Dacă începeți sau gestionați o afacere care lucrează cu informații de justiție penală (CJI) în calitate de contractant cu agenții guvernamentale sau de aplicare a legii, probabil că sunteți la curent cu conformitatea CJIS.

Dacă nu, acest articol vă va ajuta să înțelegeți ce este conformitatea CJIS, cine trebuie să se conformeze și cum puteți accesa instrumente și servicii axate pe confidențialitate, astfel încât afacerea dvs. să îndeplinească aceste standarde.

Ce este CJIS?

Politica de securitate CJIS(fereastră nouă) este un set de standarde de securitate asamblate de divizia Criminal Justice Information Services(fereastră nouă) (CJIS) a FBI(fereastră nouă). Acestea au fost concepute pentru a proteja CJI în fiecare etapă a ciclului său de viață — de la colectare la stocare, partajare și eliminare.

Conformitatea CJIS nu este esențială doar pentru organizațiile cu sediul în SUA, ci și pentru companiile internaționale care lucrează cu agențiile guvernamentale sau de aplicare a legii din S.U.A. Respectarea politicii de securitate CJIS a devenit un standard în industrie pentru companiile care gestionează, stochează sau procesează CJI.

Ce date include CJIS?

Există multe tipuri de informații care intră sub incidența politicii CJIS:

  • Date biometrice: Date extrase din trăsături fizice sau comportamentale (de exemplu, amprente, recunoaștere facială) care identifică persoanele.
  • Date despre istoricul identității: Date text care sunt legate de date biometrice. Aceste date sunt adesea folosite pentru a reconstitui un istoric al activității infracționale.
  • Date biografice: Informații legate de un caz specific, dar care nu sunt neapărat legate de identitatea unei persoane.
  • Date despre bunuri: Informații despre vehicule și bunuri asociate cu un incident.
  • Istoricul cazului/incidentului: Istoricul infracțional al unei persoane.
  • Informații de identificare personală (PII): Orice informație care poate fi utilizată pentru a identifica o persoană, inclusiv numele, numerele de asigurare socială și înregistrările biometrice

Dacă agențiile de aplicare a legii la nivel de stat, local sau federal accesează informații de justiție penală prin intermediul FBI, trebuie aplicate controale adecvate pe parcursul întregului ciclu de viață al acestora.

Cine trebuie să fie conform cu CJIS?

Orice organizație care gestionează CJI, inclusiv agențiile de aplicare a legii, contractanții privați și furnizorii de servicii cloud, trebuie să respecte standardele CJIS.

Deși este în principal o cerință a FBI, conformitatea CJIS a devenit efectiv un standard în industrie din cauza naturii sensibile a tuturor datelor implicate. Chiar dacă o organizație nu lucrează direct cu FBI, dar gestionează CJI, aceasta trebuie să respecte standardele CJIS pentru a continua operațiunile fără repercusiuni.

Aceasta se extinde la sisteme de date, backupuri, rețele și dispozitive — cum ar fi imprimantele — care interacționează cu CJI, toate acestea trebuind protejate conform ghidurilor CJIS.

O companie se poate confrunta cu sancțiuni civile și penale federale și statale pentru accesarea sau diseminarea necorespunzătoare a datelor CJIS. Aceste sancțiuni ar putea include amenzi, precum și suspendarea, revocarea sau monitorizarea accesării CJIS(fereastră nouă).

Este important de menționat că informațiile colectate de orice entitate guvernamentală care adună, procesează sau utilizează informații de justiție penală (CJI) nu fac subiectul controalelor CJIS decât dacă au fost transmise către sistemul National Data Exchange (N-DEx)(fereastră nouă).

Odată transmise, însă, informațiile trebuie să respecte standardele CJIS. N-DEx este un sistem cheie pentru partajarea informațiilor de justiție penală între agenții, permițând ca acele date să fie gestionate în mod securizat și consecvent​.

