Pokud zakládáte nebo provozujete firmu, která spolupracuje s vládními nebo donucovacími orgány jako dodavatel a pracuje s informacemi z oblasti trestní justice (CJI), pravděpodobně jste se již setkali s pojmem soulad s pravidly CJIS.

Pokud ne, tento článek vám pomůže pochopit, co je to soulady s pravidly CJIS, kdo jej musí dodržovat a jak můžete přistupovat k nástrojům a službám zaměřeným na soukromí, aby vaše podnikání tyto standardy splňovalo.

Co je to CJIS?

Bezpečnostní zásada CJIS(nové okno) je soubor bezpečnostních standardů sestavených divizí Informační služby trestní justice(nové okno) (CJIS) úřadu FBI(nové okno). Tyto zásady byly navrženy k ochraně CJI v každé fázi jejich životního cyklu – od sběru přes úložiště a sdílení až po likvidaci.

Soulad s pravidly CJIS je nezbytný nejen pro organizace se sídlem v USA, ale i pro mezinárodní firmy, které spolupracují s americkými donucovacími nebo vládními orgány. Dodržování bezpečnostní zásady CJIS se stalo průmyslovým standardem pro společnosti, které s daty CJI nakládají, uchovávají je nebo je zpracovávají.

Která data CJIS zahrnuje?

Pod zásadu CJIS spadá mnoho typů informací:

  • Biometrické údaje: Údaje získané z fyzických nebo behaviorálních znaků (např. otisky prstů, rozpoznávání obličeje), které identifikují jednotlivce.
  • Údaje o historii identity: Textové údaje, které jsou propojeny s biometrickými údaji. Tyto údaje se často používají k sestavení historie kriminální činnosti.
  • Biografické údaje: Informace vázané na konkrétní případ, které však nemusí být nutně spojeny s identitou osoby.
  • Údaje o majetku: Informace o vozidlech a majetku spojeném s incidentem.
  • Historie případů/incidentů: Trestní historie osoby.
  • Osobní identifikační údaje (PII): Jakékoli informace, které lze použít k identifikaci osoby, včetně jmen, čísel sociálního pojištění a biometrických záznamů.

Pokud státní, místní nebo federální donucovací orgány přistupují k informacím z oblasti trestní justice prostřednictvü FBI, musí být po celou dobu jejich životního cyklu uplatňovány příslušné kontrolní mechanismy.

Kdo musí splňovat pravidla CJIS?

Jakákoli organizace, která nakládá s CJI, včetně donucovacích orgánů, soukromých dodavatelů a poskytovatelů cloudových služeb, musí splňovat standardy CJIS.

Ačkoli se jedná primárně o požadavek FBI, stal se soulad s pravidly CJIS fakticky průmyslovým standardem kvůli citlivé povaze všech dotčených dat. I když organizace nespolupracuje přímo s FBI, ale nakládá s CJI, musí splňovat standardy CJIS, aby mohla pokračovat v činnosti bez následků.

To se vztahuje i na datové systémy, zálohy, sítě a zařízení — například tiskárny — které interagují s CJI, přičemž všechna tato zařízení musí být chráněna podle pokynů CJIS.

Společnost může čelit federálním i státním občanskoprávním a trestněprávním sankcím za nesprávný přístup k datům CJIS nebo jejich šíření. Tyto sankce mohou zahrnovat pokuty, stejně jako pozastavení, zrušení nebo sledování přístupu k CJIS(nové okno).

Je důležité poznamenat, že informace shromážděné jakýmkoli vládním subjektem, který shromažďuje, zpracovává nebo používá informace z oblasti trestní justice (CJI), nepodléhají kontrolám CJIS, dokud nebudou předloženy do systému Národní výměna dat (N-DEx)(nové okno).

Jakmile jsou však informace předloženy, musí splňovat standardy CJIS. N-DEx je klíčový systém pro sdílení informací z oblasti trestní justice napříč agenturami, který umožňuje bezpečnou a konzistentní správu těchto dat.

