Serviços de Informação da Justiça Criminal (CJIS)

Visão geral

CJIS_Logo

A AWS está em conformidade com a política de segurança dos Serviços de Informação da Justiça Criminal (CJIS) do Federal Bureau of Investigation (FBI) dos EUA. Assinamos contratos de segurança do CJIS com nossos clientes, incluindo a permissão ou a execução de qualquer verificação de antecedentes de funcionários necessária, de acordo com a política de segurança do CJIS.

A AWS criou um Manual dos Serviços de Informação da Justiça Criminal (CJIS) e uma planilha em um formato de modelo de plano de segurança alinhado às áreas das políticas do CJIS.

Os clientes e parceiros de aplicação da lei que gerenciam Criminal Justice Information (CJI – Informações da Justiça Criminal) usam serviços da AWS para melhorar drasticamente a segurança e a proteção dos dados de CJI. A AWS conta com serviços avançados de segurança, como registro em log de atividades (AWS CloudTrail), criptografia de dados em trânsito e ociosos (criptografia no lado do servidor do S3, com a opção de usar a sua própria chave), gerenciamento e proteção abrangentes de chaves (AWS Key Management Service e CloudHSM) e gerenciamento integrado de permissões (gerenciamento de identidade federado do IAM e autenticação multifator).

  • O que são Informações da Justiça Criminal?

    As Criminal Justice Information (CJI – Informações da Justiça Criminal) são os dados necessários para que órgãos de aplicação da lei executem a sua missão e façam valer a lei, como dados biométricos, histórico de identidade, e dados do histórico de caso/incidente, pessoa, organização e propriedade. As CJI também abrangem os dados necessários para que órgãos civis executem sua missão, incluindo dados usados para tomada de decisões de contratação.

  • O que é a política de segurança do CJIS?

    A política de segurança do CJIS (“Política”) reflete a responsabilidade compartilhada entre o CJIS do FBI, a CJIS Systems Agency (CSA – Agência de sistemas do CJIS) e os State Identification Bureaus (SIB – Escritórios de identificação estaduais) pelo uso legal e pela proteção adequada de Criminal Justice Information (CJI – Informações da Justiça Criminal). A Política oferece uma linha base de requisitos de segurança para serviços atuais e planejados, estabelecendo um padrão mínimo para novas iniciativas. Consistente com a Política, fazemos nossa parte como um provedor de serviços de nuvem e oferecemos aos nossos clientes os meios, através de nossos serviços, para atender aos requisitos de CJIS para o ambiente de TI na AWS.

  • A AWS pode ser usada para dados de CJIS?

    Sim. Para atender às necessidades de clientes do CJIS, a infraestrutura da Nuvem AWS foi planejada para ser um dos ambientes de computação em nuvem mais flexíveis e seguros disponíveis. Os clientes podem implantar aplicativos, dados e serviços, todos eles em conformidade segura com os requisitos da política de segurança do CJIS.

  • O que eu preciso considerar ao criar aplicativos e serviços em conformidade com o CJIS na AWS?

    De forma similar a outras estruturas de conformidade, a política de segurança do CJIS usa um modelo de responsabilidade compartilhada entre a AWS e nossos clientes. Para obter mais informações, consulte a página sobre o modelo de responsabilidade compartilhada da AWS.

    Usar um Cloud Service Provider (CSP – Provedor de serviços de nuvem) alinhado aos requisitos de segurança do CJIS não significa que seu ambiente esteja coberto pela postura de segurança do CSP. Ao usar a AWS, você também precisa:

    • Analisar os requisitos da política de segurança do CJIS para determinar quais são diretamente aplicáveis ao seu ambiente.
    • Implementar soluções (conforme a necessidade) para abordar cada um desses requisitos.
    • Avaliar e auditar a solução em relação aos requisitos de controle aplicáveis.
    • Enviar sua documentação do CJIS usando o manual de CJIS da AWS para o órgão do seu cliente para análise e autorização formal do CJIS.

