Si usted está comenzando u operando un negocio que trabaja con información de justicia penal (CJI) como contratista con agencias gubernamentales o policiales, es probable que esté al tanto del cumplimiento con el CJIS.

Si no es así, este artículo le ayudará a entender qué es el cumplimiento con el CJIS, quién debe cumplirlo y cómo puede acceder a herramientas y servicios centrados en la privacidad para que su negocio cumpla con estos estándares.

¿Qué es el CJIS?

La Política de Seguridad del CJIS(nueva ventana) es un conjunto de estándares de seguridad reunidos por la división de Servicios de Información de Justicia Penal(nueva ventana) (CJIS) del FBI(nueva ventana). Estos fueron diseñados para proteger la CJI en cada etapa de su ciclo de vida, desde la recopilación hasta el almacenamiento, el intercambio y la eliminación.

El cumplimiento con el CJIS no solo es esencial para las organizaciones con sede en los EE. UU., sino también para las empresas internacionales que trabajan con agencias gubernamentales o policiales de dicho país. Se ha convertido en un estándar de la industria para las empresas que manejan, almacenan o procesan CJI el adherirse a la Política de Seguridad del CJIS.

¿Qué datos incluye el CJIS?

Existen muchos tipos de información que entran en la política del CJIS:

  • Datos biométricos: datos extraídos de rasgos físicos o de comportamiento (p. ej., huellas digitales, reconocimiento facial) que identifican a las personas.
  • Datos de historial de identidad: datos de texto que están vinculados con datos biométricos. Estos datos se utilizan a menudo para armar un historial de actividad delictiva.
  • Datos biográficos: información vinculada a un caso específico pero no necesariamente relacionada con la identidad de una persona.
  • Datos de propiedad: información sobre vehículos y bienes asociados con un incidente.
  • Historial de casos/incidentes: el historial delictivo de una persona.
  • Información de identificación personal (PII): cualquier información que pueda utilizarse para identificar a una persona, incluidos nombres, números de Seguro Social y registros biométricos.

Si las agencias policiales estatales, locales o federales acceden a la información de justicia penal a través del FBI, se deben aplicar los controles apropiados durante todo su ciclo de vida.

¿Quién debe cumplir con el CJIS?

Cualquier organización que maneje CJI, incluidas las agencias policiales, los contratistas privados y los proveedores de servicios en la nube, debe cumplir con los estándares del CJIS.

Si bien es primordialmente un requisito del FBI, el cumplimiento con el CJIS se ha convertido efectivamente en un estándar de la industria debido a la naturaleza sensible de todos los datos involucrados. Incluso si una organización no trabaja directamente con el FBI pero maneja CJI, debe cumplir con los estándares del CJIS para continuar sus operaciones sin repercusiones.

Esto se extiende a los sistemas de datos, copias de seguridad, redes y dispositivos (como impresoras) que interactúan con la CJI, los cuales deben estar protegidos bajo las directrices del CJIS.

Una empresa puede enfrentar sanciones civiles y penales, tanto federales como estatales, por acceder o difundir indebidamente datos del CJIS. Esas sanciones podrían incluir multas, así como la suspensión, revocación o monitoreo del acceso al CJIS(nueva ventana).

Es importante señalar que la información recopilada por cualquier entidad gubernamental que reúna, procese o utilice información de justicia penal (CJI) no está sujeta a los controles del CJIS a menos que haya sido enviada al sistema de Intercambio Nacional de Datos (N-DEx)(nueva ventana).

Sin embargo, una vez enviada, la información debe cumplir con los estándares del CJIS. El N-DEx es un sistema clave para compartir información de justicia penal entre agencias, lo que permite que esos datos se gestionen de forma segura y consistente​.

La Unidad de Auditoría (CAU) de los Servicios de Información de Justicia Penal (CJIS) protege la integridad de la información de justicia penal mediante la auditoría de las agencias que utilizan los sistemas y programas del CJIS. Esas agencias incluyen(nueva ventana):

  • CSA y repositorio estatal
  • Oficina estatal del Programa UCR
  • CSA federal
  • Agencia regulada federalmente
  • Agencia dentro de un territorio de los EE. UU. con una conexión de red de área amplia
  • Canalizador aprobado por el FBI (un contratista elegido por el FBI que facilita el envío electrónico de huellas digitales para verificaciones de antecedentes de justicia no penales en nombre de un destinatario autorizado)
  • Destinatario autorizado de información de registros de antecedentes penales
  • Registro de delincuentes sexuales
  • Proveedor de identidad del Portal de Empresas de Aplicación de la Ley
  • Cualquier componente del FBI

Para el cumplimiento con el CJIS, el cifrado es clave

Para acceder a las bases de datos del CJIS, las organizaciones deben cumplir con una serie de estándares de seguridad, que incluyen la implementación de la autenticación de múltiples factores (MFA) para verificar las identidades de los usuarios, el mantenimiento de controles de acceso estrictos para limitar quién puede ver o alterar datos sensibles y la aplicación de medidas de seguridad física para proteger los sistemas y dispositivos que manejan la CJI.

El cifrado, sin embargo, es clave para el cumplimiento con el CJIS.

¿Qué es el cifrado?

El cifrado es una forma de ocultar información para que nadie, excepto las personas a las que va dirigida, pueda acceder a ella. Esto se hace con programas informáticos que utilizan algoritmos matemáticos que bloquean y desbloquean la información.

Existen dos secciones de la Política de Seguridad del CJIS que mencionan explícitamente el cifrado:

  • Sección 5.10.1.2.1: Cuando la CJI se transmita fuera del límite de la ubicación físicamente segura, los datos deberán protegerse inmediatamente mediante cifrado. Cuando se emplee cifrado, el módulo criptográfico utilizado deberá contar con la certificación FIPS 140-2 y utilizar una fuerza de clave de cifrado simétrico de al menos 128 bits para proteger la CJI.
  • Sección 5.10.1.2.2: Cuando la CJI esté en reposo (es decir, almacenada digitalmente) fuera del límite de la ubicación físicamente segura, los datos deberán protegerse mediante cifrado. Cuando se emplee cifrado, las agencias deberán cifrar la CJI de acuerdo con el estándar de la Sección 5.10.1.2.1 anterior, o utilizar un cifrado simétrico que cuente con la certificación FIPS 197 (AES) y una fuerza de al menos 256 bits.

El cifrado ayuda a garantizar que la CJI esté protegida tanto en reposo como en tránsito. Lamentablemente, muchos servicios en línea, como los de almacenamiento en la nube y correo electrónico, no utilizan el cifrado de extremo a extremo por defecto, lo que deja los datos vulnerables durante la transmisión.

Creamos Proton en 2014 para cubrir esta necesidad. Desarrollado por científicos que se conocieron en el CERN (la Organización Europea para la Investigación Nuclear) en Suiza, Proton protege correos electrónicos, archivos, contraseñas y otros datos sensibles con un robusto cifrado de extremo a extremo de una manera que también es fácil de usar para cualquier persona. Hoy en día, más de 100 millones de usuarios, incluidos gobiernos, unidades militares y empresas de la lista Fortune 500, confían en Proton para asegurar su información y cumplir con los estándares de protección de datos.

Proteja sus datos con Proton

Ya sea que envíe información a través de Proton Mail, almacene archivos en Proton Drive o gestione credenciales con Proton Pass, Proton mantiene sus datos seguros y protegidos contra accesos no autorizados.

Privado por defecto

Cuando utiliza Proton Mail, los correos electrónicos enviados dentro de su organización cuentan con cifrado de extremo a extremo por defecto, lo que significa que los mensajes y archivos adjuntos se bloquean en su dispositivo antes de ser transmitidos a nuestros servidores y solo pueden ser desbloqueados y leídos por el destinatario. Para los correos electrónicos a cuentas que no son de Proton Mail, puede enviar correos electrónicos protegidos con contraseña, y el cifrado de acceso cero está implementado para proteger los correos electrónicos entrantes automáticamente.

En cualquier caso, los mensajes siempre están cifrados en nuestros servidores. Esto significa que incluso en caso de una vulneración del servidor, los correos electrónicos de su empresa permanecen seguros e ilegibles para cualquier persona excepto para usted, protegiendo su información confidencial de ciberataques.

Es matemáticamente imposible para Proton descifrar sus mensajes, archivos y muchos tipos de metadatos. (Vea qué está cifrado.) Y dado que Proton tiene su sede en Suiza, los pocos datos que se recopilan sobre usted están protegidos por las leyes de privacidad suizas y no están sujetos a solicitudes de agencias policiales extranjeras.

Defiéndase contra los hackers

Proton también cuenta con varias capas de defensa contra posibles ciberataques:

  • PhishGuard: El filtro PhishGuard de Proton está diseñado para identificar y marcar intentos de suplantación. Cuando se detecta un ataque de suplantación, verá una advertencia.
  • Autenticación de dos factores (2FA): Proton Mail ofrece seguridad más allá de una simple contraseña con autenticación de dos factores (2FA). Proton admite varios métodos de 2FA, incluidas aplicaciones de autenticación y llaves de seguridad físicas, lo que significa que puede elegir la opción más conveniente y segura. Con un plan Proton for Business, los administradores también pueden imponer 2FA como obligatorio para sus organizaciones para fortalecer la seguridad entre los empleados.
  • Proton Sentinel: este es el programa avanzado de protección de la cuenta de Proton, el cual se encuentra disponible con un plan Proton Mail Professional o Proton Business Suite. Está diseñado para ofrecer la máxima seguridad a quienes la necesiten, combinando IA con análisis humano. Esto es particularmente útil si usted es un ejecutivo —o alguien que maneja datos y comunicaciones confidenciales. Proton Sentinel ofrece soporte las 24 horas, los 7 días de la semana, para derivar los intentos de inicio de sesión sospechosos a analistas de seguridad.

Cumpla con la normativa gracias a Proton

Nuestro objetivo es remodelar el internet para que las personas y las organizaciones tengan el control de sus datos.

Cambiarse a Proton Mail es sencillo con nuestra función Easy Switch, que le permite transferir de forma fluida todos los correos electrónicos, contactos y calendarios de su organización desde otros servicios sin necesidad de formación para su equipo.

Nuestro equipo de soporte también está a su disposición las 24 horas, los 7 días de la semana, para ofrecerle soporte en vivo si necesita ayuda adicional. Proton Mail, nuestro correo electrónico cifrado de extremo a extremo, y Proton Drive, nuestro servicio de almacenamiento en la nube cifrado de extremo a extremo, facilitan el cumplimiento de los requisitos de privacidad y protección de datos.

Usar Proton for Business ofrece beneficios adicionales, entre los que se incluyen:

  • Proton Mail: proteja las comunicaciones de su empresa con un correo electrónico cifrado de extremo a extremo, garantizando que solo usted y los destinatarios previstos puedan leer sus mensajes.
  • Proton VPN: proteja su conexión a internet y su actividad en línea con un acceso VPN de alta velocidad.
  • Proton Calendar: gestione su agenda con un calendario cifrado que mantiene privados sus eventos empresariales.
  • Proton Pass: almacene y gestione sus contraseñas de forma segura con nuestro gestor de contraseñas cifrado.
  • Proton Drive: almacene y comparta archivos empresariales de forma segura con cifrado de extremo a extremo, garantizando que sus datos permanezcan privados y protegidos.
Obtener Proton for Business

Al trasladar su empresa al ecosistema de Proton, protege simultáneamente su persona y los datos que se le han confiado, cumple con la normativa y ayuda a construir un futuro donde la privacidad sea la norma por defecto.