Criminal Justice Information Services (CJIS)

Panoramica

CJIS_Logo

I servizi AWS supportano i requisiti CJIS dei clienti affrontando i settori della CJIS Security Policy. Le infrastrutture e i servizi di AWS sono stati esaminati dalle autorità di polizia e giudiziarie statali e federali, che confermano la competenza di AWS nel sostenere i carichi di lavoro CJIS dei clienti.

Molti clienti che gestiscono dati sensibili, tra cui le autorità di polizia e giudiziarie, le istituzioni finanziarie e le organizzazioni sanitarie, si sentono a proprio agio nel distribuire carichi di lavoro su AWS GovCloud (US), in quanto la regione è esplicitamente progettata per soddisfare le esigenze di conformità specifiche associate ai carichi di lavoro sensibili. Oltre ai programmi di controllo disponibili per tutte le regioni commerciali, AWS GovCloud (US) consente ai clienti a livello statale, locale e federale di aderire ai livelli di impatto 2, 4 e 5 di ITAR, FedRamp/FISMA High e DoD SRG.

I clienti appartenenti alle forze dell'ordine (e i partner che gestiscono le informazioni sulla giustizia penale) stanno sfruttando i servizi AWS per migliorare notevolmente la sicurezza e la protezione dei dati CJI, utilizzando i servizi di sicurezza avanzati e le funzionalità di AWS, come ad esempio:

  • Registrazione delle attività (AWS CloudTrail).
  • Crittografia dei dati in movimento e a riposo (crittografia lato server di Amazon S3 con possibilità di portare la propria chiave)
  • Gestione e protezione complete delle chiavi (AWS Key Management Service e CloudHSM).
  • Gestione integrata delle autorizzazioni (gestione delle identità federate IAM, autenticazione a più fattori).
  • Cos'è la Criminal Justice Information?

    Con l'acronimo CJI (Criminal Justice Information) si fa riferimento ai dati forniti dai servizi informativi dell'FBI necessari alle autorità di polizia e giudiziarie per assicurare il rispetto della legge. Tra questi vi sono dati biometrici, cronologia dell'identità, informazioni su persone, organizzazioni, proprietà e dati storici giudiziari. Il CJI attinge inoltre ai dati necessari alle autorità civili per svolgere i loro compiti come, ad esempio, le informazioni utilizzate per le assunzioni.

  • Cos'è la CJIS Security Policy?

    La CJIS Security Policy ("Policy") riflette la responsabilità condivisa tra i CJIS dell'FBI, la CSA (CJIS Systems Agency) e i SIB (State Identification Bureaus) dell'uso legale e della protezione consona del Criminal Justice Information (CJI). La Policy fornisce una linea guida dei requisiti di sicurezza per servizi pianificati e correnti e stabilisce uno standard minimo per le nuove iniziative. In linea con la policy, svolgiamo il nostro ruolo come fornitore di servizi cloud e, attraverso i nostri servizi, forniamo ai nostri clienti i mezzi per soddisfare i requisiti CJIS relativi all'ambiente IT in AWS.

  • AWS può essere usato per i dati CJIS?

    Sì. Per soddisfare le esigenze dei clienti CJIS, l'infrastruttura cloud AWS è stata progettata per essere uno degli ambienti di cloud computing più flessibili e sicuri a disposizione. I clienti possono distribuire applicazioni, dati e servizi che soddisfano tutti in modo sicuro i requisiti della CJIS Security Policy. 

  • Di cosa devo tener conto quando costruisco applicazioni e servizi conformi allo standard CJIS su AWS?

    Analogamente agli altri framework di conformità, la CJIS Security Policy utilizza una responsabilità condivisa tra AWS e i suoi clienti. Per ulteriori informazioni, consulta lapagina web del Modello di responsabilità condivisedi AWS.

    L'uso di un fornitore di un servizio cloud (CSP) in linea con i requisiti di sicurezza CJIS non vuol dire di per sé che il tuo ambiente è coperto dalla protezione del fornitore dei servizi. Quando utilizzi AWS devi in ogni caso:

    • Controllare i requisiti della CJIS Security Policy allo scopo di determinare quali sono direttamente applicabili all'ambiente a disposizione.
    • Implementare le soluzioni (ove necessario) per soddisfare ciascuno dei requisiti.
    • Valutare e revisionare la soluzione rispetto ai requisiti di controllo applicabili.
    • Inviare la tua documentazione CJIS usando la guida pratica CJIS di AWS per la tua agenzia cliente, per la revisione e l'autorizzazione formale CJIS.

