Se stai avviando o gestendo un’attività che lavora con informazioni sulla giustizia penale (CJI) come appaltatore per agenzie governative o forze dell’ordine, probabilmente conosci la conformità CJIS.

In caso contrario, questo articolo ti aiuterà a capire cos’è la conformità CJIS, chi deve rispettarla e come puoi accedere a strumenti e servizi che mettono al primo posto la privacy in modo che la tua attività soddisfi questi standard.

Cos’è il CJIS?

La Policy di sicurezza CJIS(nuova finestra) è un insieme di standard di sicurezza definiti dalla divisione Criminal Justice Information Services(nuova finestra) (CJIS) dell’FBI(nuova finestra). Sono stati progettati per proteggere le CJI in ogni fase del loro ciclo di vita: dalla raccolta all’archiviazione, dalla condivisione allo smaltimento.

La conformità CJIS non è essenziale solo per le organizzazioni con sede negli Stati Uniti, ma anche per le aziende internazionali che lavorano con le forze dell’ordine o le agenzie governative statunitensi. Per le aziende che gestiscono, archiviano o elaborano CJI, aderire alla Policy di sicurezza CJIS è diventato uno standard del settore.

Quali dati include il CJIS?

Esistono molti tipi di informazioni che rientrano nella Policy CJIS:

  • Dati biometrici: dati estratti da tratti fisici o comportamentali (ad esempio, impronte digitali, riconoscimento facciale) che identificano gli individui.
  • Dati della cronologia dell’identità: dati testuali collegati a dati biometrici. Questi dati vengono spesso utilizzati per ricostruire una cronologia delle attività criminali.
  • Dati biografici: informazioni legate a un caso specifico ma non necessariamente collegate all’identità di una persona.
  • Dati sulla proprietà: informazioni su veicoli e proprietà associati a un incidente.
  • Cronologia del caso/incidente: i precedenti penali di una persona.
  • Informazioni di identificazione personale (PII): qualsiasi informazione che possa essere utilizzata per identificare una persona, inclusi nomi, numeri di previdenza sociale e record biometrici

Se le forze dell’ordine statali, locali o federali accedono alle informazioni sulla giustizia penale tramite l’FBI, devono essere applicati controlli appropriati durante l’intero ciclo di vita.

Chi deve essere conforme al CJIS?

Qualsiasi organizzazione che gestisca CJI, comprese agenzie delle forze dell’ordine, appaltatori privati e fornitori di servizi cloud, deve rispettare gli standard CJIS.

Sebbene sia principalmente un requisito dell’FBI, la conformità CJIS è diventata di fatto uno standard del settore a causa della natura sensibile di tutti i dati coinvolti. Anche se un’organizzazione non lavora direttamente con l’FBI ma gestisce CJI, deve rispettare gli standard CJIS per continuare a operare senza ripercussioni.

Questo si estende a sistemi di dati, backup, reti e dispositivi, come le stampanti, che interagiscono con le CJI, i quali devono essere tutti protetti secondo le linee guida CJIS.

Un’azienda può incorrere in sanzioni civili e penali, federali e statali, per l’accesso o la divulgazione impropria di dati CJIS. Tali sanzioni potrebbero includere multe, nonché la sospensione, la revoca o il monitoraggio dell’accesso al CJIS(nuova finestra).

È importante notare che le informazioni raccolte da qualsiasi ente governativo che acquisisce, elabora o utilizza informazioni sulla giustizia penale (CJI) non sono soggette ai controlli CJIS a meno che non siano state inviate al sistema National Data Exchange (N-DEx)(nuova finestra).

Una volta inviate, tuttavia, le informazioni devono aderire agli standard CJIS. N-DEx è un sistema chiave per condividere informazioni sulla giustizia penale tra le agenzie, consentendo a tali dati di essere gestiti in modo sicuro e coerente.

