Devlet veya kolluk kuvvetleri kuruluşlarıyla yüklenici olarak çalışan ve adli bilişim bilgileriyle (CJI) işlem yapan bir işletme kuruyorsanız veya işletiyorsanız, muhtemelen CJIS uyumluluğundan haberdarsınızdır.

Değilseniz, bu makale CJIS uyumluluğunun ne olduğunu, kimlerin buna uyması gerektiğini ve işletmenizin bu standartları karşılaması için önceliği gizlilik olan araç ve hizmetlere nasıl erişim sağlayabileceğinizi anlamanıza yardımcı olacaktır.

CJIS nedir?

CJIS Güvenlik İlkesi(yeni pencere), FBI’ın(yeni pencere) Adli Bilişim Bilgi Hizmetleri(yeni pencere) (CJIS) birimi tarafından oluşturulan bir güvenlik standartları dizisidir. Bu ilkeler; CJI’yı toplanmasından depolama alanına, paylaşımından imhasına kadar yaşam döngüsünün her aşamasında korumak için tasarlanmıştır.

CJIS uyumluluğu yalnızca ABD merkezli kuruluşlar için değil, ABD kolluk kuvvetleri veya devlet kurumlarıyla çalışan uluslararası işletmeler için de gereklidir. CJI’yı yöneten, depolayan veya işleyen şirketlerin CJIS Güvenlik İlkesine uyması bir sektör standardı haline gelmiştir.

CJIS hangi verileri içerir?

CJIS ilkesi kapsamına giren birçok bilgi türü bulunmaktadır:

  • Biyometrik veriler: Bireyleri tanımlayan fiziksel veya davranışsal özelliklerden (ör. parmak izleri, yüz tanıma) elde edilen veriler.
  • Kimlik geçmişi verileri: Biyometrik verilerle bağlantı kurulan metin verileridir. Bu veriler genellikle adli faaliyet geçmişini derlemek için kullanılır.
  • Biyografik veriler: Belirli bir vaka ile ilişkili olan ancak bir kişinin kimliği ile bağlantılı olması gerekmeyen bilgiler.
  • Mülkiyet verileri: Bir olayla ilişkili araçlar ve mülkler hakkındaki bilgiler.
  • Vaka/olay geçmişi: Bir kişinin adli sicil geçmişi.
  • Kişisel olarak tanımlanabilir bilgiler (PII): İsimler, Sosyal Güvenlik numaraları ve biyometrik kayıtlar dahil olmak üzere bir kişiyi tanımlamak için kullanılabilecek her türlü bilgi.

Eyalet düzeyindeki, yerel veya federal kolluk kuvvetleri FBI aracılığıyla adli bilişim bilgilerine erişim sağlarsa tüm yaşam döngüsü boyunca uygun kontroller uygulanmalıdır.

Kimlerin CJIS ile uyumlu olması gerekir?

Kolluk kuvvetleri, özel yükleniciler ve bulut hizmet sağlayıcıları dahil olmak üzere CJI ile işlem yapan her kuruluş CJIS standartlarına uymalıdır.

Öncelikle bir FBI gerekliliği olsa da içerdiği tüm verilerin hassas doğası nedeniyle CJIS uyumluluğu fiilen bir sektör standardı haline gelmiştir. Bir kuruluş doğrudan FBI ile çalışmasa bile CJI yönetiyorsa herhangi bir olumsuz sonuçla karşılaşmadan faaliyetlerine devam edebilmek için CJIS standartlarına uymalıdır.

Bu durum, CJI ile etkileşime giren veri sistemleri, yedekler, ağlar ve aygıtlar (yazıcılar gibi) için de geçerlidir; bunların tamamı CJIS yönergeleri kapsamında korunmalıdır.

Bir şirket, CJIS verilerine uygunsuz bir şekilde eriştiği veya bunları yaydığı için federal ve eyalet düzeyinde hukuki ve cezai yaptırımlarla karşılaşabilir. Bu cezalar arasında para cezalarının yanı sıra CJIS erişiminin askıya alınması, iptal edilmesi veya izlenmesi(yeni pencere) yer alabilir.

Adli bilişim bilgilerini (CJI) toplayan, işleyen veya kullanan herhangi bir devlet kurumu tarafından toplanan bilgilerin, Ulusal Veri Değişimi (N-DEx)(yeni pencere) sistemine sunulmadığı sürece CJIS kontrollerine tabi olmadığını belirtmek önemlidir.

Ancak bir kez sunulduğunda, bilgiler CJIS standartlarına uygun olmalıdır. N-DEx, adli bilişim bilgilerinin kurumlar arasında paylaşılması için temel bir sistemdir ve bu verilerin güvenli ve tutarlı bir şekilde yönetilmesini sağlar​.