    Infine, vi sono alcuni punti chiave nel sostegno dei carichi di lavoro CJIS dei clienti:

    • La sicurezza è unaresponsabilità condivisae AWS non gestisce l'ambiente o i dati del cliente; il che significa che si è responsabili dell'implementazione dei requisiti della CJIS Security Policy applicabili nell'ambiente AWS. AWS gestisce esclusivamente l'implementazione dei requisiti di sicurezza all'interno dell'infrastruttura AWS.
    • La crittografia dei dati a riposo è fondamentale. AWS fornisce diverse risorse per aiutare a raggiungere una soluzione che si distingua, compreso il personale di Solutions Architect disponibile per aiutarti, e il whitepaperDati crittografati a riposo.
    • AWS soddisfa i requisiti attinenti alla CJIS Security Policy applicabili all'infrastruttura di AWS. Dal momento che AWS fornisce una piattaforma autoprovvista completamente gestibile dal cliente, essa è indirettamente soggetta alla CJIS Security Policy. Tuttavia, ci impegniamo a mantenere una sicurezza dei cloud e dei programmi di conformità di primo livello a supporto delle esigenze dei nostri clienti. AWS mostra la conformità ai requisiti applicabili del CJIS sostenuti dai framework valutati da terze parti, quale lFedRAMP, che prevede audit dei data center in loco eseguiti da FedRAMP, entità di controllo di terze parti accreditata (3PAO).
    • Nello spirito di una filosofia di responsabilità condivisa, AWS fornisce una guida pratica della CJIS Security Policy (in un modello di piano di sicurezza del sistema) che copre le aree della CJIS Security Policy. Tale guida pratica è pensata come supporto ai clienti nella documentazione sistematica dell'implementazione dei requisiti CJIS insieme all'approccio AWS a ciascun requisito (insieme alle linee guida sull'invio di documenti per la revisione e l'autorizzazione). Consulta laguida pratica del Criminal Justice Information Services (CJIS)eil tabulato.
    • AWS fornisce funzioni di sicurezza multiple a supporto dei carichi di lavoro CJIS quali:
  • Come si determina la conformità allo standard CJIS?

    Diversamente da molti dei supporti framework di conformità di AWS, non sono presenti organi di autorizzazione CJIS centrali, gruppi accreditati di valutatori indipendenti né un approccio di valutazione standardizzato per determinare se una particolare soluzione può essere considerata conforme a CJIS. Non esiste una soluzione standardizzata CJIS che funzioni contuttele autorità di polizia e giudiziarie. Al contrario, ciascuna autorità di polizia e giudiziaria che concede autorizzazioni CJIS interpreta le soluzioni secondo il proprio standard di accettazione dei rischi di ciò che può essere interpretato come conforme ai requisiti CJIS. Le autorizzazioni da parte di uno stato non trovano reciprocità all'interno di un altro stato (e a volte nemmeno all'interno dello stato stesso); i provider devono fornire soluzioni per la revisione a ciascun funzionario autorizzato, al fine di includere il duplicato delle impronte digitali e i controlli di background e tutti gli altri requisiti specifici dello stato o della giurisdizione.

    Ciascuna autorizzazione rappresenta un accordo con quella organizzazione in particolare e una procedura che deve essere ripetuta a livello locale per ciascuna autorità di polizia e giudiziaria. AWS non dichiarerà di essere ciò che non è: per questo motivo non rilascerà lunghe dichiarazioni sulla propria conformità CJIS. Sebbene un dato stato o autorità possa aver determinato la conformità di AWS con CJIS, non vi è alcuna certificazione CJIS valida per tutte le autorità di polizia e giudiziarie.

  • Sono presenti clienti che usano AWS per gli atti dei procedimenti penali?

    Sì. Abbiamo diverse soluzioni per i partner, che raccolgono, trasferiscono, gestiscono e condividono analisi digitale (ad es. file audio e video) relativi a interazioni di autorità di polizia e giudiziarie. AWS, inoltre, collabora con partner che forniscono servizi di ingiunzione elettronici che creano, instradano per l'approvazione ed emettono ingiunzioni elettronicamente ad autorità di polizia e giudiziarie in diversi stati, contee e città. Inoltre, AWS fornisce supporto alle autorità di polizia e giudiziarie nella gestione dei video della polizia relativi a manifestazioni, riunioni pubbliche e interazioni di polizia in generale al fine di creare trasparenza attraverso i portali pubblici, aiutando a rafforzare la fiducia e creare trasparenza nelle autorità di polizia e giudiziarie.

compliance-contactus-icon
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »