Criminal Justice Information Services (CJIS)

La División de Servicios de Justicia Criminal (CJIS) de la Oficina Federal de Investigación (FBI) de Estados Unidos proporciona a las agencias federales, estatales y locales directrices sobre cómo proteger la información sobre justicia penal (CJI) cuando utilizan proveedores de servicios en la nube (CSP) como Google Cloud.

Google Cloud ofrece controles de seguridad para proteger y almacenar CJI mediante Assured Workloads de Google Cloud y Assured Controls para Google Workspace. Los organismos públicos encargados de velar por el cumplimiento de las leyes pueden cumplir con la política de seguridad del CJIS al implementar estos controles para los servicios de Google Cloud cubiertos por la ley.

Cumplimiento del CJIS de Google

La Oficina del Programa CJIS del FBI ha publicado numerosos artefactos que proporcionan directrices específicas sobre cómo proteger el CJI. El documento principal es la política de seguridad del CJIS del FBI, en la que se detalla un conjunto mínimo de requisitos de seguridad que se deben cumplir para proteger y proteger al CJI.

El FBI también proporciona un mapa de los requisitos del CJIS a los controles de seguridad descritos en la revisión 4 de la NIST SP 800-53.

Todos los servicios de Google Cloud que admiten CJIS cumplen los requisitos necesarios para proteger el CJI. Google también ha recibido atestaciones de un asesor externo independiente que confirma el cumplimiento de los controles NIST 800‐53 incluidos en la asignación del FBI.

Ponte en contacto con el equipo de Ventas de Google Cloud a través de nuestro formulario de contacto para obtener más información sobre el cumplimiento de CJIS de Google.

Funciones del CJIS de Google

Los servicios con ámbito de CJIS disponibles a través de Assured Workloads y de Assured Controls implementan controles de seguridad de CJIS y permiten a los clientes usar las funciones de Google Cloud y Google Workspace para satisfacer sus necesidades empresariales.

Los organismos públicos locales, federales y de justicia penal (y sus contratistas) pueden utilizar estos servicios para lo siguiente:

Establecer restricciones para restringir las cargas de trabajo de CJIS a EE. UU.
Restringir el personal de asistencia técnica a personas de EE. UU. que residen en EE. UU. y están verificadas tanto por Google como por la agencia estatal del CJIS.
Aplicar el encriptado conforme a FIPS‐140‐2 tanto en reposo como en tránsito
Usar claves de encriptado gestionadas por el cliente (CMEK)
Implementar controles de acceso del personal
Aplicar las restricciones de cumplimiento de los desarrolladores y la segmentación lógica para que cumplan los requisitos de CJIS, entre otros.

Aunque todos los empleados de Google Cloud de Estados Unidos están sujetos a comprobaciones de antecedentes de Google, Google reconoce la sensibilidad de los datos del CJI. Por ese motivo, Google Cloud colabora con sus clientes para limitar la asistencia técnica a los empleados de EE. UU. que han superado las comprobaciones de antecedentes del FBI basadas en la huella digital y las comprobaciones de antecedentes penales exigidas por la política de seguridad del CJIS.

Los estados también pueden proporcionar su propio proceso de comprobación de antecedentes aprobado para que los clientes tengan el control sobre quién puede admitir el CJI.

Actualizaciones clave de las políticas de seguridad de CJIS v. 5.9.1 y v. 5.9.2

El FBI actualizó la política de seguridad del CJIS de la versión 5.9.0 a la versión 5.9.2 a finales del 2022. Puedes consultar los cambios en el documento complementario sobre los requisitos, publicado por el FBI.

La política más reciente contiene actualizaciones importantes en algunas áreas. En concreto, se han actualizado las directrices sobre protección de medios, el filtrado de personal, la gestión de identidades y accesos, la concienciación y la formación, así como la integridad del sistema y de la información, y ahora está más relacionada con los controles NIST 800-53.

También hay algunos falsos mitos sobre estos cambios. En el apéndice G.3 (que se ha presente en las versiones anteriores de la política) se especifica en el caso 2 que cuando el CJI se desencripta dentro del entorno de la CSP, el personal administrativo que pueden acceder al entorno y estar "sujetos a formación sobre seguridad y controles de seguridad del personal", tal como se describe en la política de seguridad del CJIS. Esto se aplica incluso cuando la agencia de CJIS mantiene el control de las claves de encriptado.

Para ofrecer una protección completa a los clientes, Google utiliza claves de encriptado gestionadas por el cliente (CMEK) y controles de seguridad del personal para restringir el acceso del CJI a los usuarios ubicados en EE. UU. de Estados Unidos que hayan sido autorizados y cumplan los requisitos de la política de seguridad del CJIS.

Servicios de Google Cloud que están dentro del ámbito de CJIS

BigQuery

Cloud Key Management Service

Google Kubernetes Engine

Gestión de Identidades y Accesos

Persistent Disk

Pub/Sub

Nube privada virtual

Controles de Servicio de VPC

Nueva versión de Sites

Hojas de cálculo

Presentaciones

Preguntas frecuentes

Las entidades que gestionen CJI (como Google Cloud) deben ejecutar un apéndice de seguridad de CJIS con los estados que quieran usar los servicios de la entidad para proteger el CJI. El apéndice es un acuerdo de plantilla aprobado por la fiscalía general de Estados Unidos que se compromete a Google Cloud a mantener un programa de seguridad que cumple los requisitos del CJIS.

También puedes consultar la política de seguridad del CJIS para obtener más información sobre cómo debe proteger tu agencia todo el ciclo de vida del CJI.

El objetivo de Google Cloud es trabajar con gobiernos locales y estatales para gestionar cargas de trabajo del CJIS. Aunque los clientes pueden usar Google Cloud para ejecutar cargas de trabajo que contengan CJI en EE. UU., este producto está autorizado para protegerlo en los siguientes estados:

Florida

Massachusetts

Oklahoma

Pensilvania

Tennessee

Utah

Ponte en contacto con el equipo de Ventas de Google Cloud Platform de tu estado a través de nuestro formulario de contacto para iniciar el proceso y obtener acceso a un apéndice de seguridad de CJIS de Google Cloud.

En este apéndice se proporciona a los clientes información detallada sobre la forma en que Google Cloud cumple la política de seguridad del CJIS, las responsabilidades de cada una de las partes y los servicios en la nube que cubren, así como otras muchas disposiciones importantes.

Google firma un apéndice de seguridad de CJIS con una agencia estatal de sistemas CJIS (CSA) o un agente de seguridad del CJIS. puedes solicitar una copia de Google o de la CSA o la CSO de tu estado.

Además, Google ofrece a los clientes informes de cumplimiento elaborados por auditores independientes para que puedan comprobar que ha implementado controles de seguridad (como NIST, ISO, , SOC) según el alcance de la auditoría correspondiente.

Los clientes pueden auditar los controles de seguridad de Google para verificar que cumplen los requisitos de la política de seguridad del CJIS.

Sí. Los clientes pueden configurar recursos de servicios clave de Google en ubicaciones de EE. UU. Almacenamos los datos en reposo de nuestros clientes en la región seleccionada, de acuerdo con nuestros Términos del Servicio específicos.

En Google, hemos invertido en un enfoque de seguridad por capas de nuestra infraestructura en la nube pública que proporciona funciones como el encriptado y controles sólidos de acceso a los datos del personal. De este modo, la estrategia de seguridad que se necesita para cumplir los estrictos requisitos de la política de seguridad del CJIS es rigurosa y, al mismo tiempo, permite que los clientes aprovechen las innovaciones en productos de la nube pública.

La implementación por parte de Google de los controles mencionados (y muchos otros) cumple los requisitos de nivel moderado y alto del programa FedRAMP, y ha sido reconocida por la junta de autorización conjunta (JAB).

No. Dado que Google proporciona claves de encriptado gestionadas por el cliente y controles de acceso a los datos del personal que restringen el acceso al CJI, no se requiere la computación confidencial para CJIS en Google Cloud.

Sin embargo, los clientes pueden seguir utilizando la informática confidencial como control de seguridad complementario además del entorno seguro y restringido que ofrece Google a los clientes de CJIS.

Google Cloud utiliza un estándar FIPS 140‐2consulta la página de cumplimiento del estándar FIPS 140‐2 ).BoringCrypto (certificado 3678) en nuestro entorno de producción. Esto significa que los datos en tránsito (al cliente y entre los centros de datos) y los datos en reposo se encriptan de forma predeterminada con el encriptado validado por el estándar FIPS 140‐2.

Este módulo con validación FIPS 140‑2 forma parte de nuestra biblioteca BoringSSL. De este modo, los clientes pueden cumplir el estándar FIPS y elegir entre una amplia gama de gestión de claves de Cloud, como claves gestionadas de Google, claves de encriptado gestionadas por el cliente, y gestión de claves externas. Dado que Google Cloud utiliza este nivel de encriptado de forma predeterminada para los datos en reposo y en tránsito, los clientes pueden heredar el encriptado FIPS 140‐2 y eliminar el requisito de ejecutar productos y servicios en modo FIPS para obtener más información.