Criminal Justice Information Services (CJIS)

Información general

CJIS_Logo

AWS cumple la política de seguridad de Criminal Justice Information Services (CJIS) de la Agencia Federal de Investigación (FBI) de EE.UU. Firmamos acuerdos de seguridad de CJIS con nuestros clientes, que abarcan realizar, o el permiso para realizar, las comprobaciones de antecedentes necesarias de los empleados, de acuerdo con la política de seguridad de CJIS.

AWS ha creado un cuaderno de trabajo de Criminal Justice Information Services (CJIS) y una hoja en formato de plantilla de plan de seguridad que corresponde a las áreas de la política CJIS.

Los departamentos de seguridad y los socios que administran información de la justicia penal (CJI) están usando los servicios de AWS para mejorar radicalmente el nivel de seguridad y protección de los datos de CJI. AWS cuenta con características y servicios de seguridad avanzados, como registro de actividades (AWS CloudTrail), cifrado de datos en movimiento y en reposo (cifrado del lado del servidor de S3 con la posibilidad de traer su propia clave), protección y administración de claves integral (AWS Key Management Service y CloudHSM) y administración de permisos integrada (autenticación multifactor y administración de identidad federada de IAM).

  • ¿Qué es la información de la justicia penal?

    La información de la justicia penal (CJI) se refiere a los datos que necesitan las agencias de seguridad para llevar a cabo su misión y hacer que se cumpla la ley. Se incluyen datos biométricos, del antecedente de identidad, de la persona, de la organización, de la propiedad y del antecedente de casos/incidentes. CJI también se refiere a los datos necesarios para que las agencias civiles realicen su misión, incluidos los datos que se utilizan para tomar decisiones de contratación.

  • ¿Qué es la política de seguridad de CJIS?

    La política de seguridad de CJIS ("Política") refleja la responsabilidad compartida entre los CJIS del FBI, la agencia de sistemas del CJIS (CSA) y los departamentos de identificación del Estado (SIB) en cuanto al uso legítimo y a la protección adecuada de la información de la justicia penal (CJI). La Política proporciona un marco de referencia para los requisitos de seguridad destinados a los servicios actuales y en planificación, y establece un estándar mínimo para las nuevas iniciativas. De acuerdo con la política, hacemos todo lo posible como proveedores de servicios en la nube y, mediante nuestros servicios, proporcionamos a nuestros clientes la manera de cumplir con los requisitos de CJIS en el entorno de TI de AWS.

  • ¿Se puede usar AWS para datos de CJIS?

    Sí. Para satisfacer las necesidades de los clientes con obligaciones en relación con CJIS, la infraestructura en la nube de AWS se diseñó para ser uno de los entornos de informática en la nube más flexibles y seguros disponibles. Los clientes pueden implementar aplicaciones, datos y servicios que cumplen con los requisitos de la política de seguridad de CJIS.

  • ¿Qué debo tener en cuenta al crear aplicaciones y servicios que cumplan con CJIS en AWS?

    Al igual que con nuestros otros marcos de conformidad, la política de seguridad de CJIS utiliza un modelo de responsabilidad compartida entre AWS y nuestros clientes. Si desea obtener más información, consulte la página web del modelo de responsabilidad compartida de AWS.

    Utilizar un proveedor de servicios (CSP) en la nube que cumpla los requisitos de seguridad de CJIS no significa automáticamente que su entorno está cubierto por la estrategia de seguridad del CSP. Cuando utilice AWS, deberá:

    • Examinar los requisitos de la política de seguridad de CJIS para determinar cuáles se aplican directamente a su entorno.
    • Implementar soluciones (según sea necesario) para cumplir cada uno de esos requisitos.
    • Evaluar y auditar la solución respecto de los requisitos de control aplicables.
    • Enviar la documentación de CJIS a su agencia utilizando el cuaderno de trabajo de CJIS de AWS para que la examine y proporcione la autorización de CJIS formal.