Unitatea de audit (CAU) a Criminal Justice Information Services (CJIS) protejează integritatea informațiilor de justiție penală prin auditarea agențiilor care utilizează sistemele și programele CJIS. Acele agenții includ(fereastră nouă):

  • CSA de stat și depozitul de date
  • Biroul programului UCR de stat
  • CSA federal
  • Agenție reglementată la nivel federal
  • Agenție dintr-un teritoriu al S.U.A. cu o conexiune Wide Area Network
  • Canalizator aprobat de FBI (un contractant ales de FBI care facilitează transmiterea electronică a amprentelor pentru verificări ale antecedentelor non-penale în numele unui destinatar autorizat)
  • Destinatar autorizat al informațiilor din cazierul judiciar
  • Registrul agresorilor sexuali
  • Furnizor de identitate pentru Law Enforcement Enterprise Portal
  • Orice componentă FBI

Pentru conformitatea CJIS, criptarea este esențială

Pentru a accesa bazele de date CJIS, organizațiile trebuie să respecte o serie de standarde de securitate, inclusiv implementarea autentificării multi-factor (MFA) pentru a verifica identitățile utilizatorilor, menținerea unor controale stricte de accesare pentru a limita cine poate vizualiza sau modifica datele sensibile și aplicarea unor măsuri de securitate fizică pentru a proteja sistemele și dispozitivele care gestionează CJI.

Criptarea, totuși, este esențială pentru conformitatea CJIS.

Ce este criptarea?

Criptarea este o modalitate de a oculta informațiile astfel încât nimeni, cu excepția persoanelor cărora le sunt destinate, să nu le poată accesa. Acest lucru se face cu programe de computer care folosesc algoritmi matematici care blochează și deblochează informațiile.

Există două secțiuni ale politicii de securitate CJIS care menționează explicit criptarea:

  • Secțiunea 5.10.1.2.1: Atunci când CJI este transmisă în afara granițelor locației securizate fizic, datele vor fi protejate imediat prin criptare. Atunci când este utilizată criptarea, modulul criptografic utilizat trebuie să fie certificat FIPS 140-2 și să folosească o cheie de cifru simetric cu o putere de cel puțin 128 de biți pentru a proteja CJI.
  • Secțiunea 5.10.1.2.2: Atunci când CJI este în repaus (adică stocată digital) în afara granițelor locației securizate fizic, datele vor fi protejate prin criptare. Atunci când este utilizată criptarea, agențiile vor cripta CJI în conformitate cu standardul din Secțiunea 5.10.1.2.1 de mai sus sau vor folosi un cifru simetric care este certificat FIPS 197 (AES) și are o putere de cel puțin 256 de biți.

Criptarea ajută la asigurarea faptului că CJI este protejată atât în repaus, cât și în tranzit. Din păcate, multe servicii online, cum ar fi cele pentru stocare cloud și e-mail, nu folosesc criptare de la un capăt la altul în mod implicit, lăsând datele vulnerabile în timpul transmiterii.

Am creat Proton în 2014 pentru a răspunde acestei nevoi. Dezvoltat de oameni de știință care s-au întâlnit la CERN (Organizația Europeană pentru Cercetare Nucleară) în Elveția, Proton securizează e-mailurile, fișierele, parolele și alte date sensibile cu o criptare de la un capăt la altul robustă, într-un mod care este, de asemenea, ușor de utilizat pentru oricine. Astăzi, peste 100 de milioane de utilizatori, inclusiv guverne, unități militare și companii din topul Fortune 500, au încredere în Proton pentru a-și securiza informațiile și a se conforma standardelor de protecție a datelor.

Protejați-vă datele cu Proton

Indiferent dacă trimiteți informații prin Proton Mail, stocați fișiere în Proton Drive sau gestionați acreditări cu Proton Pass, Proton vă menține datele sigure și protejate împotriva accesării neautorizate.

Privat în mod implicit

Când utilizați Proton Mail, e-mailurile trimise în cadrul organizației dvs. sunt criptate de la un capăt la altul în mod implicit, ceea ce înseamnă că mesajele și atașamentele sunt blocate pe dispozitivul dvs. înainte de a fi transmise către serverele noastre și pot fi deblocate și citite doar de către destinatar. Pentru e-mailurile către conturi care nu sunt Proton Mail, puteți trimite e-mailuri protejate prin parolă, iar criptarea cu acces zero este activă pentru a securiza automat e-mailurile primite.

