刑事司法資訊服務 (CJIS)

Access Context Manager

PostgreSQL 適用的 AlloyDB

Apigee

Artifact Registry

BigQuery

憑證授權單位服務

Cloud Build

Cloud Composer

Cloud Data Fusion

Cloud DNS

Cloud External Key Manager (Cloud EKM)

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Key Management Service

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (網路位址轉譯)

Cloud Router

Cloud Run

Cloud SQL

Cloud Storage

Cloud Vision API

Cloud VPN

Compute Engine

Connect

Dataflow

Dataproc

Filestore

Firestore

GKE Hub

GKE 身分識別服務

Google 管理控制台

Google Kubernetes Engine

Identity and Access Management

Identity-Aware Proxy

Memorystore for Redis

Network Connectivity Center

Persistent Disk

Pub/Sub

Resource Manager

Secret Manager

Sensitive Data Protection

Service Mesh

Spanner

Speech-to-Text

Text-to-Speech

Vertex AI Search

Vertex AI Workbench

虛擬私有雲

VPC Service Controls

日曆

文件

雲端硬碟

表單

Gmail

Google Chat

Google Meet

新版協作平台

試算表

簡報

獨立第三方評估機構最近評估 Google Cloud 的 CJIS 安全控管機制後，發現 Google Cloud 能成功地讓機構符合 CJIS 法規。Google 預定在《CJIS 安全性政策》v6.0 發布後，再重新接受這項評估。

如果客戶或州級 CJIS 系統局 (CSA) 提出要求，Google Cloud 就會執行《管理協議》，向客戶詳細說明 Google Cloud 如何協助組織遵守《CJIS 安全性政策》規定、各方的責任、涵蓋的雲端服務，以及許多其他重要條款。如要索取《Google Cloud CJIS 管理協議》的副本，請傳送電子郵件至 cjis@google.com。

Google Cloud 法規遵循團隊也能提供詳細的法規遵循資訊，說明 Google Cloud 如何達到雲端服務供應商適用的 CJISSECPOL 規定。

可以，Google Cloud 能讓客戶透過 Assured Workloads 和安全控管，將 CJIS 工作負載的資料位置設為僅限美國區域。Google 會依據《服務專屬條款》儲存您的靜態資料。

在 Google 員工可能在無人陪同下存取未加密 CJI 的州，Google 會與CSA (或地方機關) 合作，確保可能在無人陪同下存取該州未加密 CJI 的人員接受以指紋為基礎的 FBI 背景調查。符合資格的 Google 人員會將 FD-258 指紋卡及任何必要文件提交給各 CSA。

此流程可確保獲得授權的人員只有在完成背景調查和 CJIS 安全意識訓練後，才會授予無人陪同的存取權。

Google 在服務和營運的核心環節中導入零信任模式，因此系統不會假設在 Google 基礎架構上運作的服務之間有任何信任關係。換句話說，系統會將所有資源存取要求都視為來自於不受信任的網路，然後加以檢查、驗證及確認。

Google Cloud 中的客戶環境也會以邏輯性的方式加以區隔，防止使用者和客戶存取未指派給他們的資源。客戶資料 (包括 CJI) 會依網域套用邏輯區隔，讓系統能針對單一租戶產生資料。Google Cloud 不僅能以這種方式保護客戶資料，還能加快功能開發速度，並為客戶帶來成本效益，是政府客戶的絕佳選擇。

最後，所有客戶傳輸中的資料都會加密，而且根據預設，所有客戶的靜態資料也都會加密。這可確保多租戶雲端架構中有多層防禦機制，並為所有客戶提供嚴密的隔離措施。

Google 提供客戶自行管理的加密金鑰和人員資料存取權控管功能，藉此限制 CJI 存取權，因此對 Google Cloud 中的 CJIS 來說，並不需要使用機密運算。不過，客戶還是可以使用機密運算在 Google 為 CJIS 客戶提供的安全受限制環境中，做為補充安全性控管機制。

是，Google Cloud 在正式環境中使用通過 FIPS 140-3 驗證的加密模組，名為 BoringCrypto (認證編號 4735)。也就是說，系統預設會以通過 FIPS 140-3 驗證的加密技術，為傳輸中的資料 (無論是傳輸至用戶端或在資料中心之間傳輸) 和靜態資料加密。

客戶可以透過各種 Cloud Key Management 服務 (例如 Google 代管的金鑰、客戶自行管理的加密金鑰與外部金鑰管理) 持續符合 FIPS 的規範。由於 Google Cloud 預設會對靜態資料和傳輸中的資料套用這層加密機制，因此客戶可以沿用 FIPS 140-3 加密，不必在 FIPS 模式下執行產品和服務。

CJIS 安全性政策並未規定必須使用政府雲端 (簡稱「GovCloud」)，且並無通用的定義或標準來界定 GovCloud 的構成要素。Google Cloud 能協助機構符合 CJIS 安全性政策的 CJIS 規定，並已向獨立第三方評估機構和多個州級 CJIS 證明我們符合相關規定。 

Google 投資了其公有雲基礎架構的分層式安全防護機制，提供加密功能和強大的人員資料存取權控管等功能。這項措施再加上先前提到的採用零信任機制，就能提供符合 CJIS 安全性政策嚴格規定所需的強大安全防護機制，同時讓客戶得以利用公有雲的持續產品創新。

Google 實作上述控管機制 (以及許多其他控管機制) 均符合 FedRAMP 中等風險和 FedRAMP 高等風險規範，並已獲得聯合授權委員會 (JAB) 認可。

美國行政管理與預算局 (OMB) 的 M-24-15 備忘錄 (「翻新聯邦風險與授權管理計畫 (FedRAMP)」) 中建議聯邦機構擺脫獨立不相通的 GovCloud 架構，由此可見我們的做法是正確的：

「FedRAMP 不應鼓勵或要求商業雲端服務供應商打造獨立的專屬產品/服務供聯邦政府使用，無論是透過聯邦安全架構或其他計畫作業的應用管道，都是如此。商業雲端服務供應商為了在市場上獲致成功，會在核心產品上投入資源、確保一切安全無虞並快速開發功能，而聯邦政府也能從中受惠。同樣地，商業服務供應商也能透過與 FedRAMP 的互動找出更完善的安全防護做法，然後將這些做法整合至核心服務，為所有客戶創造效益。」

Google Cloud 小組相信唯有資訊公開化才能建立使用者的信賴，因此我們希望在與您合作保護及管理您的雲端資料之前，能夠向您說明我們的承諾和服務。

使用 Google Workspace 或 Google Cloud 時：

1. 您是自己資料的擁有者，而非 Google
2. Google 不會向第三方販售客戶資料
3. Google Cloud 不會將客戶資料用於廣告目的
4. 根據預設，所有客戶資料皆會經過加密處理
5. 我們會防止公司內部人員存取您的資料
6. 我們不會允許任何政府實體「走後門」，讓他們存取您的資料
7. 我們的隱私權實務規範接受國際標準稽核

如要進一步瞭解我們對於資料處理所做的承諾，請參閱《Cloud 資料處理附加條款》(CDPA)。