Divisão de Serviços de Informações da Justiça Criminal (CJIS, na sigla em inglês) dos EUA

A Divisão de Serviços de Informações da Justiça Criminal (CJIS, na sigla em inglês) do Departamento Federal de Investigação (FBI, na sigla em inglês) dos EUA fornece aos órgãos federais, estaduais, locais e tribais instruções sobre como proteger as informações da justiça criminal (CJI) ao usar provedores de serviços em nuvem (CSPs, na sigla em inglês), como o Google Cloud.

Os clientes do Google Cloud podem usar o Assured Workloads para Google Cloud e o Assured Controls para Google Workspace para garantir conformidade com a versão 5.9.5 da política de segurança da CJIS.

Introdução ao CJIS

A Divisão de CJIS do FBI supervisiona vários bancos de dados nacionais que são usados pelas Agências de justiça criminal (CJA, na sigla em inglês) em todo o país. Muitos dos dados mantidos nesses bancos de dados são considerados Informações de justiça criminal (CJI, na sigla em inglês) e estão sujeitos a proteção contra uso e divulgação não autorizados. A Política de Segurança do CJIS (CJISSECPOL), publicada pela Divisão de CJIS do FBI, fornece o conjunto mínimo de requisitos de segurança para proteger e salvaguardar a CJI.

O FBI também fornece um documento complementar de requisitos que destaca as mudanças recentes na Política de segurança do CJIS e ajuda a identificar papéis e responsabilidades de segurança para entidades que acessam a CJI. Embora o CJA que acessa CJI seja sempre responsável por garantir a conformidade com a CJIS, o documento complementar de requisitos orienta o CJA a determinar quem (por exemplo, Divisão de CJIS do FBI, CJA, provedor de serviços etc.) tem a capacidade técnica para garantir que um requisito específico seja atendido. 

Os clientes do Google Cloud Platform e do Google Workspace podem usar o Assured Workloads e o Assured Controls para garantir conformidade com a versão 5.9.5 da Política de segurança da CJIS. Recentemente, uma organização de avaliação independente avaliou os controles de segurança do Google Cloud para CJIS e concluiu que o Google Cloud permite conformidade com o CJIS. Outras informações de compliance também podem ser fornecidas mediante solicitação para demonstrar como o Google Cloud atende aos requisitos da CJISSECPOL aplicáveis aos provedores de serviços de nuvem. 

O Google Cloud também participa de reuniões do Conselho consultivo de políticas da CJIS e analisa novas versões da política de segurança da CJIS e do documento complementar de requisitos para garantir que nossas políticas e procedimentos estejam em conformidade com as mudanças.

Como hospedar cargas de trabalho CJIS no Google Cloud Platform

O Assured Workloads para CJIS permite que os clientes atinjam a conformidade com a política de segurança da CJIS. O Assured Workloads para a plataforma Google Cloud é a nuvem regulatória do Google Cloud e permite a conformidade com frameworks como CJIS, FedRAMP High e Departamento de Defesa IL2/IL4/IL5.

O Assured Workloads usa uma abordagem de confiança zero e baseada em software para compliance regulatório. Ele permite que os clientes atendam aos requisitos rigorosos de conformidade com a nuvem do governo, além de oferecer os benefícios de desempenho, escalonabilidade, disponibilidade de serviço, custo e confiabilidade que os clientes perdem ao usar arquiteturas de nuvem fisicamente separadas.

O Assured Workloads simplifica a segurança e a conformidade para as forças policiais estaduais, locais, tribais e federais (e quaisquer outros usuários de CJI de justiça criminal ou não criminal) ao:

  • Definir controles de localização de dados para restringir cargas de trabalho do CJIS a regiões apenas dos EUA (residência de dados)
  • Implementar controles de acesso e segurança de pessoal para restringir o acesso sem escolta a CJI não criptografada a pessoas localizadas nos EUA que tenham concluído investigações de histórico criminal pelo FBI
  • Ativar o uso de chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês), hospedadas no Google Cloud ou usando um gerenciador de chaves externo
  • Permitir que os clientes tenham controle e visibilidade sobre o acesso administrativo
  • Monitoramento contínuo dos ambientes dos clientes para detectar violações de compliance

Como hospedar cargas de trabalho do CJIS no Google Workspace

O Assured Controls para o Google Workspace permite que as organizações atendam a requisitos organizacionais e de compliance, seja limitando o acesso da equipe do Google aos dados do cliente ou garantindo que o local dos dados do cliente seja restrito aos Estados Unidos.

Os clientes que querem implantar soluções da CJIS usando o Google Workspace podem usar o Assured Controls para definir as políticas de acordo com a política de segurança da empresa. Veja um guia de configuração para as soluções CJIS no Google Workspace neste link.

Serviços do Google Cloud que cumprem os requisitos da Lei HIPAA

Perguntas frequentes

Recentemente, uma organização de avaliação independente avaliou os controles de segurança do Google Cloud para CJIS e concluiu que o Google Cloud permite conformidade com o CJIS. O Google planeja atualizar essa avaliação assim que a versão 6.0 da Política de segurança da CJIS for publicada. 

Se solicitado por um cliente ou pela Agência de sistemas (CSA, na sigla em inglês) do CJIS, o Google Cloud assinará um contrato de gerenciamento que fornece aos clientes informações detalhadas sobre como o Google Cloud permite a conformidade com a política de segurança da CJIS, as responsabilidades de cada parte, quais serviços de nuvem são cobertos e muitas outras disposições importantes. É possível solicitar uma cópia do Contrato de gerenciamento do Google Cloud com CJIS enviando um e-mail para cjis@google.com.

A equipe de compliance do Google Cloud também pode fornecer narrativas detalhadas de compliance que demonstram como o Google Cloud atende aos requisitos da CJISSECPOL aplicáveis aos provedores de serviços de nuvem.

Sim. O Google Cloud permite que os clientes restrinjam as cargas de trabalho do CJIS a regiões apenas dos EUA usando o Assured Workloads e o Assured Controls. O Google vai armazenar seus dados em repouso de acordo com os Termos de serviço específicos.

Nos estados em que os funcionários do Google podem ter acesso sem escolta a CJI não criptografada, o Google trabalha com a CSA (ou uma agência local) para garantir que os funcionários que podem ter acesso sem escolta a CJI não criptografada de um estado passem por verificações de antecedentes criminais com base em impressões digitais do FBI. Os funcionários qualificados do Google enviarão cartões de impressão digital FD-258, junto com a documentação necessária, para cada CSA.

Esse processo garante que o pessoal autorizado só tenha acesso sem acompanhamento depois de concluir a investigação de histórico para contratação e o treinamento de conscientização de segurança da CJIS.

O Google implementou a confiança zero no núcleo dos nossos serviços e operações. Nossa infraestrutura não pressupõe confiança entre os serviços em execução nela. Em outras palavras, cada solicitação de acesso a recursos é inspecionada, autenticada e verificada como se viesse de uma rede não confiável.

Os ambientes do cliente no Google Cloud também são segregados logicamente para impedir que usuários e clientes acessem recursos não atribuídos a eles. Os dados do cliente (incluindo CJI) são separados logicamente por domínio para permitir a produção de dados para um único locatário. A capacidade do Google Cloud de proteger os dados do cliente dessa maneira, além de permitir o desenvolvimento mais rápido de recursos e benefícios de custo para o cliente, faz dele a melhor escolha para clientes do governo. 

Por fim, todos os dados do cliente em trânsito e em repouso são criptografados por padrão para TODOS os clientes. Isso garante que haja várias camadas de defesa em uma arquitetura de nuvem multilocatário e oferece isolamento forte para todos os clientes.

Não. Como o Google fornece chaves de criptografia gerenciadas pelo cliente e controles de acesso aos dados da equipe que restringem o acesso a CJI, a computação confidencial não é necessária para a CJIS no Google Cloud. No entanto, os clientes ainda podem utilizar a Computação confidencial como um controle de segurança complementar sobre o ambiente seguro e restrito que o Google oferece aos clientes da CJIS.

Sim. O Google Cloud usa um módulo de criptografia com validação FIPS 140-3 chamado BoringCrypto (certificado 4735) no ambiente de produção. Isso significa que os dados em trânsito (para o cliente e entre os data centers) e os dados em repouso são criptografados por padrão usando a criptografia validada pelo FIPS 140-3. 

