Jeśli zakładasz lub prowadzisz firmę współpracującą z informacjami wymiaru sprawiedliwości w sprawach karnych (CJI) jako wykonawca agencji rządowych lub organów ścigania, prawdopodobnie wiesz, czym jest zgodność z CJIS.

Jeśli nie, ten artykuł pomoże Ci zrozumieć, czym jest zgodność z CJIS, kto musi jej przestrzegać i jak możesz uzyskać dostęp do narzędzi i usług stawiających na prywatność, aby Twoja firma spełniała te standardy.

Co to jest CJIS?

Zasada bezpieczeństwa CJIS(nowe okno) to zestaw standardów bezpieczeństwa opracowanych przez wydział Criminal Justice Information Services(nowe okno) (CJIS) należący do FBI(nowe okno). Zostały one zaprojektowane w celu ochrony danych CJI na każdym etapie ich cyklu życia – od gromadzenia, przez przestrzeń dyskową i udostępnianie, aż po usuwanie.

Zgodność z CJIS jest niezbędna nie tylko dla organizacji z siedzibą w USA, ale także dla międzynarodowych firm współpracujących z amerykańskimi organami ścigania lub agencjami rządowymi. Przestrzeganie zasad bezpieczeństwa CJIS stało się standardem branżowym dla firm, które przetwarzają lub przechowują CJI.

Jakie dane obejmuje CJIS?

Istnieje wiele rodzajów informacji, które podlegają zasadzie CJIS:

  • Dane biometryczne: dane wyodrębnione z cech fizycznych lub behawioralnych (np. odciski klucza, rozpoznawanie twarzy), które identyfikują osoby.
  • Dane o historii tożsamości: dane tekstowe powiązane z danymi biometrycznymi. Dane te są często wykorzystywane do sporządzania historii działalności przestępczej.
  • Dane biograficzne: informacje powiązane z konkretną sprawą, ale niekoniecznie z tożsamością danej osoby.
  • Dane o mieniu: informacje o pojazdach i mieniu powiązanym z incydentem.
  • Historia sprawy/incydentu: historia kryminalna danej osoby.
  • Dane osobowe (PII): wszelkie informacje, które można wykorzystać do zidentyfikowania osoby, w tym imiona i nazwiska, numery ubezpieczenia społecznego i rekordy biometryczne.

Jeśli stanowe, lokalne lub federalne organy ścigania uzyskują dostęp do informacji wymiaru sprawiedliwości w sprawach karnych za pośrednictwem FBI, należy zastosować odpowiednie mechanizmy kontrolne w całym cyklu życia tych danych.

Kto musi przestrzegać standardów CJIS?

Każda organizacja, która przetwarza CJI, w tym organy ścigania, prywatni wykonawcy i dostawcy usług w chmurze, musi przestrzegać standardów CJIS.

Choć jest to przede wszystkim wymóg FBI, zgodność z CJIS stała się de facto standardem branżowym ze względu na wrażliwy charakter wszystkich zaangażowanych danych. Nawet jeśli organizacja nie współpracuje bezpośrednio z FBI, ale przetwarza CJI, musi przestrzegać standardów CJIS, aby móc kontynuować działalność bez konsekwencji.

Dotyczy to również systemów danych, kopii zapasowych, sieci i urządzeń – takich jak drukarki – które mają styczność z CJI i muszą być chronione zgodnie z wytycznymi CJIS.

Firma może narazić się na federalne i stanowe kary cywilne i karne za niewłaściwy dostęp lub rozpowszechnianie danych CJIS. Kary te mogą obejmować grzywny, a także zawieszenie, cofnięcie lub monitoring dostępu do CJIS(nowe okno).

Należy pamiętać, że informacje zebrane przez jakikolwiek podmiot rządowy, który gromadzi, przetwarza lub wykorzystuje informacje wymiaru sprawiedliwości (CJI), nie podlegają kontroli CJIS, dopóki nie zostaną przekazane do systemu National Data Exchange (N-DEx)(nowe okno).

Jednak po przesłaniu informacje muszą być zgodne ze standardami CJIS. N-DEx jest kluczowym systemem do udostępniania informacji wymiaru sprawiedliwości w sprawach karnych między agencjami, umożliwiającym bezpieczne i spójne zarządzanie tymi danymi.

