Hvis du starter eller driver en virksomhet som jobber med kriminalitetsinformasjon (CJI) som entreprenør for myndigheter eller rettshåndhevende organer, er du sannsynligvis klar over CJIS-samsvar.

Hvis ikke, vil denne artikkelen hjelpe deg med å forstå hva CJIS-samsvar er, hvem som må overholde det, og hvordan du kan få tilgang til verktøy og tjenester med fokus på personvern slik at virksomheten din oppfyller disse standardene.

Hva er CJIS?

CJIS Security Policy(nytt vindu) er et sett med sikkerhetsstandarder sammensatt av FBIs(nytt vindu) avdeling for Criminal Justice Information Services(nytt vindu) (CJIS). De ble utformet for å beskytte CJI i alle faser av livssyklusen – fra innsamling til lagring, deling og avhending.

CJIS-samsvar er ikke bare viktig for organisasjoner basert i USA, men også for internasjonale virksomheter som samarbeider med amerikanske rettshåndhevende myndigheter eller statlige organer. Det har blitt en bransjestandard for selskaper som håndterer, lagrer eller behandler CJI å følge CJIS’ retningslinjer for sikkerhet.

Hvilke data inkluderer CJIS?

Det er mange typer informasjon som faller under CJIS-retningslinjen:

  • Biometriske data: Data hentet fra fysiske eller atferdsmessige trekk (f.eks. fingeravtrykk, ansiktsgjenkjenning) som identifiserer enkeltpersoner.
  • Identitetshistorikk: Tekstdata som er lenket til biometriske data. Disse dataene brukes ofte til å sette sammen en historikk over kriminell aktivitet.
  • Biografiske data: Informasjon knyttet til en bestemt sak, men ikke nødvendigvis lenket til en persons identitet.
  • Eiendomsdata: Informasjon om kjøretøy og eiendom knyttet til en hendelse.
  • Saks-/hendelseshistorikk: En persons kriminelle historikk.
  • Personlig identifiserbar informasjon (PII): All informasjon som kan brukes til å identifisere en person, inkludert navn, personnummer og biometriske poster.

Hvis statlige, lokale eller føderale rettshåndhevende organer får tilgang til kriminalitetsinformasjon gjennom FBI, må hensiktsmessige kontroller brukes gjennom hele livssyklusen.

Hvem må være i samsvar med CJIS?

Enhver organisasjon som håndterer CJI, inkludert rettshåndhevende organer, private entreprenører og leverandører av skytjenester, må overholde CJIS-standardene.

Selv om det primært er et krav fra FBI, har CJIS-samsvar i praksis blitt en bransjestandard på grunn av de involverte dataenes sensitive natur. Selv om en organisasjon ikke jobber direkte med FBI, men håndterer CJI, må den overholde CJIS-standardene for å fortsette driften uten sanksjoner.

Dette strekker seg til datasystemer, sikkerhetskopier, nettverk og enheter — slik som skrivere — som samhandler med CJI, som alle må beskyttes i henhold til CJIS-retningslinjene.

Et selskap kan risikere føderale og statlige sivilrettslige og strafferettslige sanksjoner for urettmessig tilgang til eller spredning av CJIS-data. Disse sanksjonene kan inkludere bøter, samt suspensjon, tilbakekalling eller overvåking av tilgang til CJIS(nytt vindu).

Det er viktig å merke seg at informasjon samlet inn av enhver statlig enhet som samler inn, behandler eller bruker kriminalitetsinformasjon (CJI), ikke er underlagt CJIS-kontroller med mindre den er sendt inn til National Data Exchange (N-DEx)(nytt vindu)-systemet.

Når informasjonen først er sendt inn, må den imidlertid overholde CJIS-standardene. N-DEx er et nøkkelsystem for deling av kriminalitetsinformasjon på tvers av organer, noe som gjør at dataene kan administreres sikkert og konsekvent.

