Mikäli olette perustamassa tai johtamassa yritystä, joka käsittelee rikosoikeudellisia tietoja (CJI) urakoitsijana valtion tai lainvalvontaviranomaisten kanssa, olette todennäköisesti tietoisia CJIS-vaatimustenmukaisuudesta.

Jos ette, tämä artikkeli auttaa teitä ymmärtämään, mitä CJIS-vaatimustenmukaisuus on, kenen on noudatettava sitä ja miten voitte käyttää yksityisyyden huomioivia työkaluja ja palveluita, jotta yrityksenne täyttää nämä standardit.

Mikä on CJIS?

CJIS-tietoturvakäytäntö(uusi ikkuna) on tietoturvastandardien kokonaisuus, jonka on koonnut FBI:n(uusi ikkuna) Criminal Justice Information Services(uusi ikkuna) (CJIS) -osasto. Ne on suunniteltu suojaamaan CJI-tietoja niiden elinkaaren jokaisessa vaiheessa – keräämisestä tallennukseen, jakamiseen ja hävittämiseen.

CJIS-vaatimustenmukaisuus ei ole välttämätöntä vain yhdysvaltalaisille organisaatioille, vaan myös kansainvälisille yrityksille, jotka työskentelevät Yhdysvaltain lainvalvontaviranomaisten tai valtion virastojen kanssa. CJIS-tietoturvakäytännön noudattamisesta on tullut alan standardi yrityksille, jotka käsittelevät, tallentavat tai prosessoivat CJI-tietoja.

Mitä tietoja CJIS sisältää?

CJIS-käytännön piiriin kuuluu monentyyppisiä tietoja:

  • Biometriset tiedot: Fyysisistä tai käyttäytymisominaisuuksista kerätyt tiedot (esim. sormenjäljet, kasvojentunnistus), joiden avulla henkilöt tunnistetaan.
  • Henkilöllisyyshistoriatiedot: Tekstitiedot, jotka on yhdistetty biometrisiin tietoihin. Näitä tietoja käytetään usein rikollisen toiminnan historian kokoamiseen.
  • Elämäkertatiedot: Tiettyyn tapaukseen liittyvät tiedot, joita ei välttämättä ole linkitetty henkilön henkilöllisyyteen.
  • Omaisuustiedot: Tiedot ajoneuvoista ja omaisuudesta, jotka liittyvät tapaukseen.
  • Tapaus-/tapahtumahistoria: Henkilön rikoshistoria.
  • Henkilötiedot (PII): Kaikki tiedot, joita voidaan käyttää henkilön tunnistamiseen, mukaan lukien nimet, sosiaaliturvatunnukset ja biometriset tietueet.

Mikäli osavaltion, paikalliset tai liittovaltion lainvalvontaviranomaiset käyttävät rikosoikeudellisia tietoja FBI:n kautta, asianmukaisia valvontatoimia on sovellettava koko niiden elinkaaren ajan.

Kenen on oltava CJIS-yhteensopiva?

Kaikkien CJI-tietoja käsittelevien organisaatioiden, mukaan lukien lainvalvontaviranomaisten, yksityisten urakoitsijoiden ja pilvipalveluntarjoajien, on noudatettava CJIS-standardeja.

Vaikka kyseessä on ensisijaisesti FBI:n vaatimus, CJIS-vaatimustenmukaisuudesta on tullut käytännössä alan standardi kaiken siihen liittyvän tiedon arkaluonteisuuden vuoksi. Vaikka organisaatio ei työskentelisi suoraan FBI:n kanssa mutta käsittelee CJI-tietoja, sen on noudatettava CJIS-standardeja jatkaakseen toimintaansa ilman seuraamuksia.

Tämä ulottuu tietojärjestelmiin, varmuuskopioihin, verkkoihin ja laitteisiin – kuten tulostimiin – jotka ovat vuorovaikutuksessa CJI-tietojen kanssa, ja niitä kaikkia on suojattava CJIS-ohjeiden mukaisesti.

Yritystä voi odottaa liittovaltion ja osavaltion siviili- ja rikosoikeudelliset seuraamukset CJIS-tietojen virheellisestä käytöstä tai levittämisestä. Näihin rangaistuksiin voi sisältyä sakkoja sekä CJIS-käyttöoikeuden hyllyttäminen, peruuttaminen tai käytön valvonta(uusi ikkuna).

On tärkeää huomata, että minkään sellaisen valtion elimen keräämät tiedot, joka kerää, käsittelee tai käyttää rikosoikeudellisia tietoja (CJI), eivät kuulu CJIS-valvonnan piiriin, ellei niitä ole toimitettu National Data Exchange (N-DEx)(uusi ikkuna) -järjestelmään.

Kun tiedot on kuitenkin toimitettu, niiden on noudatettava CJIS-standardeja. N-DEx on keskeinen järjestelmä rikosoikeudellisten tietojen jakamiseen virastojen välillä, ja se mahdollistaa näiden tietojen hallinnan turvallisesti ja johdonmukaisesti.