În fiecare caz, mesajele sunt întotdeauna criptate pe serverele noastre. Acest lucru înseamnă că, chiar și în cazul unei încălcări a securității serverului, e-mailurile companiei dvs. rămân sigure și ilizibile pentru oricine în afară de dvs., protejându-vă informațiile confidențiale de atacurile cibernetice.

Este imposibil din punct de vedere matematic pentru Proton să vă decripteze mesajele, fișierele și multe tipuri de metadate. (Vedeți ce este criptat.) Și, deoarece Proton are sediul în Elveția, puținele date colectate despre dvs. sunt protejate de legile elvețiene privind confidențialitatea și nu fac subiectul cererilor de aplicare a legii străine.

Apărați-vă împotriva hackerilor

Proton are, de asemenea, mai multe straturi de apărare împotriva potențialelor atacuri cibernetice:

  • PhishGuard: Filtrul PhishGuard al Proton este conceput pentru a identifica și semnala încercările de phishing. Când este detectat un atac de phishing, veți vedea un avertisment.
  • Autentificare cu doi factori (2FA): Proton Mail oferă securitate dincolo de o simplă parolă cu autentificarea cu doi factori (2FA). Proton acceptă mai multe metode 2FA, inclusiv aplicații de autentificare și chei de securitate fizice, ceea ce înseamnă că puteți alege cea mai convenabilă și sigură opțiune. Cu un plan Proton Business, administratorii pot impune, de asemenea, 2FA ca fiind obligatorie pentru organizațiile lor, pentru a consolida securitatea în rândul angajaților.
  • Proton Sentinel: Acesta este programul avansat de protecție a contului oferit de Proton, care este disponibil cu un plan Proton Mail Professional sau Proton Business Suite. Este conceput pentru a oferi securitate maximă celor care au nevoie de ea, combinând IA cu analiza umană. Acest lucru este util în special dacă sunteți un executiv — sau cineva care lucrează cu date și comunicări sensibile. Proton Sentinel oferă asistență 24/7 pentru a escalada încercările suspecte de conectare către analiștii de securitate.

Rămâneți conformi cu Proton

Scopul nostru este să remodelăm internetul pentru a oferi persoanelor și organizațiilor controlul asupra datelor lor.

Trecerea la Proton Mail este simplă cu caracteristica noastră Easy Switch, care vă permite să transferați fără probleme toate e-mailurile, contactele și calendarele organizației dvs. de la alte servicii, fără a fi necesară nicio instruire pentru echipa dvs.

Echipa noastră de asistență este, de asemenea, la dispoziția dvs. 24/7 pentru a vă oferi asistență live dacă aveți nevoie de ajutor suplimentar. Proton Mail, e-mailul nostru criptat de la un capăt la altul, și Proton Drive, serviciul nostru de stocare în cloud criptat de la un capăt la altul, simplifică respectarea cerințelor privind protecția datelor și confidențialitatea.

Utilizarea Proton for Business oferă beneficii suplimentare, inclusiv:

  • Proton Mail: protejați comunicările companiei dvs. cu un e-mail criptat de la un capăt la altul, asigurându-vă că numai dvs. și destinatarii doriți puteți citi mesajele.
  • Proton VPN: securizați-vă conexiunea la internet și protejați-vă activitatea online cu acces VPN de mare viteză.
  • Proton Calendar: gestionați-vă programul cu un calendar criptat care păstrează evenimentele de afaceri private.
  • Proton Pass: stocați și gestionați-vă parolele în siguranță cu managerul nostru de parole criptat.
  • Proton Drive: stocați și partajați fișierele de afaceri în siguranță cu criptare de la un capăt la altul, asigurându-vă că datele dvs. rămân private și protejate.
Luați Proton for Business

Când vă mutați afacerea în ecosistemul Proton, vă protejați simultan pe dvs. și datele care v-au fost încredințate, rămâneți în conformitate și ajutați la construirea unui viitor în care confidențialitatea este setarea implicită.