Se está a iniciar ou a operar uma empresa que trabalha com informações de justiça criminal (CJI) como contratante de agências governamentais ou policiais, provavelmente está a par da conformidade com CJIS.

Caso contrário, este artigo irá ajudá-lo a compreender o que é a conformidade com CJIS, quem precisa de estar em conformidade e como pode aceder a ferramentas e serviços que privilegiam a privacidade para que a sua empresa cumpra estas normas.

O que é o CJIS?

A Política de Segurança do CJIS(nova janela) é um conjunto de normas de segurança reunidas pela divisão de Serviços de Informação de Justiça Criminal(nova janela) (CJIS) do FBI(nova janela). Foram concebidas para proteger a CJI em todas as fases do seu ciclo de vida — desde a recolha ao armazenamento, partilha e eliminação.

A conformidade com CJIS não é apenas essencial para organizações sediadas nos EUA, mas também para empresas internacionais que trabalham com agências governamentais ou policiais dos EUA. Tornou-se uma norma do setor que as empresas que gerem, armazenam ou processam CJI adiram à Política de Segurança do CJIS.

Que dados inclui o CJIS?

Existem muitos tipos de informação que abrangidos pela política do CJIS:

  • Dados biométricos: Dados extraídos de traços físicos ou comportamentais (por exemplo, impressões digitais, reconhecimento facial) que identificam indivíduos.
  • Dados de histórico de identidade: Dados de texto associados a dados biométricos. Estes dados são frequentemente utilizados para reunir um histórico de atividade criminal.
  • Dados biográficos: Informações ligadas a um caso específico, mas não necessariamente associadas à identidade de uma pessoa.
  • Dados de propriedade: Informações sobre veículos e propriedades associadas a um incidente.
  • Histórico de casos/incidentes: O histórico criminal de uma pessoa.
  • Informações de identificação pessoal (PII): Qualquer informação que possa ser utilizada para identificar uma pessoa, incluindo nomes, números de Segurança Social e registos biométricos

Se agências policiais estaduais, locais ou federais acederem a informações de justiça criminal através do FBI, devem ser aplicados controlos adequados ao longo de todo o seu ciclo de vida.

Quem precisa de estar em conformidade com o CJIS?

Qualquer organização que lide com CJI, incluindo agências policiais, contratantes privados e fornecedores de serviços na nuvem, deve cumprir as normas do CJIS.

Embora seja primordialmente um requisito do FBI, a conformidade com CJIS tornou-se efetivamente uma norma do setor devido à natureza sensível de todos os dados envolvidos. Mesmo que uma organização não trabalhe diretamente com o FBI mas lide com CJI, deve cumprir as normas do CJIS para continuar as operações sem repercussões.

Isto estende-se a sistemas de dados, cópias de segurança, redes e dispositivos — tais como impressoras — que interagem com CJI, devendo todos ser protegidos sob as diretrizes do CJIS.

Uma empresa pode enfrentar sanções civis e criminais federais e estaduais por aceder ou divulgar indevidamente dados do CJIS. Essas sanções podem incluir multas, bem como a suspensão, revogação ou monitorização do acesso ao CJIS(nova janela).

É importante notar que a informação recolhida por qualquer entidade governamental que reúna, processe ou utilize informações de justiça criminal (CJI) não está sujeita aos controlos do CJIS, a menos que tenha sido submetida ao sistema de Troca Nacional de Dados (N-DEx)(nova janela).

Uma vez submetida, no entanto, a informação deve aderir às normas do CJIS. O N-DEx é um sistema fundamental para a partilha de informações de justiça criminal entre agências, permitindo que esses dados sejam geridos de forma segura e consistente​.

A Unidade de Auditoria (CAU) dos Serviços de Informação de Justiça Criminal (CJIS) protege a integridade das informações de justiça criminal através da auditoria a agências que utilizam sistemas e programas do CJIS. Essas agências incluem(nova janela):

  • CSA estadual e repositório
  • Gabinete do Programa UCR estadual
  • CSA federal
  • Agência regulada federalmente
  • Agência dentro de um território dos EUA com uma ligação de Rede de Área Alargada (WAN)
  • Canalizador aprovado pelo FBI (um contratante escolhido pelo FBI que facilita a submissão eletrónica de impressões digitais para verificações de antecedentes de justiça não criminal em nome de um destinatário autorizado)
  • Destinatário autorizado de informações de registo de histórico criminal
  • Registo de agressores sexuais
  • Fornecedor de identidade do Portal de Empresas Policiais
  • Qualquer componente do FBI

Para a conformidade com CJIS, a encriptação é fundamental

Para aceder às bases de dados do CJIS, as organizações devem cumprir uma série de normas de segurança, incluindo a implementação de autenticação multi-fator (MFA) para verificar as identidades dos utilizadores, a manutenção de controlos de acesso rigorosos para limitar quem pode visualizar ou alterar dados sensíveis e a aplicação de medidas de segurança física para proteger sistemas e dispositivos que lidam com CJI.

A encriptação, no entanto, é fundamental para a conformidade com CJIS.

O que é a encriptação?

A encriptação é uma forma de ocultar informações para que ninguém, exceto as pessoas a quem se destinam, possa aceder às mesmas. Isto é feito com programas de computador que utilizam algoritmos matemáticos que bloqueiam e desbloqueiam a informação.

Existem duas secções da Política de Segurança do CJIS que mencionam explicitamente a encriptação:

  • Secção 5.10.1.2.1: Quando a CJI é transmitida fora dos limites do local fisicamente seguro, os dados devem ser imediatamente protegidos através de encriptação. Quando a encriptação é utilizada, o módulo criptográfico utilizado deve ter certificação FIPS 140-2 e utilizar uma força de chave de cifra simétrica de, pelo menos, 128 bits para proteger a CJI.
  • Secção 5.10.1.2.2: Quando a CJI está em repouso (ou seja, armazenada digitalmente) fora dos limites do local fisicamente seguro, os dados devem ser protegidos através de encriptação. Quando a encriptação é utilizada, as agências devem encriptar a CJI de acordo com a norma na Secção 5.10.1.2.1 acima ou utilizar uma cifra simétrica com certificação FIPS 197 (AES) e pelo menos 256 bits de força.

A encriptação ajuda a garantir que a CJI está protegida tanto em repouso como em trânsito. Infelizmente, muitos serviços online, como para armazenamento na nuvem e e-mail, não utilizam encriptação ponto a ponto por predefinição, deixando os dados vulneráveis durante a transmissão.

Criámos a Proton em 2014 para preencher esta necessidade. Desenvolvida por cientistas que se conheceram no CERN (Organização Europeia para a Pesquisa Nuclear) na Suíça, a Proton protege e-mails, ficheiros, palavras-passe e outros dados sensíveis com uma encriptação ponto a ponto robusta de uma forma que também é fácil de usar para qualquer pessoa. Atualmente, mais de 100 milhões de utilizadores, incluindo governos, unidades militares e empresas da Fortune 500, confiam na Proton para proteger a sua informação e cumprir as normas de proteção de dados.

Proteja os seus dados com a Proton

Quer esteja a enviar informações através do Proton Mail, a armazenar ficheiros no Proton Drive ou a gerir credenciais com o Proton Pass, a Proton mantém os seus dados seguros e protegidos contra acessos não autorizados.

Privado por predefinição

Quando utiliza o Proton Mail, os e-mails enviados dentro da sua organização são encriptados de ponto a ponto por predefinição, o que significa que as mensagens e os anexos são bloqueados no seu dispositivo antes de serem transmitidos para os nossos servidores e só podem ser desbloqueados e lidos pelo destinatário. Para e-mails para contas que não sejam Proton Mail, pode enviar e-mails protegidos por palavra-passe, existindo encriptação de acesso zero para proteger os e-mails recebidos automaticamente.

Em todos os casos, as mensagens são sempre encriptadas nos nossos servidores. Isto significa que, mesmo na eventualidade de um incidente no servidor, os e-mails da sua empresa permanecem seguros e ilegíveis para qualquer pessoa exceto para si, protegendo a sua informação confidencial de ciberataques.

É matematicamente impossível para a Proton desencriptar as suas mensagens, ficheiros e muitos tipos de metadados. (Veja o que é encriptado.) E como a Proton está sediada na Suíça, os poucos dados recolhidos sobre si estão protegidos pelas leis de privacidade suíças e não estão sujeitos a pedidos de agências policiais estrangeiras.

Defenda-se contra hackers

A Proton também possui várias camadas de defesa contra potenciais ciberataques:

  • PhishGuard: O filtro PhishGuard da Proton foi concebido para identificar e sinalizar tentativas de phishing. Quando um ataque de phishing é detetado, verá um aviso.
  • Autenticação de dois fatores (2FA): O Proton Mail oferece segurança para além de apenas uma palavra-passe com autenticação de dois fatores (2FA). A Proton suporta vários métodos de 2FA, incluindo aplicações de autenticação e chaves de segurança físicas, o que significa que pode escolher a opção mais conveniente e segura. Com um plano Proton for Business, os administradores também podem impor a 2FA como obrigatória para as suas organizações para reforçar a segurança entre os funcionários.
  • Proton Sentinel: este é o programa de proteção de conta avançado da Proton, que está disponível com um plano Proton Mail Professional ou Proton Business Suite. Foi concebido para proporcionar a máxima segurança a quem dela necessita, combinando a IA com a análise humana. Isto é particularmente útil se for um executivo — ou alguém que lide com dados e comunicações sensíveis. O Proton Sentinel oferece apoio ao cliente 24 horas por dia, 7 dias por semana, para encaminhar tentativas de início de sessão suspeitas para analistas de segurança.

Mantenha a conformidade com a Proton

O nosso objetivo é remodelar a Internet para colocar as pessoas e as organizações no controlo dos seus dados.

Mudar para o Proton Mail é simples com a nossa funcionalidade Easy Switch, que lhe permite transitar sem problemas todos os e-mails, contactos e calendários da sua organização de outros serviços, sem necessidade de formação para a sua equipa.

A nossa equipa de apoio ao cliente também está disponível 24 horas por dia, 7 dias por semana, para prestar assistência em direto se precisar de ajuda adicional. O Proton Mail, o nosso e-mail encriptado de ponto a ponto, e o Proton Drive, o nosso serviço de armazenamento na nuvem encriptado de ponto a ponto, facilitam o cumprimento dos requisitos de proteção de dados e de privacidade.

Utilizar o Proton for Business oferece benefícios adicionais, incluindo:

  • Proton Mail: proteja as comunicações da sua empresa com e-mail encriptado de ponto a ponto, garantindo que apenas o utilizador e os destinatários pretendidos podem ler as suas mensagens.
  • Proton VPN: proteja a sua ligação à Internet e a sua atividade online com um acesso VPN de alta velocidade.
  • Proton Calendar: gira a sua agenda com um calendário encriptado que mantém os eventos da sua empresa privados.
  • Proton Pass: armazene e gira as suas palavras-passe de forma segura com o nosso gestor de palavras-passe encriptado.
  • Proton Drive: armazene e partilhe ficheiros de trabalho de forma segura com encriptação ponto a ponto, garantindo que os seus dados permanecem privados e protegidos.
Obter o Proton for Business

Quando move o seu negócio para o ecossistema da Proton, está simultaneamente a proteger-se a si e aos dados que lhe foram confiados, mantendo a conformidade e ajudando a construir um futuro onde a privacidade é a predefinição.