Si vas a poner en marcha o ya diriges una empresa que trabaja con información de justicia penal (CJI) como contratista de organismos gubernamentales o de seguridad, es probable que estés al tanto del cumplimiento con CJIS.

Si no es así, este artículo te ayudará a entender qué es el cumplimiento con CJIS, quién debe cumplirlo y cómo puedes acceder a herramientas y servicios que priorizan la privacidad para que tu negocio cumpla con estos estándares.

¿Qué es CJIS?

La Política de Seguridad de CJIS(ventana nueva) es un conjunto de estándares de seguridad recopilados por la división de Servicios de Información de Justicia Penal(ventana nueva) (CJIS) del FBI(ventana nueva). Se diseñaron para proteger la CJI en cada etapa de su ciclo de vida, desde la recopilación hasta el almacenamiento, el intercambio y la eliminación.

El cumplimiento con CJIS no solo es esencial para las organizaciones con sede en EE. UU., sino también para las empresas internacionales que trabajan con organismos gubernamentales o de seguridad de dicho país. Se ha convertido en un estándar de la industria que las empresas que manejan, almacenan o procesan CJI se adhieran a la política de seguridad de CJIS.

¿Qué datos incluye la CJIS?

Hay muchos tipos de información que entran en la política de CJIS:

  • Datos biométricos: datos extraídos de rasgos físicos o conductuales (por ejemplo, huellas digitales, reconocimiento facial) que identifican a las personas.
  • Datos de historial de identidad: datos de texto que están vinculados con datos biométricos. Estos datos se suelen usar para armar un historial de actividad criminal.
  • Datos biográficos: información vinculada a un caso específico pero no necesariamente enlazada a la identidad de una persona.
  • Datos de propiedad: información sobre vehículos y propiedades asociados con un incidente.
  • Historial de casos/incidentes: los antecedentes penales de una persona.
  • Información de identificación personal (PII): cualquier información que pueda usarse para identificar a una persona, incluidos nombres, números de la Seguridad Social y registros biométricos.

Si los organismos de seguridad estatales, locales o federales acceden a la información de justicia penal a través del FBI, se deben aplicar los controles adecuados durante todo su ciclo de vida.

¿Quién debe cumplir con la normativa CJIS?

Cualquier organización que maneje CJI, incluidos los organismos de seguridad, los contratistas privados y los proveedores de servicios en la nube, debe cumplir con los estándares de CJIS.

Aunque es principalmente un requisito del FBI, el cumplimiento con CJIS se ha convertido de hecho en un estándar de la industria debido a la naturaleza sensible de todos los datos implicados. Incluso si una organización no trabaja directamente con el FBI pero maneja CJI, debe cumplir con los estándares de CJIS para continuar con sus operaciones sin repercusiones.

Esto se extiende a los sistemas de datos, copias de seguridad, redes y dispositivos (como las impresoras) que interactúan con la CJI, los cuales deben estar todos protegidos bajo las directrices de CJIS.

Una empresa puede enfrentarse a sanciones civiles y penales federales y estatales por acceder o difundir indebidamente datos de CJIS. Esas sanciones podrían incluir multas, así como la suspensión, revocación o monitorización del acceso a CJIS(ventana nueva).

Es importante señalar que la información recopilada por cualquier entidad gubernamental que reúna, procese o utilice información de justicia penal (CJI) no está sujeta a los controles de CJIS a menos que se haya enviado al sistema de Intercambio Nacional de Datos (N-DEx)(ventana nueva).

Sin embargo, una vez enviada, la información debe adherirse a los estándares de CJIS. El N-DEx es un sistema clave para compartir información de justicia penal entre organismos, lo que permite que esos datos se administren de forma segura y coherente.

