Om du startar eller driver ett företag som arbetar med information om rättsväsendet (CJI) som entreprenör åt myndigheter eller polismyndigheter, är du troligen medveten om CJIS-efterlevnad.

Om inte, hjälper den här artikeln dig att förstå vad CJIS-efterlevnad är, vem som behöver följa den och hur du kan få åtkomst till integritetscentrerade verktyg och tjänster så att ditt företag uppfyller dessa standarder.

Vad är CJIS?

CJIS säkerhetspolicy(nytt fönster) är en uppsättning säkerhetsstandarder som sammanställts av FBI:s(nytt fönster) division för Criminal Justice Information Services(nytt fönster) (CJIS). De utformades för att skydda CJI i varje skede av dess livscykel – från insamling till lagringsutrymme, delning och bortskaffande.

CJIS-efterlevnad är inte bara viktigt för USA-baserade organisationer, utan även för internationella företag som arbetar med amerikanska brottsbekämpande myndigheter eller regeringsorgan. Det har blivit en branschstandard för företag som hanterar, lagrar eller behandlar CJI att följa CJIS säkerhetspolicy.

Vilka data omfattas av CJIS?

Det finns många typer av information som omfattas av CJIS-policyn:

  • Biometriska data: Data som extraherats från fysiska eller beteendemässiga drag (t.ex. fingeravtryck, ansiktsigenkänning) som identifierar individer.
  • Identitetshistorik: Textdata som är länkade till biometriska data. Dessa data används ofta för att sammanställa en historik över kriminell aktivitet.
  • Biografiska data: Information kopplad till ett specifikt fall men inte nödvändigtvis länkad till en persons identitet.
  • Egendomsdata: Information om fordon och egendom som är förknippad med en incident.
  • Ärende-/incidenthistorik: En persons kriminalregister.
  • Personuppgifter (PII): All information som kan användas för att identifiera en person, inklusive namn, personnummer och biometriska register.

Om delstatliga, lokala eller federala brottsbekämpande myndigheter får åtkomst till information om rättsväsendet via FBI, måste lämpliga kontroller tillämpas under hela dess livscykel.

Vem behöver vara CJIS-kompatibel?

Varje organisation som hanterar CJI, inklusive brottsbekämpande myndigheter, privata entreprenörer och molntjänstleverantörer, måste följa CJIS-standarder.

Även om det främst är ett krav från FBI, har CJIS-efterlevnad i praktiken blivit en branschstandard på grund av den känsliga karaktären hos alla involverade data. Även om en organisation inte arbetar direkt med FBI men hanterar CJI, måste den följa CJIS-standarder för att kunna fortsätta verksamheten utan påföljder.

Detta sträcker sig till datasystem, säkerhetskopiering, nätverk och enheter — såsom skrivare — som interagerar med CJI, vilka alla måste skyddas enligt CJIS riktlinjer.

Ett företag kan drabbas av federala och delstatliga civil- och straffrättsliga påföljder för att felaktigt få åtkomst till eller sprida CJIS-data. Dessa påföljder kan inkludera böter, samt avstängning, återkallelse eller övervakning av åtkomst till CJIS(nytt fönster).

Det är viktigt att notera att information som samlas in av en statlig enhet som samlar in, behandlar eller använder information om rättsväsendet (CJI) inte omfattas av CJIS-kontroller om den inte har skickats till systemet National Data Exchange (N-DEx)(nytt fönster).

När informationen väl har skickats in måste den dock följa CJIS-standarder. N-DEx är ett viktigt system för att dela information om rättsväsendet mellan myndigheter, vilket gör att data kan hanteras säkert och konsekvent.

Criminal Justice Information Services (CJIS) Audit Unit (CAU) skyddar integriteten för information om rättsväsendet genom att granska myndigheter som använder CJIS-system och -program. Dessa myndigheter inkluderar(nytt fönster):

  • Delstatlig CSA och register
  • Delstatligt UCR-programkontor
  • Federal CSA
  • Federalt reglerad myndighet
  • Myndighet inom ett amerikanskt territorium med en Wide Area Network-anslutning
  • FBI-godkänd kanaliserare (en entreprenör utvald av FBI som underlättar elektronisk inlämning av fingeravtryck för icke-kriminella bakgrundskontroller på uppdrag av en auktoriserad mottagare)
  • Auktoriserad mottagare av information ur kriminalregister
  • Register över sexualförbrytare
  • Identitetsleverantör för Law Enforcement Enterprise Portal
  • Varje FBI-komponent

För CJIS-efterlevnad är kryptering avgörande

För att få åtkomst till CJIS-databaser måste organisationer följa en rad säkerhetsstandarder, inklusive implementering av multifaktorautentisering (MFA) för att verifiera användaridentiteter, upprätthålla strikta åtkomstkontroller för att begränsa vem som kan se eller ändra känsliga data, och genomföra fysiska säkerhetsåtgärder för att skydda system och enheter som hanterar CJI.

Kryptering är dock nyckeln till CJIS-efterlevnad.

Vad är kryptering?

Kryptering är ett sätt att dölja information så att ingen förutom de personer den är avsedd för kan få åtkomst till den. Detta görs med datorprogram som använder matematiska algoritmer som låser och låser upp informationen.

Det finns två avsnitt i CJIS säkerhetspolicy som uttryckligen nämner kryptering:

  • Avsnitt 5.10.1.2.1: När CJI överförs utanför gränsen för den fysiskt säkra platsen ska data omedelbart skyddas via kryptering. När kryptering används ska den kryptografiska modul som används vara FIPS 140-2-certifierad och använda en symmetrisk krypteringsnyckel med en styrka på minst 128 bitar för att skydda CJI.
  • Avsnitt 5.10.1.2.2: När CJI är i vila (dvs. lagrad digitalt) utanför gränsen för den fysiskt säkra platsen ska data skyddas via kryptering. När kryptering används ska myndigheter antingen kryptera CJI i enlighet med standarden i avsnitt 5.10.1.2.1 ovan, eller använda ett symmetriskt krypto som är FIPS 197-certifierat (AES) och har en styrka på minst 256 bitar.

Kryptering hjälper till att säkerställa att CJI skyddas både i vila och under överföring. Tyvärr använder många onlinetjänster, till exempel för molnlagring och e-post, inte end-to-end-kryptering som standard, vilket gör data sårbara under överföring.

Vi skapade Proton 2014 för att fylla detta behov. Proton utvecklades av forskare som träffades på CERN (den europeiska organisationen för kärnforskning) i Schweiz och säkrar känslig e-post, filer, lösenord och andra data med robust end-to-end-kryptering på ett sätt som också är enkelt för vem som helst att använda. Idag litar över 100 miljoner användare, inklusive regeringar, militära enheter och Fortune 500-företag, på att Proton skyddar deras information och uppfyller dataskyddsstandarder.

Skydda dina data med Proton

Oavsett om du skickar information via Proton Mail, lagrar filer i Proton Drive eller hanterar inloggningsuppgifter med Proton Pass, håller Proton dina data säkra och skyddade från obehörig åtkomst.

Privat som standard

När du använder Proton Mail är e-post som skickas inom din organisation end-to-end-krypterad som standard, vilket innebär att meddelanden och bilagor låses på din enhet innan de skickas till våra servrar och kan endast låsas upp och läsas av mottagaren. För e-post till konton som inte är Proton Mail kan du skicka lösenordsskyddad e-post, och zero-access-kryptering finns på plats för att automatiskt säkra inkommande e-post.

I varje enskilt fall är meddelanden alltid krypterade på våra servrar. Detta innebär att även i händelse av ett serverintrång förblir ditt företags e-postmeddelanden säkra och oläsbara för alla utom dig, vilket skyddar din konfidentiella information mot cyberattacker.

Det är matematiskt omöjligt för Proton att avkryptera dina meddelanden, filer och många typer av metadata. (Se vad som är krypterat.) Och eftersom Proton är baserat i Schweiz är de få uppgifter om dig som samlas in skyddade av schweiziska integritetslagar och omfattas inte av utländska myndigheters begäran om utlämning.

Försvara dig mot hackare

Proton har också flera försvarslager mot potentiella cyberattacker:

  • PhishGuard: Protons PhishGuard-filter är utformat för att identifiera och flagga nätfiskeförsök. När en nätfiskeattack upptäcks kommer du att se en varning.
  • Tvåfaktorsautentisering (2FA): Proton Mail erbjuder säkerhet utöver bara ett lösenord med tvåfaktorsautentisering (2FA). Proton stöder flera 2FA-metoder, inklusive autentiseringsappar och fysiska säkerhetsnycklar, vilket innebär att du kan välja det mest bekväma och säkra alternativet. Med ett Proton for Business-paket kan administratörer också tvinga fram 2FA som obligatoriskt för sina organisationer för att stärka säkerheten bland anställda.
  • Proton Sentinel: Detta är Protons avancerade program för kontoskydd, som är tillgängligt med paketet Proton Mail Professional eller Proton Business Suite. Det är utformat för att ge maximal säkerhet för dem som behöver det genom att kombinera AI med mänsklig analys. Detta är särskilt användbart om du är en chef — eller någon som hanterar känsliga data och kommunikationer. Proton Sentinel erbjuder support dygnet runt för att eskalera misstänkta inloggningsförsök till säkerhetsanalytiker.

Håll dig kompatibel med Proton

Vårt mål är att omforma internet för att ge människor och organisationer kontroll över sina data.

Att byta till Proton Mail är enkelt med vår Easy Switch-funktion, som gör att du sömlöst kan överföra alla din organisations e-postmeddelanden, kontakter och kalendrar från andra tjänster utan att ditt team behöver någon utbildning.

Vårt supportteam finns också till hands dygnet runt för att ge livesupport om du behöver ytterligare hjälp. Proton Mail, vår end-to-end-krypterade e-post, och Proton Drive, vår end-to-end-krypterade molnlagringstjänst, gör det enkelt att uppfylla krav på dataskydd och integritet.

Att använda Proton for Business erbjuder ytterligare fördelar, inklusive:

  • Proton Mail: Skydda din företagskommunikation med end-to-end-krypterad e-post, vilket säkerställer att endast du och dina avsedda mottagare kan läsa dina meddelanden.
  • Proton VPN: Säkra din internetanslutning och skydda din onlineaktivitet med höghastighets-VPN.
  • Proton Calendar: Hantera ditt schema med en krypterad kalender som håller dina företagshändelser privata.
  • Proton Pass: Lagra och hantera dina lösenord säkert med vår krypterade lösenordshanterare.
  • Proton Drive: Lagra och dela företagsfiler säkert med end-to-end-kryptering, vilket säkerställer att dina data förblir privata och skyddade.
Skaffa Proton for Business

När du flyttar ditt företag till Protons ekosystem skyddar du samtidigt dig själv och de data som anförtrotts dig, förblir kompatibel och hjälper till att bygga en framtid där integritet är standard.