Jednostka audytowa (CAU) Criminal Justice Information Services (CJIS) chroni integralność informacji wymiaru sprawiedliwości w sprawach karnych poprzez audytowanie agencji korzystających z systemów i programów CJIS. Agencje te obejmują(nowe okno):

  • Stanowe CSA i repozytoria
  • Biura stanowego programu UCR
  • Federalne CSA
  • Agencje regulowane federalnie
  • Agencje na terytorium USA z połączeniem z siecią rozległą (WAN)
  • Zatwierdzonych przez FBI pośredników (wykonawców wybranych przez FBI, którzy ułatwiają elektroniczne przesyłanie odcisków klucza w celu sprawdzania przeszłości w sprawach niekarnych w imieniu upoważnionego odbiorcy)
  • Upoważnionych odbiorców informacji o historii kryminalnej
  • Rejestry przestępców seksualnych
  • Dostawców tożsamości dla Law Enforcement Enterprise Portal
  • Wszelkie komponenty FBI

W przypadku zgodności z CJIS kluczowe jest szyfrowanie

Aby uzyskać dostęp do baz danych CJIS, organizacje muszą spełniać szereg standardów bezpieczeństwa, w tym wdrażać uwierzytelnianie wieloskładnikowe (MFA) w celu weryfikacji tożsamości użytkowników, utrzymywać rygorystyczne kontrole dostępu w celu ograniczenia tego, kto może przeglądać lub zmieniać wrażliwe dane, oraz stosować fizyczne środki bezpieczeństwa w celu ochrony systemów i urządzeń przetwarzających CJI.

Szyfrowanie jest jednak kluczem do zgodności z CJIS.

Co to jest szyfrowanie?

Szyfrowanie to sposób na utajnienie informacji tak, aby nikt poza osobami, dla których są one przeznaczone, nie mógł uzyskać do nich dostępu. Odbywa się to za pomocą programów komputerowych wykorzystujących algorytmy matematyczne, które blokują i odblokowują informacje.

Istnieją dwie sekcje zasad bezpieczeństwa CJIS, które wyraźnie wspomínają o szyfrowaniu:

  • Sekcja 5.10.1.2.1: Gdy dane CJI są przesyłane poza granice fizycznie bezpiecznej lokalizacji, muszą być natychmiast chronione za pomocą szyfrowania. W przypadku stosowania szyfrowania używany moduł kryptograficzny musi posiadać certyfikat FIPS 140-2 i wykorzystywać symetryczny klucz szyfrujący o sile co najmniej 128 bitów do ochrony CJI.
  • Sekcja 5.10.1.2.2: Gdy dane CJI są w spoczynku (tj. przechowywane cyfrowo) poza granicami fizycznie bezpiecznej lokalizacji, muszą być chronione za pomocą szyfrowania. W przypadku stosowania szyfrowania agencje powinny albo szyfrować CJI zgodnie ze standardem w sekcji 5.10.1.2.1 powyżej, albo używać szyfru symetrycznego z certyfikatem FIPS 197 (AES) o sile co najmniej 256 bitów.

Szyfrowanie pomaga zapewnić ochronę danych CJI zarówno w spoczynku, jak i podczas przesyłania. Niestety wiele usług online, takich jak przestrzeń dyskowa w chmurze i poczta email, domyślnie nie stosuje szyfrowania end-to-end, co sprawia, że dane są narażone na ataki podczas transmisji.

Stworzyliśmy Proton w 2014 roku, aby odpowiedzieć na tę potrzebę. Opracowany przez naukowców, którzy poznali się w CERN (Europejskiej Organizacji Badań Jądrowych) w Szwajcarii, Proton zabezpiecza wrażliwe wiadomości e-mail, pliki, hasła i inne dane za pomocą solidnego szyfrowania end-to-end w sposób, który jest jednocześnie łatwy dla każdego. Dziś ponad 100 milionów użytkowników, w tym rządy, jednostki wojskowe i firmy z listy Fortune 500, ufa Protonowi w kwestii zabezpieczania swoich informacji i zachowania zgodności ze standardami ochrony danych.

Chroń swoje dane z Protonem

Niezależnie od tego, czy wysyłasz informacje przez Proton Mail, przechowujesz pliki w Proton Drive, czy zarządzasz danymi logowania w Proton Pass, Proton dba o bezpieczeństwo Twoich danych i chroni je przed nieautoryzowanym dostępem.

Domyślnie prywatny

Gdy korzystasz z Proton Mail, wiadomości wysyłane w Twojej organizacji są domyślnie zaszyfrowane end-to-end, co oznacza, że wiadomości i załączniki są blokowane na Twoim urządzeniu przed przesłaniem na nasze serwery i mogą zostać odblokowane i przeczytane tylko przez odbiorcę. W przypadku wiadomości e-mail na konta spoza Proton Mail możesz wysyłać wiadomości chronione hasłem, a szyfrowanie zero-access automatycznie zabezpiecza wiadomości przychodzące.