Criminal Justice Information Services (CJIS) Audit Unit (CAU) suojaa rikosoikeudellisten tietojen eheyttä auditoimalla virastoja, jotka käyttävät CJIS-järjestelmiä ja -ohjelmia. Näitä virastoja ovat(uusi ikkuna) muun muassa:

  • Osavaltion CSA ja tietovarasto
  • Osavaltion UCR-ohjelmatoimisto
  • Liittovaltion CSA
  • Liittovaltion sääntelemä virasto
  • Yhdysvaltain territoriossa sijaitseva virasto, jolla on Wide Area Network -yhteys
  • FBI:n hyväksymä kanavoija (FBI:n valitsema urakoitsija, joka helpottaa sormenjälkien sähköistä toimittamista muuhun kuin rikosoikeudelliseen taustaselvitykseen valtuutetun vastaanottajan puolesta)
  • Rikoshistoriatietojen valtuutettu vastaanottaja
  • Seksuaalirikollisten rekisteri
  • Law Enforcement Enterprise Portal -henkilöllisyydentarjoaja
  • Mikä tahansa FBI:n osa

Salaus on avain CJIS-vaatimustenmukaisuuteen

Päästäkseen CJIS-tietokantoihin organisaatioiden on noudatettava useita tietoturvastandardeja, kuten otettava käyttöön monivaiheinen tunnistautuminen (MFA) käyttäjien henkilöllisyyden todentamiseksi, ylläpidettävä tiukkaa pääsynvalvontaa arkaluonteisten tietojen katselun tai muuttamisen rajoittamiseksi ja valvottava fyysisiä turvatoimia CJI-tietoja käsittelevien järjestelmien ja laitteiden suojaamiseksi.

Salaus on kuitenkin keskeisessä asemassa CJIS-vaatimustenmukaisuudessa.

Mitä salaus on?

Salaus on tapa peittää tiedot siten, ettei kukaan muu kuin ne, joille tiedot on tarkoitettu, voi käyttää niitä. Tämä tehdään tietokoneohjelmilla, jotka käyttävät matemaattisia algoritmeja tietojen lukitsemiseen ja avaamiseen.

CJIS-tietoturvakäytännössä on kaksi osiota, joissa mainitaan nimenomaisesti salaus:

  • Osio 5.10.1.2.1: Kun CJI-tietoja siirretään fyysisesti turvallisen sijainnin ulkopuolelle, tiedot on suojattava välittömästi salauksella. Kun salausta käytetään, käytettävän kryptografisen moduulin on oltava FIPS 140-2 -sertifioitu ja siinä on käytettävä vähintään 128-bittistä symmetristä salausavainta CJI-tietojen suojaamiseksi.
  • Osio 5.10.1.2.2: Kun CJI-tietoja säilytetään (ts. ne on tallennettu digitaalisesti) fyysisesti turvallisen sijainnin ulkopuolella, tiedot on suojattava salauksella. Kun salausta käytetään, virastojen on joko salattava CJI-tiedot yllä olevan osion 5.10.1.2.1 standardin mukaisesti tai käytettävä symmetristä salausta, joka on FIPS 197 -sertifioitu (AES) ja vähintään 256-bittinen.

Salaus auttaa varmistamaan, että CJI-tiedot on suojattu sekä tallennettuina että siirron aikana. Valitettavasti monet verkkopalvelut, kuten pilvitallennus ja sähköposti, eivät käytä päästä päähän -salausta oletusarvoisesti, mikä jättää tiedot alttiiksi siirron aikana.

Loimme Protonin vuonna 2014 vastaamaan tähän tarpeeseen. Sveitsin CERNissä (Euroopan hiukkasfysiikan tutkimuskeskus) tavanneiden tutkijoiden kehittämä Proton suojaa arkaluonteiset sähköpostit, tiedostot, salasanat ja muut tiedot vankalla päästä päähän -salauksella tavalla, joka on myös helppo kenen tahansa käyttää. Nykyään yli 100 miljoonaa käyttäjää, mukaan lukien hallitukset, sotilasyksiköt ja Fortune 500 -yritykset, luottavat Protoniin tietojensa suojaamisessa ja tietosuojastandardien noudattamisessa.

Suojatkaa tietonne Protonilla

Lähetittepä tietoja Proton Mailin kautta, tallensittepa tiedostoja Proton Driveen tai hallitsittepa kirjautumistietoja Proton Passilla, Proton pitää tietonne turvassa ja suojattuina luvattomalta käytöltä.

