Divisão de Serviços de Informações da Justiça Criminal (CJIS, na sigla em inglês) dos EUA

A Divisão de Serviços de Informações da Justiça Criminal (CJIS, na sigla em inglês) do Departamento Federal de Investigação (FBI, na sigla em inglês) dos EUA fornece aos órgãos federais, estaduais e locais instruções sobre como proteger as informações da justiça criminal (CJI) ao usar provedores de serviços em nuvem (CSPs, na sigla em inglês), como o Google Cloud.

O Google Cloud oferece controles de segurança para proteger e armazenar as CJI com o Assured Workloads para o Google Cloud e o Assured Controls para o Google Workspace. Os órgãos de cumprimento da lei podem obedecer à política de segurança da CJIS implementando esses controles para os serviços do Google Cloud em escopo.

Conformidade com a CJIS do Google

O Escritório do Programa CJIS do FBI publicou vários artefatos que fornecem orientação específica sobre como proteger as CJI. O documento principal é a Política de segurança da CJIS do FBI, que detalha um conjunto mínimo de requisitos de segurança que precisam ser atendidos para proteger as CJI.

O FBI também fornece um mapeamento de requisitos da CJIS para os controles de segurança encontrados na revisão 4 do NIST SP 800-53.

Todos os serviços do Google Cloud compatíveis com a CJIS podem atender aos requisitos necessários para proteger as CJI. O Google também recebeu atestados de um avaliador terceirizado e independente que confirmou a compliance com os controles do NIST 800-53 incluídos no mapeamento do FBI.

Entre em contato com a equipe de vendas do Google Cloud usando nosso formulário de contato para saber mais sobre a conformidade da CJIS com o Google.

Recursos da CJIS do Google

Os serviços com escopo da CJIS disponibilizados por meio das Assured Workloads e dos Assured Controls implementam controles de segurança da CJIS e permitem que os clientes usem os recursos do Google Cloud e do Google Workspace para atender às necessidades da empresa.

As agências de aplicação da lei e os órgãos de justiça criminal e estaduais, municipais e federais (e seus prestadores de serviços) podem usar esses serviços para:

definir proteções para restringir cargas de trabalho da CJIS aos EUA;
restringir a equipe de suporte técnico a residentes dos EUA e avaliados pelo Google e pela agência CJIS estadual;
aplicar a criptografia em conformidade com o FIPS-140-2 em repouso e em trânsito,
usar chaves de criptografia gerenciadas pelo cliente (CMEK);
implemente controles de acesso de pessoal;
aplicar restrições de conformidade do desenvolvedor e segmentação lógica para atender aos requisitos da CJIS e muito mais.

Embora todos os funcionários do Google Cloud nos Estados Unidos estejam sujeitos à investigação de histórico para contratação do Google, o Google reconhece a confidencialidade dos dados das CJI. É por isso que o Google Cloud trabalha com os clientes para restringir o suporte técnico aos funcionários dos EUA que tenham concluído as investigações de histórico para contratação do FBI e as investigações criminais exigidas pela Política de Segurança da CJIS.

Os estados também podem fornecer um processo próprio de investigação de histórico para contratação para manter os clientes no controle de quem pode oferecer suporte às CJI.

Atualizações importantes na Política de segurança da CJIS v5.9.1 e v5.9.2

O FBI atualizou a política de segurança da CJIS de 5.9.0 para 5.9.2 no final de 2022. As alterações podem ser visualizadas no documento complementar de requisitos, publicado pelo FBI.

A política mais recente contém atualizações significativas em algumas áreas. Especificamente, as orientações relacionadas à proteção de mídia, triagem de pessoal, gerenciamento de identidade e acesso, conscientização e treinamento e integridade do sistema e da informação foram atualizadas e agora estão mais relacionadas ao NIST 800- 53 controles.

Há também alguns equívocos conhecidos em relação a essas mudanças. O Apêndice G.3, que estava presente nas versões anteriores da política, especifica no Cenário 2 que, quando às CJI for descriptografada no ambiente de um CSP, qualquer equipe administrativa que pode acessar o ambiente precisa estar "sujeita a treinamento de conscientização sobre segurança e controles de segurança de pessoal, conforme descrito na Política de Segurança da CJIS". Isso é válido mesmo quando a agência CJIS mantém o controle das chaves de criptografia.

Para oferecer proteção total aos clientes, o Google usa chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) e controles de segurança de pessoal para restringir o acesso das CJI aos residentes dos EUA localizados nos EUA que foram autorizados e atendem aos requisitos da Política de segurança da CJIS.

Serviços do Google Cloud que cumprem os requisitos da CJIS

BigQuery

Cloud Key Management Service

Google Kubernetes Engine

Identity and Access Management

Persistent Disk

Pub/Sub

Nuvem privada virtual

VPC Service Controls

Perguntas frequentes

Entidades que lidam com as CJI (como o Google Cloud) precisam executar um Adendo de segurança da CJIS com estados que queiram usar os serviços da entidade para proteger as CJI. O Adendo é um modelo de contrato aprovado pelo Procurador-Geral dos EUA que compromete o Google Cloud a manter um programa de segurança compatível com a CJIS.

Você também pode consultar a Política de segurança da CJIS para saber mais sobre como sua agência precisa proteger todo o ciclo de vida das CJI.

O Google Cloud se dedica a trabalhar com os governos estaduais e locais para dar suporte às cargas de trabalho da CJIS. Embora os clientes possam usar o Google Cloud para executar cargas de trabalho que contêm as CJI nos EUA, o Google Cloud está autorizado a proteger as CJI nos seguintes estados:

Flórida

Massachusetts

Oklahoma

Pensilvânia

Tennessee

Utah

Entre em contato com a equipe de vendas do Google Cloud Platform do seu estado por meio do formulário de contato para iniciar o processo e ter acesso a um adendo de segurança da CJIS do Google Cloud.

Esse adendo fornece aos clientes informações detalhadas sobre como o Google Cloud atende à política de segurança da CJIS, às responsabilidades de cada parte, quais serviços de nuvem são cobertos e muitas outras disposições importantes.

O Google assina um Adendo de segurança da CJIS com uma Agência de Sistemas de Segurança (CSA, na sigla em inglês) ou um Diretor de Segurança da CJIS. Você pode solicitar uma cópia ao Google ou à CSA ou CSO do seu estado.

Além disso, o Google fornece aos clientes acesso a relatórios de conformidade preparados por auditores independentes para que eles possam validar se o Google implementou controles de segurança (como NIST, ISO, SOC) apropriado para o escopo da auditoria relevante.

Os clientes podem auditar os controles de segurança do Google para verificar se eles atendem aos requisitos da política de segurança da CJIS.

Sim. Os clientes podem configurar recursos em locais dos EUA, para nossos serviços principais, e o Google armazenará os dados em repouso somente na região selecionada, de acordo com nossos Termos de Serviço Específicos.

O Google investiu em uma abordagem de segurança em camadas para a infraestrutura de nuvem pública dele, fornecendo recursos como criptografia e controles rígidos de acesso a dados de pessoal. Isso proporciona uma forte postura de segurança necessária para atender aos requisitos rigorosos da Política de segurança da CJIS, além de permitir que os clientes aproveitem as inovações contínuas de produtos da nuvem pública.

A implementação do Google dos controles mencionados acima (e muitos outros) obedece aos requisitos moderados e altos do FedRAMP e foi reconhecida pelo Conselho de autorização conjunta (JAB, na sigla em inglês).

Não. Como o Google fornece chaves de criptografia gerenciadas pelo cliente e controles de acesso aos dados da equipe que restringem o acesso às CJI, a computação confidencial não é necessária para a CJIS no Google Cloud.

No entanto, os clientes ainda podem utilizar a computação confidencial como um controle de segurança complementar sobre o ambiente seguro e restrito que o Google oferece aos clientes da CJIS.

O Google Cloud usa um FIPS 140-2 (consulte a página de conformidade com o FIPS 140-2 ) um módulo de criptografia validado chamadoBoringCrypto (certificado 3678) em nosso ambiente de produção. Isso significa que os dados em trânsito (para o cliente e entre os data centers) e os dados em repouso são criptografados por padrão usando a criptografia validada pelo FIPS 140-2.

O módulo que recebeu a Validação FIPS 140-2 (em inglês) faz parte da biblioteca do BoringSSL. Isso permite que os clientes mantenham a conformidade com o FIPS enquanto escolhem uma das várias ofertas do Cloud Key Management, como as chaves gerenciadas pelo Google, as chaves de criptografia gerenciadas pelo cliente e o gerenciamento de chaves externas. Como o Google Cloud usa esse nível de criptografia para dados em repouso e em trânsito por padrão, os clientes podem herdar a criptografia do FIPS 140-2 e eliminar o requisito de executar produtos e serviços no modo FIPS do Google Analytics.