W każdym przypadku wiadomości są zawsze szyfrowane na naszych serwerach. Oznacza to, że nawet w przypadku naruszenia bezpieczeństwa serwera wiadomości e-mail Twojej firmy pozostają bezpieczne i nieczytelne dla nikogo poza Tobą, co chroni Twoje poufne informacje przed cyberatakami.

Odszyfrowanie Twoich wiadomości, plików i wielu rodzajów metadanych przez Proton jest matematycznie niemożliwe. (Zobacz, co jest szyfrowane.) A ponieważ siedziba Proton znajduje się w Szwajcarii, te nieliczne dane na Twój temat, które gromadzimy, są chronione przez szwajcarskie prawo o prywatności i nie podlegają wnioskom zagranicznych organów ścigania.

Obroń się przed hakerami

Proton posiada również kilka warstw obrony przed potencjalnymi cyberatakami:

  • PhishGuard: Filtr PhishGuard od Proton został zaprojektowany do identyfikowania i oznaczania prób phishingu. Gdy wykryty zostanie atak phishingowy, zobaczysz ostrzeżenie.
  • Uwierzytelnianie dwustopniowe (2FA): Proton Mail oferuje bezpieczeństwo wykraczające poza samo hasło dzięki uwierzytelnianiu dwustopniowemu (2FA). Proton obsługuje kilka metod 2FA, w tym aplikacje uwierzytelniające i fizyczne klucze bezpieczeństwa, co oznacza, że możesz wybrać najwygodniejszą i najbezpieczniejszą opcję. Dzięki planowi Proton dla firm administratorzy mogą również wymusić 2FA jako obowiązkowe dla swoich organizacji, aby wzmocnić bezpieczeństwo wśród pracowników.
  • Proton Sentinel: to zaawansowany program ochrony konta Proton, dostępny w planach Proton Mail Professional lub Proton Business Suite. Został zaprojektowany, aby zapewnić maksymalne bezpieczeństwo tym, którzy go potrzebują, poprzez połączenie sztucznej inteligencji z analizą ludzką. Jest to szczególnie przydatne, jeśli zajmujesz wysokie stanowisko lub pracujesz z wrażliwymi danymi i komunikacją. Proton Sentinel oferuje wsparcie 24/7 w celu eskalacji podejrzanych prób zalogowania się do analityków ds. bezpieczeństwa.

Zachowaj zgodność z Proton

Naszym celem jest przekształcenie internetu tak, aby ludzie i organizacje miały kontrolę nad swoimi danymi.

Przejście na Proton Mail jest proste dzięki funkcji Easy Switch, która pozwala bezproblemowo przenieść wszystkie wiadomości e-mail, kontakty i kalendarze organizacji z innych usług, bez konieczności szkolenia zespołu.

Nasz zespół ds. wsparcia jest również dostępny 24/7, aby zapewnić pomoc na żywo, jeśli będziesz potrzebować dodatkowego wsparcia. Proton Mail, nasza poczta elektroniczna zaszyfrowana end-to-end, oraz Proton Drive, nasza usługa chmury zaszyfrowanej end-to-end, ułatwiają spełnienie wymogów w zakresie ochrony danych i prywatności.

Korzystanie z Proton for Business oferuje dodatkowe korzyści, w tym:

  • Proton Mail: chroń komunikację biznesową za pomocą szyfrowanej poczty elektronicznej end-to-end, dając pewność, że tylko Ty i Twoi adresaci możecie odczytać wiadomości.
  • Proton VPN: zabezpiecz swoje połączenie internetowe i chroń aktywność online dzięki szybkiemu dostępowi do VPN.
  • Proton Calendar: zarządzaj swoim harmonogramem za pomocą zaszyfrowanego kalendarza, który dba o prywatność Twoich wydarzeń biznesowych.
  • Proton Pass: bezpiecznie przechowuj hasła i zarządzaj nimi dzięki naszemu zaszyfrowanemu menedżerowi haseł.
  • Proton Drive: bezpiecznie przechowuj i udostępniaj pliki biznesowe z szyfrowaniem end-to-end, dbając o to, by Twoje dane pozostały prywatne i chronione.
Wybierz Proton for Business

Przenosząc swój biznes do ekosystemu Proton, jednocześnie chronisz siebie i powierzone Ci dane, zachowujesz zgodność z przepisami i pomagasz budować przyszłość, w której prywatność jest standardem.