Auditní jednotka (CAU) Informačních služeb trestní justice (CJIS) chrání integritu informací z oblasti trestní justice prováděním auditů u agentur, které používají systémy a programy CJIS. Mezi tyto agentury patří(nové okno):

  • Státní CSA a repozitář
  • Kancelář státního programu UCR
  • Federální CSA
  • Federálně regulovaná agentura
  • Agentura v rámci území USA s připojením přes rozlehlou síť (Wide Area Network)
  • Zprostředkovatel schválený FBI (dodavatel vybraný FBI, který jménem oprávněného příjemce usnadňuje elektronické zasílání otisků prstů pro prověřování trestní minulosti pro nejustiční účely)
  • Oprávněný příjemce informací z evidence trestů
  • Registr sexuálních delikventů
  • Poskytovatel identity pro portál Law Enforcement Enterprise Portal
  • Jakákoli součást FBI

Pro soulady s pravidly CJIS je klíčové šifrování

Pro přístup k databázím CJIS musí organizace splňovat řadu bezpečnostních standardů, včetně implementace vícefaktorového ověření (MFA) pro ověření identity uživatelů, udržování přísných kontrol přístupu k omezení toho, kdo může prohlížet nebo měnit citlivá data, a prosazování fyzických bezpečnostních opatření k ochraně systémů a zařízení, která s CJI nakládají.

Šifrování je však pro soulad s pravidly CJIS klíčové.

Co je to šifrování?

Šifrování je způsob, jak znemožnit čtení informací tak, aby k nim neměl přístup nikdo kromě osob, pro které jsou určeny. Provádí se pomocí počítačových programů, které využívají matematické algoritmy k uzamykání a odemykání informací.

V bezpečnostní zásadě CJIS jsou dvě části, které výslovně zmiňují šifrování:

  • Oddíl 5.10.1.2.1: Pokud jsou data CJI přenášena mimo hranice fyzicky zabezpečeného umístění, musí být okamžitě chráněna šifrováním. Při použití šifrování musí mít použitý kryptografický modul certifikaci FIPS 140-2 a k ochraně CJI musí používat symetrický šifrovací klíč o síle alespoň 128 bitů.
  • Oddíl 5.10.1.2.2: Pokud jsou data CJI v klidu (tj. uložena digitálně) mimo hranice fyzicky zabezpečeného umístění, musí být chráněna šifrováním. Při použití šifrování musí agentury buď šifrovat CJI v souladu se standardem v oddíle 5.10.1.2.1 výše, nebo použít symetrickou šifru s certifikací FIPS 197 (AES) o síle alespoň 256 bitů.

Šifrování pomáhá zajistit ochranu CJI jak v klidu, tak při přenosu. Mnoho online služeb, například pro cloudové úložiště a e-mail, bohužel ve výchozím nastavení nepoužívá koncové šifrování, což činí data během přenosu zranitelnými.

Službu Proton jsme vytvořili v roce 2014, abychom tuto potřebu naplnili. Proton byl vyvinut vědci, kteří se setkali v CERNu (Evropská organizace pro jaderný výzkum) ve Švýcarsku, a zabezpečuje citlivé e-maily, soubory, hesla a další data pomocí robustního koncového šifrování způsobem, který je snadno použitelný pro každého. Dnes více než 100 milionů uživatelů, včetně vlád, vojenských jednotek a společností z žebříčku Fortune 500, důvěřuje službě Proton při zabezpečení svých informací a dodržování standardů ochrany dat.

Chraňte svá data se službou Proton

Ať už posíláte informace přes Proton Mail, ukládáte soubory na Proton Drive nebo spravujete přihlašovací údaje pomocí Proton Pass, Proton udržuje vaše data v bezpečí a chrání je před neoprávněným přístupem.

Soukromé ve výchozím nastavení

Když používáte Proton Mail, jsou e-maily odesílané v rámci vaší organizace ve výchozím nastavení koncově šifrované, což znamená, že zprávy a přílohy jsou ve vašem zařízení uzamčeny před přenosem na naše servery a může je odemknout a přečíst pouze příjemce. U e-mailů na účty mimo Proton Mail můžete odesílat e-maily chráněné heslem a k automatickému zabezpečení příchozích e-mailů slouží šifrování s nulovým přístupem.

