficina Federal de Investigación (FBI) de Estados Unidos proporciona a las agencias federales, estatales locales y tribales directrices sobre cómo proteger la información sobre justicia penal (CJI) cuando utilizan proveedores de servicios en la nube (CSP) como Google Cloud.

Los clientes de Google Cloud pueden usar Assured Workloads de Google Cloud y Assured Controls para Google Workspace para cumplir la versión 5.9.5 de la política de seguridad de CJIS.

Introducción a CJIS

La división CJIS del FBI supervisa muchas bases de datos nacionales que utilizan las agencias de justicia penal de todo el país. Gran parte de los datos que se conservan en estas bases de datos se consideran información sobre justicia penal (CJI) y están sujetos a protección contra el uso y la divulgación no autorizados. La Política de Seguridad del CJIS (CJISSECPOL), publicada por la División CJIS del FBI, proporciona el conjunto mínimo de requisitos de seguridad para proteger y salvaguardar el CJI.

El FBI también proporciona un documento complementario de requisitos que destaca los cambios recientes en la política de seguridad del CJIS y ayuda a identificar los roles y las responsabilidades de seguridad de las entidades que acceden a la información clasificada de inteligencia. Aunque el CJA que accede al CJI siempre es el responsable de garantizar el cumplimiento de la normativa CJIS, el documento complementario de requisitos orienta al CJA para determinar quién (por ejemplo, la división CJIS del FBI, el CJA, el proveedor de servicios, etc.) tiene la capacidad técnica para garantizar que se cumple un requisito concreto. 

Los clientes de Google Cloud Platform y Google Workspace pueden usar Assured Workloads y Assured Controls para lograr la conformidad con la versión 5.9.5 de la política de seguridad de CJIS. Recientemente, una organización de evaluación externa independiente ha evaluado los controles de seguridad de CJIS de Google Cloud y ha determinado que Google Cloud cumple los requisitos de CJIS. También podemos proporcionarte más información sobre el cumplimiento de requisitos a petición para demostrarte cómo cumple Google Cloud los requisitos de CJISSECPOL que se aplican a los proveedores de servicios en la nube. 

Google Cloud también asiste a las reuniones del Consejo Asesor de Políticas del CJIS y revisa las nuevas versiones de la Política de Seguridad del CJIS y del documento complementario de requisitos para asegurarnos de que nuestras políticas y procedimientos cumplen con los cambios que se produzcan.

Alojar cargas de trabajo del CJIS en Google Cloud Platform

Assured Workloads para CJIS permite a los clientes cumplir la política de seguridad de CJIS. Assured Workloads para Google Cloud Platform es la nube normativa de Google Cloud y posibilita el cumplimiento con marcos como CJIS, FedRAMP High y los niveles IL2, IL4 e IL5 del Departamento de Defensa de EE. UU.

Assured Workloads adopta un enfoque de cumplimiento normativo basado en software y en la confianza cero. Permite a los clientes cumplir los estrictos requisitos de cumplimiento de la nube de los gobiernos, a la vez que ofrece las ventajas en cuanto a rendimiento, escalabilidad, disponibilidad de los servicios, coste y fiabilidad que los clientes pierden cuando utilizan arquitecturas de nube con separación física.

Assured Workloads simplifica la seguridad y el cumplimiento para las autoridades estatales, locales, tribales y federales (y cualquier otro usuario de CJI que no esté relacionado con la justicia penal) de las siguientes formas:

  • Configura controles de ubicación de datos para restringir las cargas de trabajo de CJIS a regiones solo de EE. UU. (residencia de datos).
  • Implementa controles de seguridad y acceso al personal para limitar el acceso sin supervisión al CJI no encriptado exclusivamente a las personas estadounidenses ubicadas en EE. UU. que hayan completado las comprobaciones de antecedentes del FBI basadas en la huella digital.
  • Posibilita el uso de claves de encriptado gestionadas por el cliente (CMEK) alojadas en Google Cloud o mediante un gestor de claves externo.
  • Permite a los clientes tener control y visibilidad sobre el acceso de administrador.
  • Monitoriza de forma continua los entornos de los clientes para detectar infracciones de cumplimiento.

Alojar cargas de trabajo del CJIS en Google Workspace

Assured Controls for Google Workspace permite a las organizaciones cumplir los requisitos organizativos y de cumplimiento, ya sea limitar el acceso del personal de Google a los datos o asegurar que la ubicación de los datos de los clientes se restrinja a Estados Unidos.