Criminal Justice Information Services (CJIS) Audit Unit (CAU) beskytter integriteten til kriminalitetsinformasjon ved å revidere organer som bruker CJIS-systemer og -programmer. Disse organene inkluderer(nytt vindu):

  • Statlig CSA og depot
  • Statlig UCR-programkontor
  • Føderal CSA
  • Føderalt regulert organ
  • Organ innenfor et amerikansk territorium med en Wide Area Network-tilkobling
  • FBI-godkjent formidler (en entreprenør valgt av FBI som forenkler elektronisk innsending av fingeravtrykk for bakgrunnssjekker av ikke-kriminell art på vegne av en autorisert mottaker)
  • Autorisert mottaker av informasjon fra strafferegistre
  • Register over seksualforbrytere
  • Identitetsleverandør for Law Enforcement Enterprise Portal
  • Enhver FBI-komponent

For CJIS-samsvar er kryptering avgjørende

For å få tilgang til CJIS-databaser må organisasjoner overholde en rekke sikkerhetsstandarder, inkludert implementering av multifaktor-autentisering (MFA) for å verifisere brukeridentiteter, opprettholde strenge tilgangskontroller for å begrense hvem som kan se eller endre sensitive data, og håndheve fysiske sikkerhetstiltak for å beskytte systemer og enheter som håndterer CJI.

Kryptering er imidlertid nøkkelen til CJIS-samsvar.

Hva er kryptering?

Kryptering er en måte å skjule informasjon på slik at ingen andre enn personene den er ment for, kan få tilgang til den. Dette gjøres med dataprogrammer som bruker matematiske algoritmer som låser og låser opp informasjonen.

Det er to seksjoner i CJIS’ retningslinjer for sikkerhet som eksplisitt nevner kryptering:

  • Seksjon 5.10.1.2.1: Når CJI overføres utenfor grensene til den fysisk sikre plasseringen, skal dataene umiddelbart beskyttes via kryptering. Når kryptering brukes, skal den kryptografiske modulen som brukes være FIPS 140-2-sertifisert og bruke en symmetrisk krypteringsnøkkelstyrke på minst 128 bit for å beskytte CJI.
  • Seksjon 5.10.1.2.2: Når CJI er i ro (dvs. lagret digitalt) utenfor grensene til den fysisk sikre plasseringen, skal dataene beskyttes via kryptering. Når kryptering brukes, skal organer enten kryptere CJI i samsvar med standarden i seksjon 5.10.1.2.1 ovenfor, eller bruke en symmetrisk kryptering som er FIPS 197-sertifisert (AES) og har en styrke på minst 256 bit.

Kryptering bidrar til å sikre at CJI er beskyttet både i ro og under overføring. Dessverre bruker mange nettbaserte tjenester, for eksempel for skylagring og e-post, ikke ende-til-ende-kryptering som standard, noe som gjør data sårbare under overføring.

Vi skapte Proton i 2014 for å dekke dette behovet. Proton er utviklet av forskere som møttes ved CERN (den europeiske organisasjonen for kjernefysisk forskning) i Sveits, og sikrer sensitive e-poster, filer, passord og andre data med robust ende-til-ende-kryptering på en måte som også er enkel for alle å bruke. I dag stoler over 100 millioner brukere, inkludert regjeringer, militære enheter og Fortune 500-selskaper, på at Proton sikrer informasjonen deres og overholder standarder for databeskyttelse.

Beskytt dine data med Proton

Enten du sender informasjon gjennom Proton Mail, lagrer filer i Proton Drive eller administrerer påloggingsinformasjon med Proton Pass, holder Proton dataene dine sikre og beskyttet mot uautorisert tilgang.

Privat som standard

Når du bruker Proton Mail, er e-poster som sendes innenfor organisasjonen din ende-til-ende-kryptert som standard, noe som betyr at meldingene og vedleggene låses på enheten din før de sendes til tjenerne våre, og kan bare låses opp og leses av mottakeren. For e-poster til kontoer som ikke bruker Proton Mail, kan du sende passordbeskyttede e-poster, og nulltilgangskryptering er på plass for å sikre innkommende e-poster automatisk.