La Criminal Justice Information Services (CJIS) Audit Unit (CAU) protegge l’integrità delle informazioni sulla giustizia penale effettuando verifiche sulle agenzie che utilizzano sistemi e programmi CJIS. Tali agenzie includono(nuova finestra):

  • CSA statale e archivio
  • Ufficio del programma UCR statale
  • CSA federale
  • Agenzia regolamentata a livello federale
  • Agenzia all’interno di un territorio degli Stati Uniti con una connessione Wide Area Network
  • Channeler approvato dall’FBI (un appaltatore scelto dall’FBI che facilita l’invio elettronico di impronte digitali per controlli sui precedenti penali per scopi non legati alla giustizia per conto di un destinatario autorizzato)
  • Destinatario autorizzato di informazioni sui precedenti penali
  • Registro degli autori di reati sessuali
  • Identity provider del Law Enforcement Enterprise Portal
  • Qualsiasi componente dell’FBI

Per la conformità CJIS, la crittografia è fondamentale

Per accedere ai database CJIS, le organizzazioni devono rispettare una serie di standard di sicurezza, tra cui l’implementazione dell’autenticazione a più fattori (MFA) per verificare le identità degli utenti, il mantenimento di rigorosi controlli di accesso per limitare chi può visualizzare o modificare dati sensibili e l’applicazione di misure di sicurezza fisica per proteggere i sistemi e i dispositivi che gestiscono le CJI.

La crittografia, tuttavia, è fondamentale per la conformità CJIS.

Cos’è la crittografia?

La crittografia è un modo per oscurare le informazioni in modo che nessuno, tranne le persone a cui sono destinate, possa accedervi. Ciò viene fatto con programmi per computer che utilizzano algoritmi matematici per bloccare e sbloccare le informazioni.

Esistono due sezioni della Policy di sicurezza CJIS che menzionano esplicitamente la crittografia:

  • Sezione 5.10.1.2.1: quando le CJI vengono trasmesse al di fuori dei confini di un luogo fisicamente sicuro, i dati devono essere immediatamente protetti tramite crittografia. Quando viene impiegata la crittografia, il modulo crittografico utilizzato deve essere certificato FIPS 140-2 e utilizzare una forza della chiave di cifratura simmetrica di almeno 128 bit per proteggere le CJI.
  • Sezione 5.10.1.2.2: quando le CJI sono a riposo (ovvero archiviate digitalmente) al di fuori dei confini di un luogo fisicamente sicuro, i dati devono essere protetti tramite crittografia. Quando viene impiegata la crittografia, le agenzie devono crittografare le CJI in conformità con lo standard della precedente Sezione 5.10.1.2.1 oppure utilizzare un cifrario simmetrico certificato FIPS 197 (AES) con una forza di almeno 256 bit.

La crittografia aiuta a garantire che le CJI siano protette sia a riposo che in transito. Purtroppo, molti servizi online, come quelli per l’ archiviazione cloud e l’ email, non utilizzano la crittografia end-to-end per impostazione predefinita, lasciando i dati vulnerabili durante la trasmissione.

Abbiamo creato Proton nel 2014 per soddisfare questa esigenza. Sviluppato da scienziati che si sono incontrati al CERN (l’Organizzazione europea per la ricerca nucleare) in Svizzera, Proton protegge email sensibili, file, password e altri dati con una solida crittografia end-to-end in modo facile da usare per chiunque. Oggi oltre 100 milioni di utenti, tra cui governi, unità militari e aziende Fortune 500, si fidano di Proton per proteggere le proprie informazioni e rispettare gli standard di protezione dei dati.

Proteggi i tuoi dati con Proton

Sia che tu stia inviando informazioni tramite Proton Mail, archiviando file in Proton Drive o gestendo credenziali con Proton Pass, Proton mantiene i tuoi dati al sicuro e protetti da accessi non autorizzati.

Privato per impostazione predefinita

Quando usi Proton Mail, le email inviate all’interno della tua organizzazione sono crittografate end-to-end per impostazione predefinita, il che significa che i messaggi e gli allegati vengono bloccati sul tuo dispositivo prima di essere trasmessi ai nostri server e possono essere sbloccati e letti solo dal destinatario. Per le email inviate ad account non Proton Mail, puoi inviare email protette da password, mentre la crittografia ad accesso zero è attiva per proteggere automaticamente le email in entrata.

In ogni caso, i messaggi sono sempre crittografati sui nostri server. Ciò significa che anche in caso di violazione del server, le email della tua azienda rimangono sicure e illeggibili per chiunque tranne che per te, proteggendo le tue informazioni riservate dai cyberattacchi.

È matematicamente impossibile per Proton decriptare i tuoi messaggi, i file e molti tipi di metadati. (Scopri cosa viene crittografato.) E poiché Proton ha sede in Svizzera, i pochi dati raccolti su di te sono protetti dalle leggi svizzere sulla privacy e non sono soggetti a richieste da parte di forze dell’ordine straniere.

Difenditi dagli hacker

Proton ha anche diversi livelli di difesa contro potenziali cyberattacchi:

  • PhishGuard: Il filtro PhishGuard di Proton è progettato per identificare e segnalare tentativi di phishing. Quando viene rilevato un attacco di phishing, vedrai un avviso.
  • Autenticazione a due fattori (2FA): Proton Mail offre una sicurezza che va oltre la semplice password con l’autenticazione a due fattori (2FA). Proton supporta diversi metodi 2FA, incluse app di autenticazione e chiavi di sicurezza fisiche, il che significa che puoi scegliere l’opzione più comoda e sicura. Con un piano Proton for Business, gli amministratori possono anche imporre la 2FA come obbligatoria per le loro organizzazioni per rafforzare la sicurezza tra i dipendenti.
  • Proton Sentinel: questo è il programma avanzato di protezione dell’account di Proton, disponibile con un piano Proton Mail Professional o Proton Business Suite. È progettato per fornire la massima sicurezza a chi ne ha bisogno, combinando l’intelligenza artificiale con l’analisi umana. È particolarmente utile se sei un dirigente o se ti occupi di dati e comunicazioni sensibili. Proton Sentinel offre supporto 24/7 per segnalare tentativi di login sospetti agli analisti della sicurezza.

Resta conforme con Proton

Il nostro obiettivo è rimodellare l’internet per dare alle persone e alle organizzazioni il controllo sui propri dati.

Passare a Proton Mail è semplice con la nostra funzionalità Easy Switch, che ti permette di trasferire senza problemi tutte le email, i contatti e i calendari della tua organizzazione da altri servizi senza che sia necessaria alcuna formazione per il tuo team.

Il nostro team di supporto è disponibile 24/7 per fornire supporto dal vivo se hai bisogno di ulteriore aiuto. Proton Mail, la nostra email crittografata end-to-end, e Proton Drive, il nostro servizio di archiviazione cloud crittografato end-to-end, semplificano il rispetto dei requisiti di protezione dei dati e della privacy.

L’utilizzo di Proton for Business offre ulteriori vantaggi, tra cui:

  • Proton Mail: proteggi le tue comunicazioni aziendali con un’email crittografata end-to-end, assicurandoti che solo tu e i destinatari previsti possiate leggere i tuoi messaggi.
  • Proton VPN: metti in sicurezza la tua connessione internet e proteggi la tua attività online con un accesso VPN ad alta velocità.
  • Proton Calendar: gestisci i tuoi impegni con un calendario crittografato che mantiene privati gli eventi aziendali.
  • Proton Pass: archivia e gestisci le tue password in modo sicuro con il nostro gestore di password crittografato.
  • Proton Drive: archivia e condividi i file aziendali in modo sicuro con la crittografia end-to-end, assicurandoti che i tuoi dati rimangano privati e protetti.
Ottieni Proton for Business

Quando sposti la tua attività nell’ecosistema Proton, proteggi contemporaneamente te stesso e i dati che ti vengono affidati, restando conforme e aiutando a costruire un futuro in cui la privacy è l’impostazione predefinita.