Yksityinen oletuksena

Kun käytätte Proton Mailia, organisaationne sisällä lähetetyt sähköpostit ovat päästä päähän -salattuja oletusarvoisesti. Tämä tarkoittaa, että viestit ja liitteet lukitaan laitteellanne ennen niiden siirtämistä palvelimillemme, ja vain vastaanottaja voi avata ja lukea ne. Sähköpostit muille kuin Proton Mail -tileille voitte lähettää salasanasuojattuina sähköposteina, ja zero-access-salaus on käytössä suojaamaan saapuvat sähköpostit automaattisesti.

Jokaisessa tapauksessa viestit on aina salattu palvelimillamme. Tämä tarkoittaa, että jopa palvelinmurron sattuessa yrityksenne sähköpostit pysyvät turvassa ja lukukelvottomina muille kuin teille, mikä suojaa luottamuksellisia tietojanne kyberhyökkäyksiltä.

Protonin on matemaattisesti mahdotonta purkaa viestienne, tiedostojenne ja monentyyppisten metatietojenne salausta. (Katso, mikä on salattu.) Koska Proton toimii Sveitsistä käsin, kerätyt vähäiset tiedot teistä on suojattu Sveitsin tietosuojalailla, eivätkä ne ole ulkomaisten lainvalvontaviranomaisten pyyntöjen alaisia.

Puolustautukaa hakkereita vastaan

Protonilla on myös useita puolustuskerroksia mahdollisia kyberhyökkäyksiä vastaan:

  • PhishGuard: Protonin PhishGuard-suodatin on suunniteltu tunnistamaan ja merkitsemään tietojenkalasteluyritykset. Kun tietojenkalasteluhyökkäys havaitaan, näet varoituksen.
  • Kaksivaiheinen tunnistautuminen (2FA): Proton Mail tarjoaa pelkkää salasanaa parempaa turvaa kaksivaiheisella tunnistautumisella (2FA). Proton tukee useita 2FA-menetelmiä, mukaan lukien tunnistautumissovellukset ja fyysiset turva-avaimet, mikä tarkoittaa, että voit valita kätevimmän ja turvallisimman vaihtoehdon. Proton Business -tilauksella ylläpitäjät voivat myös pakottaa 2FA:n pakolliseksi organisaatioilleen vahvistaakseen turvallisuutta työntekijöiden keskuudessa.
  • Proton Sentinel: Tämä on Protonin edistynyt tilinsuojausohjelma, joka on saatavilla Proton Mail Professional- tai Proton Business Suite -tilauksilla. Se on suunniteltu tarjoamaan maksimaalista suojaa niille, jotka sitä tarvitsevat, yhdistämällä tekoälyn ja asiantuntija-analyysin. Tämä on erityisen hyödyllistä, jos olette johtotehtävissä — tai käsittelette arkaluonteisia tietoja ja viestintää. Proton Sentinel tarjoaa tukea ympäri vuorokauden epäilyttävien kirjautumisyritysten eskaloimiseksi tietoturva-analyytikoille.

Pysykää säädöstenmukaisena Protonin avulla

Tavoitteemme on muokata internetiä uudelleen siten, että ihmiset ja organisaatiot voivat hallita omia tietojaan.

Siirtyminen Proton Mailiin on helppoa Easy Switch -ominaisuutemme avulla, jonka avulla voitte siirtää saumattomasti kaikki organisaationne sähköpostit, yhteystiedot ja kalenterit muista palveluista ilman, että tiiminne tarvitsee koulutusta.

Tukitiimimme on myös käytettävissä vuorokauden ympäri tarjoamassa reaaliaikaista tukea, jos tarvitsette lisäapua. Proton Mail, päästä päähän -salattu sähköpostimme, ja Proton Drive, päästä päähän -salattu pilvitallennuspalvelumme, tekevät tietosuoja- ja yksityisyysvaatimusten täyttämisestä helppoa.

Proton for Businessin käyttäminen tarjoaa lisäetuja, kuten:

  • Proton Mail: Suojatkaa yrityksenne viestintä päästä päähän -salatulla sähköpostilla varmistaen, että vain te ja tarkoitetut vastaanottajat voitte lukea viestinne.
  • Proton VPN: Turvatkaa internet-yhteytenne ja suojatkaa verkkotoimintanne korkeanopeuksisella VPN-yhteydellä.
  • Proton Calendar: Hallitkaa aikatauluanne salatulla kalenterilla, joka pitää yrityksenne tapahtumat yksityisinä.
  • Proton Pass: Säilyttäkää ja hallitkaa salasanojanne turvallisesti salatulla salasananhallinnallamme.
  • Proton Drive: Säilyttäkää ja jakakaa yrityksen tiedostoja turvallisesti päästä päähän -salauksella, varmistaen että tietonne pysyvät yksityisinä ja suojattuina.
Hanki Proton for Business

Kun siirrätte yrityksenne Proton-ekosysteemiin, suojaatte samalla itseänne ja teille uskottuja tietoja, pysytte säädöstenmukaisena ja autatte rakentamaan tulevaisuutta, jossa yksityisyys on oletusarvo.