V každém případě jsou zprávy na našich serverech vždy šifrovány. To znamená, že i v případě narušení serveru zůstávají e-maily vaší společnosti zabezpečené a pro kohokoli kromě vás nečitelné, čímž jsou vaše důvěrné informace chráněny před kybernetickými útoky.

Pro Proton je matematicky nemožné dešifrovat vaše zprávy, soubory a mnoho druhů metadat. (Podívejte se, co všechno je šifrováno.) A vzhledem k tomu, že Proton sídlí ve Švýcarsku, těch málo údajů, které o vás shromažďujeme, je chráněno švýcarskými zákony o soukromí a nepodléhá žádostem cizích donucovacích orgánů.

Obrana proti hackerům

Proton má také několik vrstev obrany proti potenciálním kybernetickým útokům:

  • PhishGuard: Filtr PhishGuard společnosti Proton je navržen tak, aby identifikoval a označil pokusy o phishing. Když je detekován phishingový útok, uvidíte varování.
  • Dvoufázové ověření (2FA): Proton Mail nabízí zabezpečení nad rámec pouhého hesla s dvoufázovým ověřením (2FA). Proton podporuje několik metod 2FA, včetně ověřovacích aplikací a fyzických bezpečnostních klíčů, což znamená, že si můžete vybrat nejpohodlnější a nejbezpečnější možnost. S plánem Proton for Business mohou administrátoři také vynutit 2FA jako povinné pro své organizace, aby posílili bezpečnost mezi zaměstnanci.
  • Proton Sentinel: Toto je pokročilý program ochrany účtu od společnosti Proton, který je k dispozici v rámci tarifů Proton Mail Professional nebo Proton Business Suite. Je navržen tak, aby poskytoval maximální zabezpečení těm, kteří ho potřebují, a to kombinací umělé inteligence s lidskou analýzou. To je užitečné zejména v případě, že jste vedoucí pracovník nebo někdo, kdo pracuje s citlivými daty a komunikací. Služba Proton Sentinel nabízí nepřetržitou podporu 24/7 pro postoupení podezřelých pokusů o přihlášení bezpečnostním analytikům.

Zajistěte soulad s předpisy se službou Proton

Naším cílem je přetvořit internet tak, aby lidé a organizace měli svá data pod kontrolou.

Přechod na Proton Mail je snadný díky naší funkci Easy Switch, která vám umožní plynule převést všechny e-maily, kontakty a kalendáře vaší organizace z jiných služeb, aniž by bylo nutné vaše týmy jakkoli školit.

Náš tým podpory je vám také k dispozici 24 hodin denně, 7 dní v týdnu, aby vám v případě potřeby poskytl živou pomoc. Proton Mail, náš koncově šifrovaný e-mail, a Proton Drive, naše koncově šifrovaná služba cloudového úložiště, usnadňují plnění požadavků na ochranu dat a soukromí.

Používání služby Proton for Business nabízí další výhody, včetně:

  • Proton Mail: Chraňte svou firemní komunikaci pomocí koncově šifrovaného e-mailu, který zajistí, že vaše zprávy si budete moci přečíst pouze vy a zamýšlení příjemci.
  • Proton VPN: Zabezpečte své internetové připojení a chraňte své online aktivity pomocí vysokorychlostního přístupu k VPN.
  • Proton Calendar: Spravujte svůj rozvrh pomocí šifrovaného kalendáře, který uchovává vaše pracovní události v soukromí.
  • Proton Pass: Bezpečně ukládejte a spravujte svá hesla pomocí našeho šifrovaného správce hesel.
  • Proton Drive: Bezpečně ukládejte a sdílejte firemní soubory s koncovým šifrováním, které zajistí, že vaše data zůstanou soukromá a chráněná.
Získat Proton for Business

Přechodem vaší firmy do ekosystému Proton současně chráníte sebe i data, která vám byla svěřena, dodržujete předpisy a pomáháte budovat budoucnost, kde je soukromí výchozím nastavením.