CJI se refiere a los datos proporcionados por el CJIS del FBI necesarios para que las agencias responsables de hacer cumplir la ley puedan llevar a cabo su misión y hacer que se cumpla la ley. Se incluyen datos biométricos, del historial de identidad, de la persona, organización, propiedad y del historial de casos/incidentes. CJI también se refiere a los datos necesarios para que las agencias civiles realicen su misión, incluidos los datos que se utilizan para tomar decisiones de contratación.

Conformidad de CJIS en AWS

Cuaderno de trabajo de CJIS para AWS

Los requisitos y la política de seguridad de CJIS ("política") reflejan la responsabilidad compartida entre el CJIS del FBI, la agencia de sistemas CJIS (CSA), y los departamentos de identificación del estado (SIB) en cuanto al uso legítimo y la protección adecuada de la información de justicia criminal ("CJI"). La política proporciona un marco de referencia de requisitos de seguridad para los servicios actuales y en planificación y establece un estándar mínimo para las nuevas iniciativas. De acuerdo con la política, hacemos todo lo posible como proveedores de servicios en la nube y, mediante nuestros servicios, proporcionamos a nuestros clientes la manera de cumplir con los requisitos de CJIS en el entorno de TI de AWS.

Sí. Para satisfacer las necesidades de nuestros clientes de CJIS, la infraestructura en la nube de AWS se ha construido de forma que es uno de los entornos de cloud computing más flexibles y seguros disponibles. Los clientes pueden implementar aplicaciones, datos y servicios que cumplen con los requisitos de la política de seguridad de CJIS.

Cuaderno de trabajo sobre la política de seguridad de CJIS de AWS

Al igual que con nuestros otros marcos de conformidad, la política de CJIS utiliza un modelo de responsabilidad compartida entre AWS y nuestros clientes. Utilizar un servicio en la nube que cumple con los requisitos de seguridad de CJIS no significa automáticamente que su entorno está cubierto por la postura de seguridad de CSP. Cuando utilice AWS, deberá:

• Examinar los requisitos de la política para determinar cuáles se aplican directamente a su entorno
• Implementar soluciones (según sea necesario) para afrontar cada uno de esos requisitos
• Evaluar y auditar la solución respecto de los requisitos de control aplicables
• Enviar la documentación de CJIS a su agencia utilizando el cuaderno de trabajo de CJIS de AWS para que la examine y proporcione la autorización de CJIS formal.

Por último, hay varios aspectos clave que se deben tener en cuenta al respaldar cargas de trabajo de CJIS de clientes:

• La seguridad es una responsabilidad compartida. AWS no administra el entorno ni los datos de los clientes, por lo que usted es responsable de implementar los requisitos de la política de seguridad de CJIS aplicables en su entorno de AWS, por encima de la implementación de requisitos de seguridad en la infraestructura por parte de AWS.
• El cifrado de los datos en reposo es fundamental. AWS proporciona varios recursos “clave” para ayudarle a disponer de esta importante solución. Desde arquitectos de soluciones que estarán disponibles para ayudarle hasta nuestro documento técnico sobre el cifrado de datos en reposo, AWS se esfuerza por proporcionarle los recursos necesarios para implementar soluciones seguras.
• AWS afronta directamente los requisitos de política de seguridad de CJIS aplicables a la infraestructura de AWS. Como AWS proporciona una plataforma autoaprovisionada que los clientes administran totalmente, AWS no está sujeta directamente a la política de seguridad de CJIS. Sin embargo, estamos muy comprometidos con mantener programas de conformidad y seguridad en la nube de talla mundial para satisfacer las necesidades de nuestros clientes. AWS demuestra conformidad con los requisitos de CJIS aplicables gracias al respaldo de nuestros marcos evaluados por terceros (como FedRAMP), incorporando auditorías en el centro de datos por nuestro 3PAO con acreditación de FedRAMP.
• Dada nuestra filosofía de responsabilidad compartida, AWS proporciona un cuaderno de trabajo de política de seguridad de CJIS (en formato de plantilla de plan de seguridad del sistema) que se corresponde con los aspectos de la política de CJIS. El objetivo del cuaderno de trabajo consiste en respaldar a nuestros clientes a la hora de documentar sistemáticamente su implementación de los requisitos de CJIS, así como el enfoque de AWS en cada requisito (además de orientación acerca de la entrega del documento para su inspección y autorización). El cuaderno de trabajo está disponible para los clientes.
  
• AWS proporciona numerosas características de seguridad integradas para cargas de trabajo de CJIS, como:
  o Acceso seguro mediante AWS Identity and Access Management (IAM) con autenticación multifactor
  o Almacenamiento de datos cifrados con opciones proporcionadas por AWS o mantenidas por el cliente
  o Registro y monitorización con los registros de S3, AWS CloudTrail, Amazon CloudWatch y AWS Trusted Advisor
  o Administración de claves centralizada y controlada por el cliente con AWS CloudHSM y AWS Key Management Service (KMS)
  

A diferencia de muchos de los marcos de conformidad que AWS admite, no existe un organismo central de autorización de CJIS, conjunto de evaluadores independientes acreditados ni un enfoque de evaluación estandarizado para determinar si una solución se considera "conforme con CJIS". Dicho de otro modo, no existe ninguna solución “conforme con CJIS” que sea compatible con todas las agencias de cumplimiento de la ley.

En cambio, cada organización responsable de hacer cumplir la ley que proporciona autorizaciones de CJIS interpreta las soluciones de acuerdo con su propio estándar de aceptación de riesgos que se puede interpretar como conforme con los requisitos de CJIS. Las autorizaciones de un estado no disponen de reciprocidad con las de otro estado (ni siquiera necesariamente dentro del mismo estado). Los proveedores deben presentar las soluciones ante el oficial autorizador de cada agencia para que se inspeccionen, y posiblemente para que se incluyan las huellas dactilares duplicadas, se realicen comprobaciones de antecedentes y se cumplan con otros requisitos específicos de la jurisdicción o el estado.

Cada autorización es un acuerdo con esa organización en particular. El proceso debe repetirse a nivel local con cada agencia responsable de hacer cumplir la ley. AWS no pretende ser algo que no es, y por eso no aseguraremos la “conformidad con CJIS”. Aunque un estado o agencia en particular haya determinado que AWS dispone de conformidad con CJIS para sus propósitos, no existe ninguna certificación CJIS válida en todos los departamentos de cumplimiento de la ley.

Por supuesto. Disponemos de varias soluciones de socios, que recopilan, transfieren, administran y comparten pruebas digitales (p. ej., archivos de audio o vídeo) relacionados con interacciones de cumplimiento de la ley. Además, AWS colabora con socios que proporcionan servicios de órdenes judiciales que crean, envían para su aprobación y emiten órdenes judiciales electrónicas en diversas agencias responsables de hacer cumplir la ley de varios estados, condados y ciudades. Asimismo, AWS respalda a las agencias responsables de hacer cumplir la ley en la administración de vídeos de la policía de protestas, reuniones públicas e interacciones generales con la policía para crear transparencia en los portales públicos, lo que ayuda a generar confianza y transparencia en la ley.