    Por último, hay varios aspectos clave que se deben tener en cuenta al respaldar cargas de trabajo de CJIS de clientes:

    • La seguridad es una responsabilidad compartida AWS no administra los datos ni el entorno del cliente, lo que significa que usted es responsable de implementar los requisitos aplicables de la política de seguridad de CJIS en su entorno de AWS. AWS únicamente administra la implementación de requisitos de seguridad en el interior de la infraestructura de AWS.
    • El cifrado de datos en reposo es fundamental. AWS suministra varios recursos para ayudarlo a lograr esta importante solución, incluido personal de Solutions Architect disponible para asistirlo y nuestro documento técnico Cifrado de datos en reposo .
    • AWS aborda directamente los requisitos de la política de seguridad de CJIS aplicables a la infraestructura de AWS. AWS proporciona una plataforma autoaprovisionada que los clientes administran en su totalidad, por lo que AWS no está sujeta directamente a la política de seguridad de CJIS. Sin embargo, estamos absolutamente comprometidos con mantener programas de conformidad y seguridad en la nube de nivel internacional para satisfacer las necesidades de nuestros clientes. AWS demuestra conformidad con los requisitos de CJIS aplicables con nuestros marcos evaluados por terceros, como FedRAMP, que incluye auditorías en el centro de datos local a cargo de nuestra organización de evaluación externa (3PAO) con acreditación de FedRAMP.
    • En consonancia con nuestro modelo de responsabilidad compartida, AWS proporciona un cuaderno de trabajo de política de seguridad de CJIS (en formato de plantilla de plan de seguridad del sistema) que se corresponde con las áreas de la política de CJIS. El cuaderno de trabajo ayuda a los clientes a documentar sistemáticamente la implementación de los requisitos de CJIS junto a la estrategia de AWS en cada requisito (además de orientación acerca del envío del documento para su inspección y autorización). Consulte el Cuaderno de trabajo de Criminal Justice Information Services (CJIS) y la hoja.
    • AWS proporciona numerosas características de seguridad integradas para cargas de trabajo de CJIS, como:
  • ¿Cómo se determina la conformidad con CJIS?

    No existe un organismo central de autorización de CJIS, un conjunto de evaluadores independientes acreditados ni una estrategia de evaluación estandarizada para determinar si una solución específica puede considerarse en conformidad con CJIS. No existe ninguna solución en conformidad con CJIS estandarizada que funcione para todas las agencias de seguridad. En cambio, cada organización de seguridad que proporciona autorizaciones de CJIS interpreta las soluciones de acuerdo con su propio estándar de lo que considera estar en conformidad con los requisitos de CJIS. Las autorizaciones de un estado no disponen de reciprocidad con las de otro estado (ni siquiera necesariamente dentro del mismo estado). Los proveedores deben presentar las soluciones ante el oficial autorizador de cada agencia para que se inspeccionen, y posiblemente para que se incluyan las huellas dactilares duplicadas, se realicen comprobaciones de antecedentes y se cumplan otros requisitos específicos de la jurisdicción o el estado.

    Cada autorización es un acuerdo con esa organización en particular. El proceso debe repetirse a nivel local con cada agencia de seguridad. AWS no afirmará ser algo que no es y por eso no aseguraremos estar en conformidad con CJIS. Aunque un estado o una agencia en particular haya determinado que AWS dispone de conformidad con CJIS para sus propósitos, no existe ninguna certificación para CJIS válida en todos los departamentos de seguridad.

  • ¿Existen clientes que utilizan AWS para datos de CJIS?

    Sí. Por ejemplo, disponemos de varias soluciones de socios que recopilan, transfieren, administran y comparten pruebas digitales (p. ej., archivos de audio o video) relacionadas con interacciones de cumplimiento de la ley. Además, AWS colabora con socios que proporcionan servicios de órdenes judiciales que crean, envían para su aprobación y emiten órdenes judiciales electrónicas en diversas agencias responsables de seguridad de varios estados, condados y ciudades. Asimismo, AWS respalda a las agencias de seguridad en la administración de videos de la policía de protestas, reuniones públicas e interacciones generales con la policía para crear transparencia en los portales públicos, lo que ayuda a generar confianza y transparencia en el cumplimiento de la ley.

compliance-contactus-icon
¿Tiene preguntas? Entre en contacto con un representante del área de conformidad de AWS
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »