Se você está começando ou operando uma empresa que trabalha com informações de justiça criminal (CJI) como contratada de agências governamentais ou policiais, provavelmente você conhece a conformidade com a CJIS.

Caso contrário, este artigo ajudará você a entender o que é a conformidade com a CJIS, quem precisa estar em conformidade e como você pode acessar ferramentas e serviços com foco em privacidade para que sua empresa atenda a esses padrões.

O que é a CJIS?

A Política de Segurança da CJIS(nova janela) é um conjunto de padrões de segurança reunidos pela divisão de Serviços de Informação de Justiça Criminal(nova janela) (CJIS) do FBI(nova janela). Eles foram desenvolvidos para proteger a CJI em todas as etapas do seu ciclo de vida — da coleta e armazenamento ao compartilhamento e descarte.

A conformidade com a CJIS não é essencial apenas para organizações sediadas nos EUA, mas também para empresas internacionais que trabalham com agências governamentais ou policiais dos EUA. Tornou-se um padrão da indústria para empresas que lidam, armazenam ou processam CJI aderir à Política de Segurança da CJIS.

Quais dados a CJIS inclui?

Existem muitos tipos de informações que se enquadram na política da CJIS:

  • Dados biométricos: dados extraídos de características físicas ou comportamentais (por exemplo, impressões digitais, reconhecimento facial) que identificam indivíduos.
  • Dados de histórico de identidade: dados de texto vinculados a dados biométricos. Esses dados são frequentemente usados para montar um histórico de atividades criminais.
  • Dados biográficos: informações vinculadas a um caso específico, mas não necessariamente ligadas à identidade de uma pessoa.
  • Dados de propriedade: informações sobre veículos e propriedades associadas a um incidente.
  • Histórico de caso/incidente: o histórico criminal de uma pessoa.
  • Informações de identificação pessoal (PII): qualquer informação que possa ser usada para identificar uma pessoa, incluindo nomes, números de Seguro Social e registros biométricos

Se agências policiais estaduais, locais ou federais acessarem informações de justiça criminal por meio do FBI, controles apropriados devem ser aplicados em todo o seu ciclo de vida.

Quem precisa estar em conformidade com a CJIS?

Qualquer organização que lide com CJI, incluindo agências policiais, contratados privados e provedores de serviços em nuvem, deve cumprir os padrões da CJIS.

Embora seja principalmente um requisito do FBI, a conformidade com a CJIS tornou-se efetivamente um padrão da indústria devido à natureza sensível de todos os dados envolvidos. Mesmo que uma organização não trabalhe diretamente com o FBI, mas lide com CJI, ela deve cumprir os padrões da CJIS para continuar as operações sem repercussões.

Isso se estende a sistemas de dados, backups, redes e dispositivos — como impressoras — que interagem com a CJI, os quais devem ser todos protegidos sob as diretrizes da CJIS.

Uma empresa pode enfrentar penalidades civis e criminais federais e estaduais por acessar ou disseminar indevidamente dados da CJIS. Essas penalidades podem incluir multas, bem como suspensão, revogação ou monitoramento do acesso à CJIS(nova janela).

É importante notar que as informações coletadas por qualquer entidade governamental que reúna, processe ou use informações de justiça criminal (CJI) não estão sujeitas aos controles da CJIS, a menos que tenham sido enviadas ao sistema National Data Exchange (N-DEx)(nova janela).

Uma vez enviadas, no entanto, as informações devem aderir aos padrões da CJIS. O N-DEx é um sistema fundamental para compartilhar informações de justiça criminal entre agências, permitindo que esses dados sejam gerenciados de forma segura e consistente.

A Unidade de Auditoria (CAU) dos Serviços de Informação de Justiça Criminal (CJIS) protege a integridade das informações de justiça criminal auditando agências que usam sistemas e programas da CJIS. Essas agências incluem(nova janela):

  • CSA estadual e repositório
  • Escritório do Programa UCR estadual
  • CSA federal
  • Agência regulamentada federalmente
  • Agência dentro de um território dos EUA com uma conexão de Rede de Área Ampla (WAN)
  • Canalizador aprovado pelo FBI (um contratado escolhido pelo FBI que facilita o envio eletrônico de impressões digitais para verificações de antecedentes de justiça não criminal em nome de um destinatário autorizado)
  • Destinatário autorizado de informações de registro de histórico criminal
  • Registro de agressores sexuais
  • Provedor de identidade do Portal Law Enforcement Enterprise
  • Qualquer componente do FBI

Para a conformidade com a CJIS, a criptografia é fundamental

Para acessar os bancos de dados da CJIS, as organizações devem cumprir uma série de padrões de segurança, incluindo a implementação da autenticação de múltiplos fatores (MFA) para verificar as identidades dos usuários, a manutenção de controles de acesso rigorosos para limitar quem pode visualizar ou alterar dados sensíveis e a aplicação de medidas de segurança física para proteger sistemas e dispositivos que lidam com CJI.

A criptografia, no entanto, é a chave para a conformidade com a CJIS.

O que é criptografia?

A criptografia é uma forma de ocultar informações para que ninguém, exceto as pessoas a quem se destinam, possa acessá-las. Isso é feito com programas de computador que usam algoritmos matemáticos para bloquear e desbloquear as informações.

Existem duas seções da Política de Segurança da CJIS que mencionam explicitamente a criptografia:

  • Seção 5.10.1.2.1: Quando a CJI for transmitida fora dos limites do local fisicamente seguro, os dados devem ser protegidos imediatamente por meio de criptografia. Quando a criptografia for empregada, o módulo criptográfico usado deve ser certificado FIPS 140-2 e usar uma força de chave de cifra simétrica de pelo menos 128 bits para proteger a CJI.
  • Seção 5.10.1.2.2: Quando a CJI estiver em repouso (ou seja, armazenada digitalmente) fora dos limites do local fisicamente seguro, os dados devem ser protegidos por meio de criptografia. Quando a criptografia for empregada, as agências devem criptografar a CJI de acordo com o padrão na Seção 5.10.1.2.1 acima ou usar uma cifra simétrica com certificação FIPS 197 (AES) e pelo menos 256 bits de força.

A criptografia ajuda a garantir que a CJI esteja protegida tanto em repouso quanto em trânsito. Infelizmente, muitos serviços on-line, como os de armazenamento em nuvem e e-mail, não usam criptografia de ponta a ponta por padrão, deixando os dados vulneráveis durante a transmissão.

Criamos o Proton em 2014 para preencher essa necessidade. Desenvolvido por cientistas que se conheceram no CERN (Organização Europeia para Pesquisa Nuclear) na Suíça, o Proton protege e-mails, arquivos, senhas e outros dados sensíveis com criptografia de ponta a ponta robusta de uma forma que também é fácil para qualquer pessoa usar. Hoje, mais de 100 milhões de usuários, incluindo governos, unidades militares e empresas da Fortune 500, confiam no Proton para proteger suas informações e cumprir os padrões de proteção de dados.

Proteja seus dados com o Proton

Esteja você enviando informações pelo Proton Mail, armazenando arquivos no Proton Drive ou gerenciando credenciais com o Proton Pass, o Proton mantém seus dados seguros e protegidos contra acesso não autorizado.

Privado por padrão

Quando você usa o Proton Mail, os e-mails enviados dentro da sua organização são criptografados de ponta a ponta por padrão, o que significa que as mensagens e anexos são bloqueados no seu dispositivo antes de serem transmitidos para nossos servidores e só podem ser desbloqueados e lidos pelo destinatário. Para e-mails para contas que não são do Proton Mail, você pode enviar e-mails protegidos por senha, e a criptografia de acesso zero está em vigor para proteger e-mails recebidos automaticamente.

Em todos os casos, as mensagens são sempre criptografadas em nossos servidores. Isso significa que mesmo no caso de uma violação de servidor, os e-mails da sua empresa permanecem seguros e ilegíveis para qualquer pessoa, exceto você, protegendo suas informações confidenciais de ataques cibernéticos.

É matematicamente impossível para o Proton descriptografar suas mensagens, arquivos e muitos tipos de metadados. (Veja o que é criptografado.) E como o Proton está sediado na Suíça, os poucos dados coletados sobre você são protegidos pelas leis de privacidade suíças e não estão sujeitos a solicitações de autoridades estrangeiras.

Defenda-se contra hackers

O Proton também possui várias camadas de defesa contra possíveis ataques cibernéticos:

  • PhishGuard: O filtro PhishGuard da Proton foi projetado para identificar e sinalizar tentativas de phishing. Quando um ataque de phishing é detectado, você verá um aviso.
  • Autenticação de dois fatores (A2F): O Proton Mail oferece segurança além de apenas uma senha com autenticação de dois fatores (A2F). A Proton suporta vários métodos de A2F, incluindo aplicativos de autenticação e chaves de segurança físicas, o que significa que você pode escolher a opção mais conveniente e segura. Com um plano Proton for Business, os administradores também podem impor a A2F como obrigatória para suas organizações para fortalecer a segurança entre os funcionários.
  • Proton Sentinel: este é o programa de proteção de conta avançado da Proton, disponível nos planos Proton Mail Professional ou Proton Business Suite. Ele foi projetado para oferecer o máximo de segurança para quem precisa, combinando IA com análise humana. Isso é especialmente útil se você for um executivo — ou alguém que lida com dados e comunicações sensíveis. O Proton Sentinel oferece suporte 24 horas por dia, 7 dias por semana, para encaminhar tentativas de início de sessão suspeitas a analistas de segurança.

Mantenha a conformidade com a Proton

Nosso objetivo é remodelar a internet para colocar as pessoas e organizações no controle de seus dados.

Mudar para o Proton Mail é simples com o nosso recurso Easy Switch, que permite que você faça a transição de todos os e-mails, contatos e calendários da sua organização de outros serviços sem a necessidade de treinamento para sua equipe.

Nossa equipe de suporte também está disponível 24 horas por dia, 7 dias por semana, para oferecer suporte ao vivo se você precisar de ajuda adicional. O Proton Mail, nosso e-mail criptografado de ponta a ponta, e o Proton Drive, nosso serviço de armazenamento em nuvem criptografado de ponta a ponta, facilitam o cumprimento dos requisitos de proteção de dados e privacidade.

O uso do Proton for Business oferece benefícios adicionais, incluindo:

  • Proton Mail: proteja as comunicações da sua empresa com e-mail criptografado de ponta a ponta, garantindo que apenas você e seus destinatários pretendidos possam ler suas mensagens.
  • Proton VPN: proteja sua conexão com a internet e sua atividade on-line com acesso VPN de alta velocidade.
  • Proton Calendar: gerencie sua agenda com um calendário criptografado que mantém os eventos da sua empresa privados.
  • Proton Pass: armazene e gerencie suas senhas com segurança com o nosso gerenciador de senhas criptografado.
  • Proton Drive: armazene com segurança e compartilhe arquivos de trabalho com criptografia de ponta a ponta, garantindo que seus dados permaneçam privados e protegidos.
Obter o Proton for Business

Quando você move sua empresa para o ecossistema Proton, está protegendo a si mesmo e aos dados confiados a você, mantendo a conformidade e ajudando a construir um futuro onde a privacidade é o padrão.