Als u een bedrijf start of exploiteert dat werkt met strafrechtelijke informatie (CJI) als contractant van overheidsinstanties of wetshandhavingsinstanties, bent u waarschijnlijk op de hoogte van CJIS-naleving.

Zo niet, dan helpt dit artikel u te begrijpen wat CJIS-naleving is, wie eraan moet voldoen en hoe u toegang kunt krijgen tot privacygerichte tools en diensten zodat uw bedrijf aan deze normen voldoet.

Wat is CJIS?

Het CJIS-beveiligingsbeleid(nieuw venster) is een reeks beveiligingsnormen samengesteld door de afdeling Criminal Justice Information Services(nieuw venster) (CJIS) van de FBI(nieuw venster). Deze normen zijn ontworpen om CJI te beschermen in elke fase van de levenscyclus — van verzameling tot opslag, delen en vernietiging.

CJIS-naleving is niet alleen essentieel voor in de VS gevestigde organisaties, maar ook voor internationale bedrijven die samenwerken met Amerikaanse wetshandhavings- of overheidsinstanties. Het is een industriestandaard geworden voor bedrijven die CJI hanteren, opslaan of verwerken om zich aan het CJIS-beveiligingsbeleid te houden.

Welke gegevens vallen onder CJIS?

Er zijn veel soorten informatie die onder het CJIS-beleid vallen:

  • Biometrische gegevens: gegevens afgeleid van fysieke of gedragskenmerken (bijv. vingerafdrukken, gezichtsherkenning) waarmee personen worden geïdentificeerd.
  • Identiteitsgeschiedenisgegevens: tekstgegevens die zijn gekoppeld aan biometrische gegevens. Deze gegevens worden vaak gebruikt om een geschiedenis van criminele activiteiten samen te stellen.
  • Biografische gegevens: informatie die is gekoppeld aan een specifieke zaak, maar niet noodzakelijkerwijs aan de identiteit van een persoon.
  • Eigendomsgegevens: informatie over voertuigen en eigendommen die verband houden met een incident.
  • Zaak-/incidentgeschiedenis: de criminele geschiedenis van een persoon.
  • Persoonlijk identificeerbare informatie (PII): alle informatie die kan worden gebruikt om een persoon te identificeren, inclusief namen, burgerservicenummers en biometrische gegevens

Als staats-, lokale of federale wetshandhavingsinstanties toegang hebben tot strafrechtelijke informatie via de FBI, moeten er gedurende de gehele levenscyclus passende controles worden toegepast.

Wie moet voldoen aan CJIS?

Elke organisatie die CJI hanteert, inclusief wetshandhavingsinstanties, privécontractanten en cloudserviceproviders, moet voldoen aan de CJIS-normen.

Hoewel het primair een vereiste van de FBI is, is CJIS-naleving effectief een industriestandaard geworden vanwege de gevoelige aard van alle betrokken gegevens. Zelfs als een organisatie niet rechtstreeks met de FBI samenwerkt maar wel CJI hanteert, moet deze voldoen aan de CJIS-normen om de activiteiten zonder gevolgen te kunnen voortzetten.

Dit geldt ook voor gegevenssystemen, back-ups, netwerken en apparaten — zoals printers — die interactie hebben met CJI, die allemaal beschermd moeten worden volgens de CJIS-richtlijnen.

Een bedrijf kan te maken krijgen met federale en staatsrechtelijke civiele en strafrechtelijke sancties voor het onjuist raadplegen of verspreiden van CJIS-gegevens. Deze sancties kunnen bestaan uit boetes, evenals schorsing, intrekking of het monitoren van de toegang tot CJIS(nieuw venster).

Het is belangrijk op te merken dat informatie die is verzameld door een overheidsinstantie die strafrechtelijke informatie (CJI) verzamelt, verwerkt of gebruikt, niet onderworpen is aan CJIS-controles, tenzij deze is ingediend bij het National Data Exchange (N-DEx)(nieuw venster)-systeem.

Eenmaal ingediend, moet de informatie echter voldoen aan de CJIS-normen. N-DEx is een belangrijk systeem voor het delen van strafrechtelijke informatie tussen instanties, waardoor die gegevens veilig en consistent kunnen worden beheerd​.