    Finalmente, há alguns pontos importantes no suporte às cargas de trabalho de CJIS do cliente:

    • A segurança é uma responsabilidade compartilhada. A AWS não gerencia o ambiente ou os dados do cliente, o que significa que você é responsável por implementar os requisitos aplicáveis da política de segurança do CJIS no seu ambiente da AWS. A AWS gerencia apenas a implementação dos requisitos de segurança dentro da infraestrutura da AWS.
    • A criptografia de dados ociosos é essencial. A AWS oferece diversos recursos para ajudar você a efetivar essa solução importante, incluindo arquitetos de soluções e o nosso whitepaper Criptografia de dados ociosos.
    • A AWS trata diretamente dos requisitos de política de segurança do CJIS relevantes aplicáveis à infraestrutura da AWS. A AWS fornece uma plataforma autoprovisionada totalmente gerenciada pelos clientes. Portanto, a AWS não está diretamente sujeita à política de segurança do CJIS. No entanto, estamos absolutamente comprometidos em manter programas de segurança e conformidade de nível global na nuvem para atender às necessidades dos clientes. A AWS demonstra conformidade com requisitos do CJIS aplicáveis, conforme respaldados por nossas estruturas avaliadas por terceiros (como FedRAMP), incluindo auditorias de datacenter no local por nossa Third-Party Assessment Organization (3PAO – Organização externa de avaliação) credenciada pelo FedRAMP.
    • No espírito de um modelo de responsabilidade compartilhada, a AWS fornece um Manual da política de segurança do CJIS (em um modelo de plano de segurança do sistema), alinhado com as áreas das políticas do CJIS. Esse manual ajuda os clientes na documentação sistemática da sua implementação de requisitos do CJIS, bem como a abordagem da AWS para cada requisito (juntamente com a orientação sobre o envio do documento para análise e autorização). Consulte o Manual dos Serviços de Informação da Justiça Criminal (CJIS) e a planilha.
    • A AWS fornece vários recursos de segurança integrados para oferecer suporte a cargas de trabalho do CJIS, como:
  • Como é determinada a conformidade com o CJIS?

    Não existe um órgão de autorização central de CJIS, nem um grupo credenciado de avaliadores independentes e nem uma abordagem de avaliação padronizada para determinar se uma solução específica é considerada em conformidade com o CJIS. Não existe uma solução padronizada e em conformidade com o CJIS que funcione em todos órgãos de aplicação da lei. Em vez disso, cada organização de aplicação da lei que concede autorizações do CJIS interpreta as soluções de acordo com seu próprio padrão do que é considerado em conformidade com os requisitos do CJIS. As autorizações de um estado não encontram reciprocidade em outro estado (ou mesmo necessariamente dentro do mesmo estado); os fornecedores devem enviar soluções para análise com cada agente de autorização, possivelmente para incluir digitais e verificações de antecedentes duplicadas e outros requisitos específicos do estado/jurisdição.

    Cada autorização é um acordo com essa organização específica; algo que deve ser repetido localmente em cada órgão de aplicação da lei. A AWS não alegará ser alguma coisa que não é; por esse motivo, não faremos declarações abrangentes quanto a estarmos em conformidade com o CJIS. Embora um estado ou órgão específico possa ter determinado que a AWS esteja em conformidade com o CJIS para seus propósitos, não existe uma única certificação do CJIS que se aplique a todos os departamentos de aplicação da lei.

  • Existem clientes usando a AWS para dados do CJIS?

    Sim. Por exemplo, temos várias soluções de parceiros que coletam, transferem, gerenciam e compartilham evidências digitais (como arquivos de áudio e vídeo) relacionados às interações da aplicação da lei. A AWS também está trabalhando com parceiros que fornecem serviços de mandados eletrônicos que criam, encaminham para aprovação e emitem eletronicamente mandados de campo para vários órgãos de aplicação da lei estaduais, municipais e locais. Além disso, a AWS está oferecendo suporte a órgãos de aplicação da lei para gerenciar vídeos policiais relacionados a demonstrações, reuniões públicas e interações gerais da polícia, como uma maneira de criar transparência por meio de portais públicos, ajudando a criar confiança e transparência na aplicação da lei.

compliance-contactus-icon
Dúvidas? Entre em contato com um representante de conformidade da AWS
Você está explorando funções de conformidade?
Inscreva-se hoje »
Você quer ficar atualizado sobre a conformidade da AWS?
Siga-nos no Twitter »