Criminal Justice Information Services (CJIS)

La divisione Criminal Justice Information Services (CJIS) del Federal Bureau of Investigations (FBI) degli Stati Uniti offre agli enti federali, statali e locali indicazioni su come proteggere le informazioni sulla giustizia penale (CJI) quando utilizzano provider di servizi cloud (CSP) come Google Cloud.

Google Cloud offre controlli di sicurezza per proteggere e archiviare le CJI tramite Assured Workloads per Google Cloud e Assured Controls per Google Workspace. Le forze dell'ordine possono ottenere la conformità alle norme sulla sicurezza CJIS implementando questi controlli per i servizi Google Cloud interessati.

Conformità CJIS di Google

L'FBI CJIS Program Office ha pubblicato numerosi artefatti che forniscono indicazioni sulla protezione delle CJI. Il documento principale, il Criterio di sicurezza CJIS dell'FBI (FBI CJIS Security Policy), descrive in dettaglio un insieme minimo di requisiti di sicurezza che devono essere soddisfatti per proteggere e salvaguardare la CJI. L'FBI fornisce inoltre una mappatura dei requisiti CJIS ai controlli di sicurezza in NIST SP 800-53.

I clienti di Google Cloud Platform e Google Workspace possono utilizzare Assured Workloads e Assured Controls per ottenere la conformità ai criteri di sicurezza CJIS. Contatta il team di vendita di Google Cloud tramite il nostro modulo di contatto per saperne di più sulla conformità CJIS di Google.

Hosting di carichi di lavoro CJIS su Google Cloud

L'investimento di Google Cloud nella sicurezza predefinita per la nostra infrastruttura garantisce che i controlli di sicurezza siano integrati e preconfigurati per consentire ai clienti di raggiungere vari livelli di conformità senza una tradizionale architettura cloud governativa isolata. 

I clienti che vogliono eseguire il deployment di soluzioni CJIS utilizzando Google Cloud possono utilizzare Assured Workloads per ottenere la conformità con il criterio di sicurezza CJIS. Assured Workloads consente ai clienti di proteggere e configurare in modo sicuro carichi di lavoro sensibili per supportare i requisiti di conformità e sicurezza utilizzando i servizi Google Cloud. Non si basa su un'infrastruttura fisica distinta dai suoi data center nel cloud pubblico, ma offre un software-defined Community Cloud con vantaggi in termini di costo, velocità e innovazione.

Assured Workloads offre inoltre visibilità sullo stato di conformità dei carichi di lavoro CJIS tramite il monitoraggio di Assured Workloads. Questo strumento può aiutarti a individuare e risolvere le violazioni della conformità e a fornire attestati di controllo ai revisori del tuo stato di conformità.

Oltre ai controlli soddisfatti dall'infrastruttura Google Cloud, le agenzie delle forze dell'ordine e della giustizia penale (e i loro appaltatori) statali, locali e federali possono utilizzare Assured Workloads per:

  • Impostare sistemi di protezione per limitare i carichi di lavoro CJIS da archiviare all'interno degli Stati Uniti,
  • Implementare la sicurezza e i controlli di accesso del personale per limitare l'accesso alla CJI alle persone statunitensi che si trovano negli Stati Uniti e che hanno completato i controlli dei precedenti dell'FBI e dei precedenti penali basati sulle impronte digitali dello stato;
  • Applicare la crittografia at-rest e in transito conforme a FIPS-140-2.
  • Utilizzare le chiavi di crittografia gestite dal cliente (CMEK).
  • Implementare controlli logici che segmentano le reti e gli utenti dai dati sensibili nell'ambito e altro ancora.

Hosting di carichi di lavoro CJIS su Workspace

Assured Controls per Google Workspace consente alle organizzazioni di soddisfare i requisiti organizzativi e di conformità, sia che ciò implichi la limitazione dell'accesso del personale Google ai dati dei clienti o che imponga la località in cui questi dati dei clienti sono posizionati at-rest.

I clienti che vogliono eseguire il deployment di soluzioni CJIS utilizzando Google Workspace possono utilizzare Assured Controls per impostare criteri in linea con i criteri di sicurezza CJIS. Qui puoi trovare una guida alla configurazione delle soluzioni CJIS in Google Workspace.

Oltre ai controlli soddisfatti dall'infrastruttura di Google Workspace, le agenzie delle forze dell'ordine e della giustizia penale (e i loro appaltatori) statali, locali e federali possono utilizzare Assured Controls per:

  • Impostare sistemi di protezione per limitare i carichi di lavoro CJIS da archiviare all'interno degli Stati Uniti,
  • Implementare la sicurezza e i controlli di accesso del personale per limitare l'accesso alla CJI alle persone statunitensi che si trovano negli Stati Uniti e che hanno completato i controlli dei precedenti dell'FBI e dei precedenti penali basati sulle impronte digitali dello stato;
  • Applicare la crittografia FIPS-140-2 at-rest, in transito e altro ancora.

Domande frequenti

Le entità che gestiscono le CJI, ad esempio Google Cloud, devono eseguire un'appendice di sicurezza CJIS con gli stati che intendono utilizzare i servizi dell'entità per proteggere le CJI. L'appendice è un modello di contratto approvato dal Procuratore generale degli Stati Uniti che fornisce ai clienti informazioni dettagliate su come Google Cloud soddisfa i criteri di sicurezza CJIS, sulle responsabilità di ogni parte, sui servizi cloud coperti e su molte altre disposizioni importanti.

Contatta il team di vendita di Google Cloud del tuo stato utilizzando il nostro modulo di contatto per avviare la procedura e ottenere l'accesso a un'appendice di sicurezza CJIS per Google Cloud.

Google sottoscrive un'appendice di sicurezza CJIS con l'agenzia per i sistemi CJIS (CSA) o il responsabile della sicurezza CJIS (CSO) dei vari stati. Puoi richiedere una copia a Google oppure alla CSA o al CSO del tuo stato.

Inoltre, Google fornisce ai clienti CJIS una narrazione completa di controllo che descrive in che modo Google Cloud consente ai clienti di soddisfare i controlli tecnici mappati con l'FBI richiesti per la conformità CJIS.

Contatta cjis@google.com per ottenere una copia della mappatura CJIS di Google.

Negli stati in cui i dipendenti di Google potrebbero avere accesso senza scorta al CJI non crittografato, Google collabora con ciascuna autorità statale per garantire che il personale che potrebbe avere accesso senza scorta al CJI non crittografato di uno stato sia sottoposto a controlli dei precedenti CJIS in quello stato (oltre al rapporto sui precedenti penali nazionali dell'FBI). Il personale Google idoneo invierà a ciascuna autorità le carte delle impronte FD-258, insieme alla documentazione richiesta.

Questo processo garantisce che al personale autorizzato venga concesso l'accesso senza scorta solo dopo aver completato il controllo dei precedenti e la formazione per la consapevolezza della sicurezza di CJIS.

No. Poiché Google fornisce chiavi di crittografia gestite dal cliente e controlli dell'accesso ai dati del personale che limitano l'accesso alle CJI, il Confidential Computing non è richiesto per CJIS su Google Cloud.

Tuttavia, i clienti possono comunque utilizzare il Confidential Computing come controllo di sicurezza supplementare oltre all'ambiente sicuro e limitato che Google offre ai clienti CJIS.

Sì. I clienti possono configurare le risorse in località negli Stati Uniti per i nostri servizi principali. Google archivierà i dati inattivi solo nella regione selezionata, in conformità con i nostri Termini di servizio specifici.

Google Cloud utilizza nel suo ambiente di produzione un modulo di crittografia convalidato FIPS 140-2 (consulta la pagina di conformità agli standard FIPS 140-2) denominato BoringCrypto (certificato 3678). Ciò significa che i dati in transito (verso il cliente e tra i data center) e i dati at-rest sono criptati per impostazione predefinita tramite la crittografia convalidata FIPS 140-2.

Il modulo che ha ottenuto la convalida FIPS 140-2 fa parte della nostra libreria BoringSSL. Consente ai clienti di mantenere la conformità FIPS scegliendo tra una vasta gamma di offerte di Cloud Key Management, tra cui chiavi gestite da Google, chiavi di crittografia gestite dal cliente e chiavi gestite esternamente. Poiché Google Cloud utilizza questo livello di crittografia per impostazione predefinita per i dati at-rest e in transito, i clienti possono ereditare la crittografia FIPS 140-2 ed eliminare il requisito per eseguire i prodotti e i servizi in modalità FIPS.

Google ha investito in un approccio di sicurezza a più livelli per la propria infrastruttura cloud pubblica, fornendo funzionalità quali crittografia e solidi controlli dell'accesso ai dati del personale. Ciò fornisce la solida security posture necessaria per soddisfare i severi requisiti delle norme sulla sicurezza CJIS e consente inoltre ai clienti di sfruttare le attuali innovazioni del cloud pubblico.

L'implementazione di Google dei suddetti controlli (e di tanti altri) è conforme ai requisiti FedRAMP Moderate e FedRAMP High ed è stata riconosciuta dal Joint Authorization Board (JAB).

Fai il prossimo passo

Inizia a creare su Google Cloud con 300 $ di crediti gratuiti e oltre 20 prodotti Always Free.

Google Cloud
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Console
Google Cloud