Isso permite que os clientes mantenham a conformidade com o FIPS enquanto escolhem uma das várias ofertas do Cloud Key Management, como as chaves gerenciadas pelo Google, as chaves de criptografia gerenciadas pelo cliente e o gerenciamento de chaves externas. Como o Google Cloud usa esse nível de criptografia para dados em repouso e em trânsito por padrão, os clientes podem herdar a criptografia do FIPS 140-3 e eliminar o requisito de executar produtos e serviços no modo FIPS.

A política de segurança do CJIS não exige o uso de uma Nuvem de governo (GovCloud), e não há uma definição ou padrão universal sobre o que constitui uma GovCloud. O Google Cloud pode garantir a conformidade com a política de segurança da CJIS e já demonstrou isso para uma organização de avaliação independente e várias CSAs estaduais. 

O Google investiu em uma abordagem de segurança em camadas para sua infraestrutura de nuvem pública, fornecendo recursos como criptografia e controles rígidos de acesso a dados de pessoal. Isso, junto com a implementação de confiança zero descrita acima, proporciona uma postura de segurança forte necessária para atender aos requisitos rigorosos da Política de segurança da CJIS, além de permitir que os clientes aproveitem as inovações contínuas de produtos da nuvem pública.

A implementação do Google dos controles mencionados acima (e muitos outros) obedece aos requisitos moderados e altos do FedRAMP e foi reconhecida pelo Conselho de autorização conjunta (JAB, na sigla em inglês). 

Nossa abordagem é validada no memorando M-24-15 ("Modernizing the Federal Risk and Authorization Management Program (FedRAMP)") do Escritório de Gestão e Orçamento (OMB, na sigla em inglês), que recomenda que as agências federais deixem de usar arquiteturas isoladas de GovCloud:

"O FedRAMP não deve incentivar nem exigir que provedores de nuvem comerciais criem ofertas separadas e dedicadas para uso federal, seja pela aplicação de estruturas de segurança federais ou por outras operações do programa. O governo federal se beneficia do investimento, da manutenção de segurança e do rápido desenvolvimento de recursos que os provedores de nuvem comerciais oferecem aos produtos principais para ter sucesso no mercado. Os provedores comerciais também são incentivados a integrar práticas de segurança aprimoradas que surgem do engajamento com o FedRAMP aos serviços principais, beneficiando todos os clientes.”

No Google Cloud, acreditamos que a confiança é criada por meio da transparência, por isso, queremos ser transparentes sobre nossos compromissos e o que você pode esperar quando se trata da nossa responsabilidade em comum de proteger e gerenciar seus dados na nuvem.

Quando você usa o Google Workspace ou o Google Cloud:

  1. Os dados são seus, não do Google.
  2. O Google não vende os dados do cliente a terceiros
  3. O Google Cloud não usa dados do cliente para publicidade
  4. Todos os dados dos clientes são criptografados por padrão
  5. Oferecemos proteção contra o acesso interno aos seus dados
  6. Nunca concedemos acesso "backdoor" a qualquer entidade governamental
  7. Nossas práticas de privacidade são auditadas com base em padrões internacionais

Consulte o Adendo sobre processamento de dados do Cloud (CDPA) para mais detalhes sobre nossos compromissos com o processamento de dados.

Vá além

Comece a criar no Google Cloud com US$ 300 em créditos e mais de 20 produtos do programa Sempre gratuito.

Comece a usar gratuitamente
Google Cloud
DocumentosSuporte
Console
Fazer login
Security
InícioDados e experiênciaSecOpsSegurança na nuvemRecursos de segurança
Assistência na resposta a incidentes
Entre em contato com nossa equipe
  • Acelere sua transformação digital
  • Seja no início da jornada ou já a caminho da transformação digital, o Google Cloud pode ajudar a superar os desafios mais difíceis.
  • Produtos do Google Cloud
  • Acesse mais de 100 produtos. Clientes novos ganham US$ 300,00 em créditos para executar, testar e implantar cargas de trabalho. Todos os clientes podem usar mais de 25 produtos gratuitamente até alcançarem os limites de uso mensais.
  • Economize com nossa abordagem de preços transparente
  • Os preços de pagamento por utilização do Google Cloud oferecem economia automática com base no uso mensal e preços com desconto para recursos pré-pagos. Entre em contato hoje mesmo para receber uma cotação.
Google Cloud