Hvis De starter eller driver en virksomhed, der arbejder med criminal justice information (CJI) som leverandør til statslige myndigheder eller retshåndhævende organer, er De sandsynligvis klar over CJIS-overholdelse.

Hvis ikke, vil denne artikel hjælpe Dem med at forstå, hvad CJIS-overholdelse er, hvem der skal overholde reglerne, og hvordan De kan få adgang til privatlivsfokuserede værktøjer og tjenester, så Deres virksomhed opfylder disse standarder.

Hvad er CJIS?

The CJIS Security Policy(nyt vindue) er et sæt sikkerhedsstandarder samlet af FBI’s (nyt vindue)Criminal Justice Information Services(nyt vindue) (CJIS) division. De er designet til at beskytte CJI i alle faser af dens livscyklus — fra indsamling til lagerplads, deling og bortskaffelse.

CJIS-overholdelse er ikke kun vigtig for USA-baserede organisationer, men også for internationale virksomheder, der arbejder med amerikanske retshåndhævende myndigheder eller statslige agenturer. Det er blevet en branchestandard for virksomheder, der håndterer, gemmer eller behandler CJI, at overholde CJIS’ sikkerhedspolitik.

Hvilke data omfatter CJIS?

Der er mange typer information, der falder ind under CJIS-politikken:

  • Biometriske data: Data udtrukket fra fysiske træk eller adfærdstræk (f.eks. fingeraftryk, ansigtsgenkendelse), der identificerer personer.
  • Identitetshistorikdata: Tekstdata, der er linket til biometriske data. Disse data bruges ofte til at sammensætte en historik over kriminel aktivitet.
  • Biografiske data: Oplysninger knyttet til en specifik sag, men ikke nødvendigvis linket til en persons identitet.
  • Ejendomsdata: Oplysninger om køretøjer og ejendom i forbindelse med en hændelse.
  • Sags-/hændelseshistorik: En persons kriminelle historik.
  • Personhenførbare oplysninger (PII): Enhver oplysning, der kan bruges til at identificere en person, herunder navne, CPR-numre og biometriske optegnelser

Hvis statslige, lokale eller føderale retshåndhævende myndigheder får adgang til strafferetlige oplysninger via FBI, skal der anvendes passende kontrolforanstaltninger gennem hele deres livscyklus.

Hvem skal være i overensstemmelse med CJIS?

Enhver organisation, der håndterer CJI, herunder retshåndhævende myndigheder, private entreprenører og udbydere af skytjenester, skal overholde CJIS-standarderne.

Selvom det primært er et krav fra FBI, er CJIS-overholdelse i praksis blevet en branchestandard på grund af den følsomme karakter af alle involverede data. Selv hvis en organisation ikke arbejder direkte med FBI, men håndterer CJI, skal den overholde CJIS-standarderne for at fortsætte driften uden konsekvenser.

Dette omfatter datasystemer, sikkerhedskopier, netværk og enheder — såsom printere — der interagerer med CJI, og som alle skal beskyttes i henhold til CJIS-retningslinjerne.

En virksomhed kan blive mødt med føderale og statslige civile og strafferetlige sanktioner for uretmæssigt at få adgang til eller formidle CJIS-data. Disse sanktioner kan omfatte bøder samt suspendering, tilbagekaldelse eller overvågning af adgang til CJIS(nyt vindue).

Det er vigtigt at bemærke, at oplysninger indsamlet af enhver statslig enhed, der indsamler, behandler eller bruger strafferetlige oplysninger (CJI), ikke er underlagt CJIS-kontrol, medmindre de er blevet indsendt til systemet National Data Exchange (N-DEx)(nyt vindue).

Når oplysningerne er indsendt, skal de dog overholde CJIS-standarderne. N-DEx er et centralt system til deling af strafferetlige oplysninger på tværs af myndigheder, hvilket gør det muligt at administrere disse data sikkert og konsekvent​.

Criminal Justice Information Services (CJIS) Audit Unit (CAU) beskytter integriteten af strafferetlige oplysninger ved at auditere myndigheder, der bruger CJIS-systemer og -programmer. Disse myndigheder omfatter(nyt vindue):

  • Statens CSA og depot
  • Statens UCR-programkontor
  • Føderal CSA
  • Føderalt reguleret agentur
  • Agentur inden for et amerikansk territorium med en Wide Area Network-forbindelse
  • FBI-godkendt kanalformidler (en leverandør valgt af FBI, der letter elektronisk indsendelse af fingeraftryk til ikkekriminelle baggrundstjek på vegne af en autoriseret modtager)
  • Autoriseret modtager af oplysninger fra strafferegistre
  • Register over seksualforbrydere
  • Identitetsudbyder til Law Enforcement Enterprise Portal
  • Enhver FBI-komponent

Ved CJIS-overholdelse er kryptering afgørende

For at få adgang til CJIS-databaser skal organisationer overholde en række sikkerhedsstandarder, herunder implementering af multi-faktor godkendelse (MFA) for at bekræfte brugeridentiteter, opretholdelse af strenge adgangskontroller for at begrænse, hvem der kan se eller ændre følsomme data, og håndhævelse af fysiske sikkerhedsforanstaltninger for at beskytte systemer og enheder, der håndterer CJI.

Kryptering er dog afgørende for CJIS-overholdelse.

Hvad er kryptering?

Kryptering er en måde at sløre information på, så ingen undtagen de personer, den er beregnet til, kan få adgang til den. Dette gøres med computerprogrammer, der bruger matematiske algoritmer, der låser og låser op for informationen.

Der er to afsnit i CJIS-sikkerhedspolitikken, der eksplicit nævner kryptering:

  • Afsnit 5.10.1.2.1: Når CJI transmitteres uden for grænsen af den fysisk sikre placering, skal dataene straks beskyttes via kryptering. Når kryptering anvendes, skal det anvendte kryptografiske modul være FIPS 140-2-certificeret og bruge en symmetrisk krypteringsnøglestyrke på mindst 128 bit for at beskytte CJI.
  • Afsnit 5.10.1.2.2: Når CJI er i hvile (dvs. lagret digitalt) uden for grænsen af den fysisk sikre placering, skal dataene beskyttes via kryptering. Når kryptering anvendes, skal agenturer enten kryptere CJI i overensstemmelse med standarden i afsnit 5.10.1.2.1 ovenfor eller bruge en symmetrisk kryptering, der er FIPS 197-certificeret (AES) og har en styrke på mindst 256 bit.

Kryptering hjælper med at sikre, at CJI er beskyttet både under opbevaring og under overførsel. Desværre bruger mange onlinetjenester, såsom til skylagerplads og e-mail, ikke end-to-end kryptering som standard, hvilket efterlader data sårbare under transmission.

Vi skabte Proton i 2014 for at udfylde dette behov. Proton er udviklet af forskere, der mødtes hos CERN (den europæiske organisation for nuklear forskning) i Schweiz, og sikrer følsomme e-mails, filer, adgangskoder og andre data med robust end-to-end kryptering på en måde, der også er nem for alle at bruge. I dag har over 100 millioner brugere, herunder regeringer, militærenheder og Fortune 500-virksomheder, tillid til, at Proton sikrer deres oplysninger og overholder standarder for databeskyttelse.

Beskyt Deres data med Proton

Uanset om De sender oplysninger via Proton Mail, gemmer filer i Proton Drive eller administrerer legitimationsoplysninger med Proton Pass, holder Proton Deres data sikre og beskyttet mod uautoriseret adgang.

Privat som standard

Når De bruger Proton Mail, er e-mails sendt inden for Deres organisation som standard end-to-end krypteret, hvilket betyder, at beskeder og vedhæftninger låses på Deres enhed, før de sendes til vores servere, og de kan kun låses op og læses af modtageren. For e-mails til konti, der ikke er Proton Mail-konti, kan De sende adgangskodebeskyttede e-mails, og zero-access kryptering er på plads for automatisk at sikre indgående e-mails.

I alle tilfælde er beskeder altid krypteret på vores servere. Det betyder, at selv i tilfælde af et serverbrud forbliver Deres virksomheds e-mails sikre og ulæselige for alle andre end Dem, hvilket beskytter Deres fortrolige oplysninger mod cyberangreb.

Det er matematisk umuligt for Proton at dekryptere Deres beskeder, filer og mange typer metadata. (Se, hvad der er krypteret.) Og da Proton er baseret i Schweiz, er de få data om Dem, der indsamles, beskyttet af schweiziske privatlivslove og er ikke underlagt anmodninger fra udenlandske retshåndhævende myndigheder.

Forsvar mod hackere

Proton har også flere lag af forsvar mod potentielle cyberangreb:

  • PhishGuard: Protons PhishGuard-filter er designet til at identificere og markere phishing-forsøg. Når et phishing-angreb opdages, vil du se en advarsel.
  • To-faktor-godkendelse (2FA): Proton Mail tilbyder sikkerhed ud over blot en adgangskode med to-faktor-godkendelse (2FA). Proton understøtter flere 2FA-metoder, herunder godkender-apps og fysiske sikkerhedsnøgler, hvilket betyder, at du kan vælge den mest bekvemme og sikre mulighed. Med et Proton for Business-abonnement kan administratorer også håndhæve 2FA som obligatorisk for deres organisationer for at styrke sikkerheden blandt medarbejderne.
  • Proton Sentinel: Dette er Protons avancerede program til kontobeskyttelse, som er tilgængeligt med et Proton Mail Professional- eller Proton Business Suite-abonnement. Det er designet til at give maksimal sikkerhed til dem, der har brug for det, ved at kombinere AI med menneskelig analyse. Dette er især nyttigt, hvis De er en leder — eller en person, der håndterer følsomme data og kommunikation. Proton Sentinel tilbyder support døgnet rundt til at eskalere mistænkelige loginforsøg til sikkerhedsanalytikere.

Forbliv kompatibel med Proton

Vores mål er at omforme internettet for at give mennesker og organisationer kontrol over deres data.

Det er enkelt at skifte til Proton Mail med vores Easy Switch-funktion, som giver Dem mulighed for problemfrit at overføre alle Deres organisations e-mails, kontakter og kalendere fra andre tjenester uden behov for træning af Deres team.

Vores supportteam står også til rådighed døgnet rundt for at yde live-support, hvis De har brug for yderligere hjælp. Proton Mail, vores end-to-end krypterede e-mail, og Proton Drive, vores end-to-end krypterede skybaserede lagerplads, gør det enkelt at opfylde kravene til databeskyttelse og privatliv.

Brug af Proton for Business giver yderligere fordele, herunder:

  • Proton Mail: Beskyt Deres erhvervskommunikation med end-to-end krypteret e-mail, der sikrer, at kun De og Deres tilsigtede modtagere kan læse Deres beskeder.
  • Proton VPN: Sikr Deres internetforbindelse og beskyt Deres onlineaktivitet med højhastigheds-VPN-adgang.
  • Proton Calendar: Administrer Deres tidsplan med en krypteret kalender, der holder Deres erhvervsbegivenheder private.
  • Proton Pass: Gem og administrer Deres adgangskoder sikkert med vores krypterede adgangskodeadministrator.
  • Proton Drive: Gem og del erhvervsfiler sikkert med end-to-end kryptering, der sikrer, at Deres data forbliver private og beskyttede.
Få Proton for Business

Når De flytter Deres virksomhed ind i Protons økosystem, beskytter De samtidig Dem selv og de data, der er betroet Dem, overholder reglerne og hjælper med at opbygge en fremtid, hvor privatliv er standarden.