Los clientes que quieran desplegar soluciones de CJIS con Google Workspace pueden usar Assured Controls para definir políticas que se ajusten a la política de seguridad de CJIS. Puedes consultar una guía de configuración de las soluciones de CJIS en Google Workspace aquí.

Servicios de Google Cloud que están dentro del ámbito de CJIS

Preguntas frecuentes

Recientemente, una organización de evaluación externa independiente ha evaluado los controles de seguridad de CJIS de Google Cloud y ha determinado que Google Cloud cumple los requisitos de CJIS. Google tiene previsto actualizar esta evaluación una vez que se haya publicado la versión 6.0 de la política de seguridad del CJIS.

Si un cliente o una agencia de sistemas del CJIS de un estado lo solicita, Google Cloud firmará un acuerdo de gestión que proporcionará a los clientes información detallada sobre cómo cumple Google Cloud la política de seguridad del CJIS, cuáles son las responsabilidades de cada una de las partes, qué servicios en la nube están cubiertos y muchas otras disposiciones importantes. Puedes solicitar una copia del Acuerdo de Gestión de CJIS de Google Cloud enviando un correo a cjis@google.com.

El equipo de cumplimiento de Google Cloud también puede proporcionar argumentarios de cumplimiento detallados que demuestren cómo cumple Google Cloud los requisitos de CJISSECPOL aplicables a los proveedores de servicios en la nube.

Sí. Google Cloud permite a los clientes limitar las cargas de trabajo de CJIS a determinadas regiones de EE. UU. mediante Assured Workloads y Assured Controls. Google almacenará tus datos en reposo de acuerdo con nuestros Términos del Servicio específicos.

En los estados en los que los empleados de Google pueden acceder sin supervisión a datos CJI no encriptados, Google colabora con el CSA (o una agencia local) para que dicho personal se someta a comprobaciones de antecedentes del FBI basadas en la huella digital. El personal cualificado de Google enviará a cada CSA las tarjetas de huella digital FD-258, junto con toda la documentación requerida.

Con este proceso se asegura que se concederá acceso sin autorización al personal autorizado únicamente después de completar la comprobación de antecedentes y la formación de concienciación sobre seguridad del CJIS.

Google ha implementado la confianza cero en el núcleo de nuestros servicios y operaciones. Esto significa que nuestra infraestructura no presupone el nivel de confianza entre los servicios que se ejecutan en ella. Es decir, cada solicitud de acceso a recursos se inspecciona, se autentica y se verifica como si procediera de una red que no es de confianza.

Los entornos de los clientes en Google Cloud también están segregados de forma lógica para evitar que los usuarios y los clientes accedan a recursos que no se les han asignado. Los datos de los clientes (incluidos los datos de carácter personal identificativo) se segregan de forma lógica por dominio para que se puedan generar datos de un solo cliente. La capacidad de Google Cloud para proteger los datos de los clientes de esta forma, a la vez que permite desarrollar funciones más rápidamente y ofrece ventajas en cuanto a costes para los clientes, lo convierte en la mejor opción para los clientes del sector público. 

Por último, todos los datos de los clientes en tránsito se encriptan. El encriptado se lleva a cabo en reposo de forma predeterminada para TODOS los clientes. De esta forma, se garantiza que haya varias capas de defensa en una arquitectura de nube multiarrendatario y se proporciona un aislamiento sólido para todos los clientes.

No, dado que Google proporciona claves de encriptado gestionadas por el cliente y controles de acceso a los datos del personal que restringen el acceso al CJI, no se requiere la computación confidencial para CJIS en Google Cloud. Sin embargo, los clientes pueden seguir utilizando la informática confidencial como control de seguridad complementario además del entorno seguro y restringido que ofrece Google a los clientes de CJIS.

Sí. En el entorno de producción de Google Cloud se utiliza BoringCrypto (certificado 4735), un módulo de encriptado validado por el estándar FIPS 140-3. Esto significa que los datos en tránsito (al cliente y entre los centros de datos) y los datos en reposo se encriptan de forma predeterminada con el encriptado validado por el estándar FIPS 140‐3.

De este modo, los clientes pueden cumplir el estándar FIPS y elegir entre una amplia gama de gestión de claves de Cloud, como claves gestionadas de Google, claves de encriptado gestionadas por el cliente, y gestión de claves externas. Dado que Google Cloud utiliza este nivel de encriptado de forma predeterminada para los datos en reposo y en tránsito, los clientes pueden heredar el encriptado FIPS 140‐3 y eliminar el requisito de ejecutar productos y servicios en modo FIPS para obtener más información.

