Les informations de justice pénale (CJI) font référence aux données fournies par les services CJIS du FBI et qui sont nécessaires à l'accomplissement de la mission des organismes chargés de l'application de la loi. Ces informations comprennent les données biométriques, l'historique des identités, les données concernant les personnes, les données relatives aux organisations, les informations sur les biens et l'historique des cas/incidents. Ces informations se rapportent également aux données nécessaires à l'accomplissement de la mission des agences civiles. C'est le cas, par exemple, des données utilisées lors de la prise de décisions de recrutement.

CJIS Compliance on AWS

CJIS Workbook for AWS

La politique et les exigences de sécurité CJIS (la « politique ») reflètent la responsabilité partagée entre la division CJIS du FBI, la CJIS Systems Agency (CSA) et les State Identification Bureau (SIB) de l'utilisation légale et de la protection appropriée des informations de justice pénale (« CJI »). La politique définit des exigences de sécurité de base pour les services actuels et planifiés, et établit une norme minimale pour les nouvelles initiatives. En accord avec la politique, nous jouons notre rôle de fournisseur de services de cloud et donnons à nos clients les moyens, grâce à nos services, de respecter les exigences CJIS pour l'environnement informatique dans AWS.

Oui. Pour répondre aux besoins des clients du CJIS, l'architecture de l'infrastructure du cloud AWS a été conçue pour offrir l'un des environnements de cloud computing les plus flexibles et sécurisés. Les clients peuvent déployer des applications, des données et des services, tout en respectant les exigences de la politique de sécurité CJIS.

Manuel « AWS CJIS Security Policy »

A l'instar de nos autres cadres de conformité, la politique CJIS s'appuie sur une responsabilité partagée entre AWS et nos clients. L'utilisation d'un service de cloud conforme aux exigences de sécurité CJIS ne signifie pas nécessairement que votre environnement est couvert par le statut de sécurité du CSP. Lorsque vous utilisez AWS, vous devez tout de même :

• examiner les exigences de la politique pour déterminer celles qui s'appliquent directement à votre environnement ;
• mettre en œuvre des solutions (si nécessaire) pour répondre à chacune de ces exigences ;
• évaluer et contrôler la solution par rapport aux exigences de contrôle applicables ;
• soumettre votre documentation CJIS au client en vous reportant au manuel CJIS d'AWS à des fins d'examen et dans le but d'obtenir l'autorisation officielle du CJIS.

Enfin, voici quelques points clés à retenir lors du soutien de charges de travail CJIS de client :

• La sécurité est une responsabilité partagée – étant donné qu'AWS ne gère pas l'environnement ou les données du client, vous êtes responsable de la mise en œuvre des exigences applicables de la politique de sécurité CJIS dans votre environnement AWS, au-delà de la mise en œuvre des exigences de sécurité par AWS au sein de l'infrastructure.
• Le chiffrement des données au repos est essentiel – AWS met plusieurs ressources « clés » à votre disposition pour vous aider à obtenir cette solution importante. Des architectes de solution à votre disposition au livre blanc sur le chiffrement des données au repos Encrypting Data at Rest Whitepaper, AWS s'efforce de vous fournir les ressources dont vous avez besoin pour mettre en œuvre des solutions sécurisées.
• AWS répond directement aux exigences de la politique de sécurité CJIS applicables à l'infrastructure AWS. Etant donné qu'AWS fournit une plate-forme à dimensionnement automatique, entièrement gérée par les clients, la solution n'est pas directement soumise à la politique de sécurité CJIS. Cependant, nous sommes fermement résolus à maintenir des programmes de haut niveau en matière de sécurité et de conformité dans le cloud pour répondre aux besoins de nos clients. AWS démontre sa conformité aux exigences CJIS applicables, avec le soutien de nos cadres évalués par des tiers (par exemple, FedRAMP), en incorporant les audits de centre de données sur site réalisés par notre organisme d'évaluation tiers (3PAO) accrédité par FedRAMP.
• Dans l'esprit d'une philosophie de responsabilité partagée, AWS fournit le manuel « CJIS Security Policy » (dans un template de programme de sécurité du système) conforme aux domaines de politique CJIS. Ce manuel vise à aider les clients à documenter systématiquement leur mise en œuvre des exigences CJIS, ainsi que l'approche d'AWS concernant chaque exigence (et des recommandations sur la soumission du document à des fins d'examen et d'autorisation). Ce manuel est mis à la disposition des clients.
  
• AWS fournit plusieurs fonctionnalités de sécurité intégrée pour soutenir les charges de travail CJIS, notamment :
  o accès sécurisé à l'aide d'AWS Identity and Access Management (IAM) avec l'authentification multi-facteurs ;
  o stockage de données chiffrées avec les options fournies par AWS ou celles conservées par le client ;
  o journalisation et supervision avec la journalisation S3, AWS CloudTrail, Amazon CloudWatch et AWS Trusted Advisor ;
  o gestion centralisée des clés contrôlées par le client avec AWS CloudHSM et AWS Key Management Service (KMS).
  

Contrairement à nombre de cadres de conformité pris en charge par AWS, il n'existe aucun organisme d'autorisation CJIS central, aucun groupe d'experts indépendants accrédités, ni aucune approche d'évaluation normalisée pour déterminer si une solution particulière est considérée comme « conforme aux exigences CJIS ». En d'autres termes, il n'existe aucune solution normalisée « conforme aux exigences CJIS » qui fonctionne pour tous les organismes chargés de l'application de la loi.

Au lieu de cela, chaque organisme chargé de l'application de la loi accordant des autorisations CJIS interprète les solutions en fonction de sa propre norme d'acceptation des risques pour déterminer ce qui peut être considéré comme étant conforme aux exigences CJIS. Les autorisations délivrées par un état ne sont pas réciproques dans un autre état (voire pas nécessairement dans le même état) ; les fournisseurs doivent soumettre des solutions pour examen au(x) représentant(s) autorisé(s) de chaque organisme, éventuellement pour inclure une empreinte digitale en double, des vérifications d'antécédents et d'autres exigences spécifiques à un état ou une juridiction.

Chaque autorisation est un contrat conclu avec cette organisation particulière ; une démarche qui doit être répétée localement auprès de chaque organisme chargé de l'application de la loi. Chez AWS, nous ne prétendons pas être ce que nous ne sommes pas. C'est pourquoi nous ne ferons aucune déclaration générale au sujet de notre conformité aux exigences CJIS. Bien qu'un état ou un organisme ait pu déterminer qu'AWS est conforme aux exigences CJIS pour ses propres besoins, aucune certification CJIS ne s'applique à tous les services chargés de l'application de la loi.

Bien entendu. Plusieurs de nos solutions partenaires recueillent, transfèrent, gèrent et partagent des preuves numériques (par ex., des vidéos et des fichiers audio) liées à des interactions avec les organismes chargés de l'application de la loi. AWS collabore également avec des partenaires proposant des services de mandat électronique qui créent, transmettent pour approbation et délivrent des mandats par voie électronique pour plusieurs organismes dépendant d'un état, d'un comté ou d'une localité. De plus, AWS aide les organismes chargés de l'application de la loi à gérer les vidéos de police liées à des manifestations, des assemblées publiques et des interactions générales avec les forces de l'ordre afin d'assurer la transparence via des portails publics, contribuant ainsi à l'établissement d'un climat de confiance et de transparence dans l'application de la loi.