La Unidad de Auditoría (CAU) de los Servicios de Información de Justicia Penal (CJIS) protege la integridad de la información de justicia penal mediante la auditoría de los organismos que utilizan los sistemas y programas de CJIS. Esos organismos incluyen(ventana nueva):

  • CSA estatal y repositorio
  • Oficina del programa UCR estatal
  • CSA federal
  • Agencia regulada federalmente
  • Organismo dentro de un territorio de EE. UU. con conexión a una red de área amplia (WAN)
  • Canalizador aprobado por el FBI (un contratista elegido por el FBI que facilita el envío electrónico de huellas digitales para comprobaciones de antecedentes de justicia no penal en nombre de un destinatario autorizado)
  • Destinatario autorizado de información de registros de antecedentes penales
  • Registro de delincuentes sexuales
  • Proveedor de identidad del Portal de Empresas de Seguridad
  • Cualquier componente del FBI

Para el cumplimiento con CJIS, el cifrado es clave

Para acceder a las bases de datos de CJIS, las organizaciones deben cumplir con una serie de estándares de seguridad, incluyendo la implementación de la autenticación de múltiples factores (MFA) para verificar la identidad de los usuarios, el mantenimiento de controles de acceso estrictos para limitar quién puede ver o alterar datos sensibles, y la aplicación de medidas de seguridad física para proteger los sistemas y dispositivos que manejan CJI.

Sin embargo, el cifrado es fundamental para el cumplimiento con CJIS.

¿Qué es el cifrado?

El cifrado es una forma de ocultar la información para que nadie, excepto las personas a las que va dirigida, pueda acceder a ella. Esto se hace con programas informáticos que utilizan algoritmos matemáticos que bloquean y desbloquean la información.

Hay dos secciones de la política de seguridad de CJIS que mencionan explícitamente el cifrado:

  • Sección 5.10.1.2.1: cuando la CJI se transmita fuera de los límites de una ubicación físicamente segura, los datos deberán protegerse inmediatamente mediante cifrado. Cuando se emplee cifrado, el módulo criptográfico utilizado deberá contar con la certificación FIPS 140-2 y utilizar una clave de cifrado simétrico con una fuerza de al menos 128 bits para proteger la CJI.
  • Sección 5.10.1.2.2: cuando la CJI esté en reposo (es decir, almacenada digitalmente) fuera de los límites de una ubicación físicamente segura, los datos deberán protegerse mediante cifrado. Cuando se emplee cifrado, los organismos deberán cifrar la CJI de acuerdo con el estándar de la sección 5.10.1.2.1 anterior, o utilizar un cifrado simétrico que cuente con la certificación FIPS 197 (AES) y una fuerza de al menos 256 bits.

El cifrado ayuda a garantizar que la CJI esté protegida tanto en reposo como en tránsito. Lamentablemente, muchos servicios online, como los de almacenamiento en la nube y correo electrónico, no utilizan el cifrado de extremo a extremo por defecto, lo que deja los datos vulnerables durante la transmisión.

Creamos Proton en 2014 para cubrir esta necesidad. Desarrollado por científicos que se conocieron en el CERN (la Organización Europea para la Investigación Nuclear) en Suiza, Proton protege correos electrónicos sensibles, archivos, contraseñas y otros datos con un robusto cifrado de extremo a extremo de una forma que también es fácil de usar para cualquier persona. Hoy en día, más de 100 millones de usuarios, incluidos gobiernos, unidades militares y empresas de la lista Fortune 500, confían en Proton para proteger su información y cumplir con los estándares de protección de datos.

Protege tus datos con Proton

Tanto si envías información a través de Proton Mail, almacenas archivos en Proton Drive o administras credenciales con Proton Pass, Proton mantiene tus datos seguros y protegidos de accesos no autorizados.

Privado por defecto

Cuando usas Proton Mail, los correos electrónicos enviados dentro de tu organización cuentan con cifrado de extremo a extremo por defecto, lo que significa que los mensajes y archivos adjuntos se bloquean en tu dispositivo antes de enviarse a nuestros servidores y solo el destinatario puede desbloquearlos y leerlos. En el caso de los correos electrónicos a cuentas que no son de Proton Mail, puedes enviar correos electrónicos protegidos con contraseña, y el cifrado de acceso cero se encarga de proteger automáticamente los correos entrantes.