I alle tilfeller er meldinger alltid kryptert på tjenerne våre. Dette betyr at selv i tilfelle et brudd på en tjener, forblir bedriftens e-poster sikre og uleselige for alle andre enn deg, noe som beskytter din konfidensielle informasjon mot cyberangrep.

Det er matematisk umulig for Proton å dekryptere dine meldinger, filer og mange typer metadata. (Se hva som er kryptert.) Og siden Proton er basert i Sveits, er de få dataene som samles inn om deg beskyttet av sveitsiske lover om personvern og er ikke underlagt forespørsler fra utenlandske rettshåndhevende myndigheter.

Forsvar mot hackere

Proton har også flere lag med forsvar mot potensielle cyberangrep:

  • PhishGuard: Protons PhishGuard-filter er designet for å identifisere og flagge nettfiskingforsøk. Når et nettfiskingangrep oppdages, vil du se en advarsel.
  • Tofaktorautentisering (2FA): Proton Mail tilbyr sikkerhet utover bare et passord med tofaktorautentisering (2FA). Proton støtter flere 2FA-metoder, inkludert autentiseringsapper og fysiske sikkerhetsnøkler, noe som betyr at du kan velge det mest praktiske og sikre alternativet. Med et Proton for Business-abonnement kan administratorer også håndheve 2FA som obligatorisk for organisasjonene sine for å styrke sikkerheten blant de ansatte.
  • Proton Sentinel: Dette er Protons avanserte kontobeskyttelsesprogram, som er tilgjengelig med et Proton Mail Professional- eller Proton Business Suite-abonnement. Det er utviklet for å gi maksimal sikkerhet for de som trenger det ved å kombinere KI med menneskelig analyse. Dette er spesielt nyttig hvis du er en leder – eller noen som håndterer sensitive data og kommunikasjon. Proton Sentinel tilbyr støtte døgnet rundt for å eskalere mistenkelige påloggingsforsøk til sikkerhetsanalytikere.

Forbli i samsvar med Proton

Målet vårt er å forme internett på nytt for å gi mennesker og organisasjoner kontroll over egne data.

Det er enkelt å bytte til Proton Mail med vår Easy Switch-funksjon, slik at du sømløst kan overføre alle organisasjonens e-poster, kontakter og kalendere fra andre tjenester uten krav om opplæring for teamet ditt.

Støtteteamet vårt er også tilgjengelig døgnet rundt for å gi direkte støtte hvis du trenger mer hjelp. Proton Mail, vår ende-til-ende-krypterte e-post, og Proton Drive, vår ende-til-ende-krypterte tjeneste for skylagring, gjør det enkelt å oppfylle krav til personvern og databeskyttelse.

Bruk av Proton for Business gir ytterligere fordeler, inkludert:

  • Proton Mail: Beskytt bedriftskommunikasjonen din med ende-til-ende-kryptert e-post, som sikrer at bare du og dine tiltenkte mottakere kan lese meldingene dine.
  • Proton VPN: Sikre internettilkoblingen din og beskytt din nettaktivitet med høyhastighets-VPN-tilgang.
  • Proton Calendar: Administrer timeplanen din med en kryptert kalender som holder bedriftens hendelser private.
  • Proton Pass: Lagre og administrer passordene dine på en sikker måte med vår krypterte passordapp.
  • Proton Drive: Lagre og del bedriftsfiler på en sikker måte med ende-til-ende-kryptering, noe som sikrer at dataene dine forblir private og beskyttet.
Skaff deg Proton for Business

Når du flytter bedriften din inn i Proton-økosystemet, beskytter du samtidig deg selv og dataene du er betrodd, forblir i samsvar med regelverk, og hjelper til med å bygge en fremtid der personvern er standarden.