De Criminal Justice Information Services (CJIS) Audit Unit (CAU) beschermt de integriteit van strafrechtelijke informatie door instanties te auditen die CJIS-systemen en -programma’s gebruiken. Deze instanties omvatten(nieuw venster):

  • Staat-CSA en opslagplaats
  • Kantoor van het staat-UCR-programma
  • Federale CSA
  • Federaal gereguleerde instantie
  • Instantie binnen een Amerikaans territorium met een Wide Area Network-verbinding
  • Door de FBI goedgekeurde kanalisator (een door de FBI gekozen aannemer die de elektronische indiening van vingerafdrukken faciliteert voor niet-strafrechtelijke achtergrondcontroles namens een geautoriseerde ontvanger)
  • Geautoriseerde ontvanger van informatie uit strafregisters
  • Register van zedendelinquenten
  • Identiteitsprovider van het Law Enforcement Enterprise Portal
  • Elk FBI-onderdeel

Voor CJIS-naleving is versleuteling essentieel

Om toegang te krijgen tot CJIS-databases moeten organisaties voldoen aan een reeks beveiligingsnormen, waaronder het implementeren van multi-factor authenticatie (MFA) om de identiteit van gebruikers te verifiëren, het handhaven van strikte toegangscontroles om te beperken wie gevoelige gegevens kan inzien of wijzigen, en het afdwingen van fysieke beveiligingsmaatregelen om systemen en apparaten die CJI hanteren te beschermen.

Versleuteling is echter essentieel voor CJIS-naleving.

Wat is versleuteling?

Versleuteling is een manier om informatie onleesbaar te maken, zodat niemand behalve de personen voor wie het bedoeld is er toegang toe heeft. Dit gebeurt met computerprogramma’s die wiskundige algoritmen gebruiken die de informatie vergrendelen en ontgrendelen.

Er zijn twee secties in het CJIS-beveiligingsbeleid die expliciet melding maken van versleuteling:

  • Sectie 5.10.1.2.1: Wanneer CJI buiten de grenzen van de fysiek beveiligde locatie wordt verzonden, moeten de gegevens onmiddellijk via versleuteling worden beschermd. Wanneer versleuteling wordt toegepast, moet de gebruikte cryptografische module FIPS 140-2 gecertificeerd zijn en een symmetrische cipher-sleutelsterkte van ten minste 128 bit gebruiken om CJI te beschermen.
  • Sectie 5.10.1.2.2: Wanneer CJI in rust is (d.w.z. digitaal opgeslagen) buiten de grenzen van de fysiek beveiligde locatie, moeten de gegevens via versleuteling worden beschermd. Wanneer versleuteling wordt toegepast, moeten instanties CJI versleutelen in overeenstemming met de norm in Sectie 5.10.1.2.1 hierboven, of een symmetrische cipher gebruiken die FIPS 197 gecertificeerd is (AES) en een sterkte van ten minste 256 bit heeft.

Versleuteling helpt ervoor te zorgen dat CJI zowel in rust als tijdens transport wordt beschermd. Helaas gebruiken veel online diensten, zoals voor cloudopslag en e-mail, niet standaard end-to-end versleuteling, waardoor gegevens kwetsbaar blijven tijdens de verzending.

We hebben Proton in 2014 opgericht om in deze behoefte te voorzien. Proton is ontwikkeld door wetenschappers die elkaar ontmoetten bij CERN (de Europese Organisatie voor Nucleair Onderzoek) in Zwitserland en beveiligt gevoelige e-mails, bestanden, wachtwoorden en andere gegevens met robuuste end-to-end versleuteling op een manier die ook voor iedereen gemakkelijk te gebruiken is. Vandaag de dag vertrouwen meer dan 100 miljoen gebruikers, waaronder overheden, militaire eenheden en Fortune 500-bedrijven, op Proton om hun informatie te beveiligen en te voldoen aan de normen voor gegevensbescherming.

Bescherm uw gegevens met Proton

Of u nu informatie verzendt via Proton Mail, bestanden opslaat in Proton Drive of inloggegevens beheert met Proton Pass, Proton houdt uw gegevens veilig en beschermd tegen ongeoorloofde toegang.