En cualquier caso, los mensajes siempre están cifrados en nuestros servidores. Esto significa que incluso en el caso de una vulneración del servidor, los correos electrónicos de tu empresa permanecen seguros y resultan ilegibles para cualquier persona excepto para ti, protegiendo tu información confidencial de los ciberataques.

Es matemáticamente imposible que Proton descifre tus mensajes, archivos y muchos tipos de metadatos. (Consulta qué se cifra.) Y dado que Proton tiene su sede en Suiza, los pocos datos que se recopilan sobre ti están protegidos por las leyes de privacidad suizas y no están sujetos a solicitudes de organismos de seguridad extranjeros.

Defiéndete de los hackers

Proton también cuenta con varias capas de defensa contra posibles ciberataques:

  • PhishGuard: El filtro PhishGuard de Proton está diseñado para identificar y marcar intentos de suplantación. Cuando se detecta un ataque de suplantación, verás una advertencia.
  • Autenticación de dos factores (2FA): Proton Mail ofrece seguridad más allá de una simple contraseña con autenticación de dos factores (2FA). Proton soporta varios métodos 2FA, incluidas aplicaciones de autenticación y llaves de seguridad físicas, lo que significa que puedes elegir la opción más cómoda y segura. Con un plan Proton for Business, los administradores también pueden imponer la 2FA como obligatoria para sus organizaciones con el fin de reforzar la seguridad entre los empleados.
  • Proton Sentinel: este es el programa avanzado de protección de cuentas de Proton, disponible con un plan Proton Mail Professional o Proton Business Suite. Está diseñado para ofrecer la máxima seguridad a quienes la necesitan, combinando la IA con el análisis humano. Resulta especialmente útil si eres un ejecutivo o alguien que maneja datos y comunicaciones sensibles. Proton Sentinel ofrece soporte las 24 horas del día, los 7 días de la semana, para remitir los intentos de inicio de sesión sospechosos a analistas de seguridad.

Cumple con las normativas gracias a Proton

Nuestro objetivo es remodelar internet para que las personas y las organizaciones tengan el control de sus datos.

Cambiar a Proton Mail es sencillo con nuestra función Easy Switch, que te permite migrar de forma fluida todos los correos electrónicos, contactos y calendarios de tu organización desde otros servicios sin necesidad de formación para tu equipo.

Nuestro equipo de soporte también está disponible las 24 horas, los 7 días de la semana, para brindarte ayuda en vivo si necesitas asistencia adicional. Proton Mail, nuestro correo electrónico cifrado de extremo a extremo, y Proton Drive, nuestro servicio de almacenamiento en la nube cifrado de extremo a extremo, facilitan el cumplimiento de los requisitos de privacidad y protección de datos.

Usar Proton for Business ofrece ventajas adicionales, como:

  • Proton Mail: protege las comunicaciones de tu empresa con un correo electrónico cifrado de extremo a extremo, lo que garantiza que solo tú y tus destinatarios podáis leer vuestros mensajes.
  • Proton VPN: protege tu conexión a internet y tu actividad online con un Acceder a una VPN de alta velocidad.
  • Proton Calendar: administra tu agenda con un calendario cifrado que mantiene privados tus eventos de empresa.
  • Proton Pass: guarda y administra tus contraseñas de forma segura con nuestro gestor de contraseñas cifrado.
  • Proton Drive: almacena y comparte archivos de empresa de forma segura con el cifrado de extremo a extremo, garantizando que tus datos permanezcan privados y protegidos.
Obtén Proton for Business

Al trasladar tu negocio al ecosistema de Proton, te proteges a ti mismo y a los datos que se te confían, cumples con la normativa y ayudas a construir un futuro en el que la privacidad sea la opción por defecto.