La política de seguridad de CJIS no exige el uso de un Gobierno en la nube (GovCloud), y no existe una definición o estándar universal sobre lo que constituye un GovCloud. Google Cloud posibilita el cumplimiento con la política de seguridad del CJIS y ha demostrado nuestro cumplimiento frente a una organización de evaluación externa independiente y numerosas CSAs estatales. 

En Google, hemos invertido en un enfoque de seguridad por capas de nuestra infraestructura en la nube pública que proporciona funciones como el encriptado y controles sólidos de acceso a los datos del personal. Esto, junto con la implementación de confianza cero que se ha descrito anteriormente, proporciona la estrategia de seguridad sólida que se necesita para cumplir los estrictos requisitos de la política de seguridad del CJIS y, al mismo tiempo, permite que los clientes aprovechen las innovaciones en productos de la nube pública.

La implementación por parte de Google de los controles mencionados (y muchos otros) cumple los requisitos de nivel moderado y alto del programa FedRAMP, y ha sido reconocida por la junta de autorización conjunta (JAB).

Nuestro enfoque se ve validado en el memorando M-24-15 de la Oficina de Gestión y Presupuesto de EE. UU. (OMB) sobre la modernización del programa federal de gestión de autorizaciones y riesgo de EE. UU. (FedRAMP), en el que se recomienda que las agencias federales dejen de usar arquitecturas de GovCloud aisladas:

"FedRAMP no debe incentivar ni exigir a los proveedores de servicios en la nube comerciales que creen ofertas independientes y específicas para su uso por parte del Gobierno federal, ya sea mediante la aplicación de marcos de seguridad federales o de otras operaciones del programa. El Gobierno Federal se beneficia de la inversión, el mantenimiento de la seguridad y el desarrollo rápido de funciones que los proveedores de servicios en la nube comerciales ofrecen a sus productos principales para tener éxito en el mercado. De forma similar, los proveedores comerciales tienen incentivos para integrar las prácticas de seguridad mejoradas que surgen de su colaboración con FedRAMP en sus servicios principales, lo que beneficia a todos los clientes".

En Google Cloud tenemos la firme convicción de que la confianza se genera por medio de la transparencia; por esta razón, queremos dejar claros nuestros compromisos y las expectativas que puedes tener al respecto de nuestra responsabilidad compartida a la hora de proteger y administrar tus datos en la nube.

Cuando utilizas Google Workspace o Google Cloud, puedes dar por hecho lo siguiente:

  1. Los datos son de tu propiedad, no de Google.
  2. Google no vende los datos de clientes a terceros.
  3. Google Cloud no utiliza los datos de clientes con fines publicitarios.
  4. Todos los datos de clientes se encriptan de forma predeterminada.
  5. Protegemos el acceso interno a tus datos.
  6. Jamás otorgamos a ninguna entidad pública acceso secreto (backdoor) a tus datos.
  7. Nuestras prácticas de privacidad se auditan según los estándares internacionales.

Consulta la Adenda sobre Tratamiento de Datos de Cloud (CDPA) para obtener más información sobre nuestros compromisos con el tratamiento de datos.

Ve un paso más allá

Empieza a crear en Google Cloud con 300 USD en crédito gratis y más de 20 productos Always Free.

Empezar gratis
Google Cloud
DocumentosAsistencia
Consola
Iniciar sesión
Security
Página principalInteligencia y experienciaSecOpsSeguridad en la nubeRecursos sobre seguridad
Asistencia para responder a incidentes
Contactar
  • Agiliza tu transformación digital
  • Tanto si tu negocio ya está inmerso en la transformación digital como si aún se encuentra en la etapa inicial, Google Cloud puede ayudarte a hacer frente a los retos más difíciles.
  • Productos de Google Cloud
  • Descubre más de 100 productos. Los nuevos clientes reciben 300 USD en crédito gratis para ejecutar, probar y desplegar cargas de trabajo. Todos los clientes pueden usar más de 25 productos de forma gratuita hasta alcanzar los límites de uso mensuales.
  • Ahorra dinero con nuestro enfoque de transparencia sobre los precios
  • El modelo de pago por uso de Google Cloud ofrece ahorros automáticos en función del uso mensual y de las tarifas con descuento para los recursos de prepago. Ponte en contacto con nosotros y solicita un presupuesto.
Google Cloud