Standaard privé

Wanneer u Proton Mail gebruikt, worden e-mails die binnen uw organisatie worden verzonden standaard end-to-end versleuteld. Dit betekent dat de berichten en bijlagen op uw apparaat worden vergrendeld voordat ze naar onze servers worden verzonden en alleen door de ontvanger kunnen worden ontgrendeld en gelezen. Voor e-mails naar niet-Proton Mail-accounts kunt u met een wachtwoord beveiligde e-mails verzenden en is er zero-access versleuteling om inkomende e-mails automatisch te beveiligen.

In elk geval worden berichten altijd versleuteld op onze servers. Dit betekent dat zelfs in het geval van een serverinbreuk, de e-mails van uw bedrijf veilig en onleesbaar blijven voor iedereen behalve u, waardoor uw vertrouwelijke informatie wordt beschermd tegen cyberaanvallen.

Het is wiskundig onmogelijk voor Proton om uw berichten, bestanden en veel soorten metagegevens te ontsleutelen. (Bekijk wat er versleuteld wordt.) En aangezien Proton gevestigd is in Zwitserland, worden de weinige gegevens die over u worden verzameld beschermd door de Zwitserse privacywetgeving en zijn ze niet onderworpen aan verzoeken van buitenlandse wetshandhavingsinstanties.

Verdedig tegen hackers

Proton heeft ook verschillende verdedigingslagen tegen mogelijke cyberaanvallen:

  • PhishGuard: Protons PhishGuard-filter is ontworpen om phishingpogingen te identificeren en te markeren. Wanneer een phishingaanval wordt gedetecteerd, ziet u een waarschuwing.
  • Tweestapsverificatie (2FA): Proton Mail biedt meer beveiliging dan alleen een wachtwoord met tweestapsverificatie (2FA). Proton ondersteunt verschillende 2FA-methoden, waaronder authenticatie-apps en fysieke beveiligingssleutels, wat betekent dat u de handigste en veiligste optie kunt kiezen. Met een Proton for Business-abonnement kunnen beheerders 2FA ook verplicht stellen voor hun organisaties om de beveiliging bij werknemers te versterken.
  • Proton Sentinel: Dit is het geavanceerde accountbeveiligingsprogramma van Proton, dat beschikbaar is bij een Proton Mail Professional- of Proton Business Suite-abonnement. Het is ontworpen om maximale beveiliging te bieden aan degenen die dit nodig hebben door AI te combineren met menselijke analyse. Dit is met name handig als u een leidinggevende bent — of iemand die met gevoelige gegevens en communicatie werkt. Proton Sentinel biedt 24/7 ondersteuning om verdachte inlogpogingen te escaleren naar beveiligingsanalisten.

Blijf compliant met Proton

Ons doel is om het internet te hervormen, zodat mensen en organisaties de controle over hun gegevens krijgen.

Overstappen naar Proton Mail is eenvoudig met onze Easy Switch-functie, waarmee u naadloos alle e-mails, contacten en agenda’s van uw organisatie kunt overzetten van andere diensten, zonder dat er training vereist is voor uw team.

Ons ondersteuningsteam staat ook 24/7 voor u klaar om live ondersteuning te bieden als u extra hulp nodig heeft. Proton Mail, onze end-to-end versleutelde e-mail, en Proton Drive, onze end-to-end versleutelde cloudopslagdienst, maken het eenvoudig om te voldoen aan de vereisten voor gegevensbescherming en privacy.

Het gebruik van Proton for Business biedt extra voordelen, waaronder:

  • Proton Mail: Bescherm uw zakelijke communicatie met end-to-end versleutelde e-mail en zorg ervoor dat alleen u en uw beoogde ontvangers uw berichten kunnen lezen.
  • Proton VPN: Beveilig uw internetverbinding en bescherm uw online activiteiten met snelle VPN-toegang.
  • Proton Calendar: Beheer uw planning met een versleutelde agenda die uw zakelijke afspraken privé houdt.
  • Proton Pass: Bewaar en beheer uw wachtwoorden veilig met onze versleutelde wachtwoordbeheerder.
  • Proton Drive: Bewaar en deel zakelijke bestanden veilig met end-to-end versleuteling, zodat uw gegevens privé en beschermd blijven.
Krijg Proton for Business

Wanneer u uw bedrijf naar het Proton-ecosysteem verplaatst, beschermt u tegelijkertijd uzelf en de gegevens die aan u zijn toevertrouwd, blijft u compliant en helpt u mee aan een toekomst waarin privacy de standaard is.