Adli Bilişim Bilgi Hizmetleri (CJIS) Denetim Birimi (CAU), CJIS sistemlerini ve programlarını kullanan kurumları denetleyerek adli bilişim bilgilerinin bütünlüğünü korur. Bu kurumlar şunlardır(yeni pencere):

  • Eyalet CSA’sı ve havuzu
  • Eyalet UCR Program ofisi
  • Federal CSA
  • Federal olarak düzenlenen kurum
  • Geniş Alan Ağı bağlantısı olan bir ABD bölgesi içindeki kurum
  • FBI onaylı kanal oluşturucu (yetkili bir alıcı adına adli olmayan sicil kontrolleri için parmak izlerinin elektronik ortamda gönderilmesini kolaylaştıran, FBI tarafından seçilen bir yüklenici)
  • Adli sicil kaydı bilgilerinin yetkili alıcısı
  • Cinsel suçlu kaydı
  • Kolluk Kuvvetleri Kurumsal Portalı kimlik sağlayıcısı
  • Herhangi bir FBI bileşeni

CJIS uyumluluğu için şifreleme anahtardır

CJIS veritabanlarına erişim sağlamak için kuruluşlar; kullanıcı kimliklerini doğrulamak amacıyla çok faktörlü kimlik doğrulamayı (MFA) uygulamak, hassas verileri kimlerin görüntüleyebileceğini veya değiştirebileceğini sınırlamak için sıkı erişim kontrollerini sürdürmek ve CJI ile işlem yapan sistem ve aygıtları korumak için fiziksel güvenlik önlemlerini zorunlu kılmak dahil olmak üzere bir dizi güvenlik standardına uymalıdır.

Bununla birlikte şifreleme, CJIS uyumluluğunun anahtarıdır.

Şifreleme nedir?

Şifreleme, bilgilere amaçlanan kişiler dışındaki hiç kimsenin erişememesi için bilgileri gizleme yöntemidir. Bu işlem, bilgileri kilitleyen ve kilidini açan matematiksel algoritmalar kullanan bilgisayar programları ile yapılır.

CJIS Güvenlik İlkesinin şifrelemeden açıkça bahseden iki bölümü vardır:

  • Bölüm 5.10.1.2.1: CJI fiziksel olarak güvenli konum sınırlarının dışına iletildiğinde, veriler şifreleme yoluyla derhal korunmalıdır. Şifreleme kullanıldığında, kullanılan kriptografik modül FIPS 140-2 sertifikalı olmalı ve CJI’yı korumak için en az 128 bit gücünde simetrik şifre anahtarı kullanılmalıdır.
  • Bölüm 5.10.1.2.2: CJI, fiziksel olarak güvenli konum sınırlarının dışında durağan haldeyken (yani dijital olarak kaydedilmişken), veriler şifreleme yoluyla korunmalıdır. Şifreleme kullanıldığında, kurumlar CJI’yı ya yukarıdaki Bölüm 5.10.1.2.1’deki standarda uygun olarak şifrelemeli ya da FIPS 197 sertifikalı (AES) ve en az 256 bit gücünde simetrik bir şifre kullanmalıdır.

Şifreleme, CJI’nın hem durağan haldeyken hem de iletim halindeyken korunmasını sağlamaya yardımcı olur. Ne yazık ki bulut depolama alanı ve e-posta gibi pek çok çevrim içi hizmet, varsayılan olarak uçtan uca şifreleme kullanmamakta ve bu da verileri iletim sırasında savunmasız bırakmaktadır.

Bu ihtiyacı karşılamak için 2014 yılında Proton’u kurduk. İsviçre’deki CERN’de (Avrupa Nükleer Araştırma Merkezi) tanışan bilim insanları tarafından geliştirilen Proton; hassas e-postaları, dosyaları, parolaları ve diğer verileri herkesin kullanabileceği kadar kolay ve güçlü bir uçtan uca şifreleme yöntemiyle güvence altına almaktadır. Bugün hükümetler, askeri birimler ve Fortune 500 şirketleri dahil olmak üzere yüzde 100 milyondan fazla kullanıcı, bilgilerini güvence altına almak ve veri koruma standartlarına uymak için Proton’a güvenmektedir.

Verilerinizi Proton ile koruyun

İster Proton Mail üzerinden bilgi gönderiyor, ister Proton Drive içinde dosya depoluyor veya Proton Pass ile kimlik doğrulama bilgilerini yönetiyor olun, Proton verilerinizi güvende tutar ve yetkisiz erişime karşı korur.

Varsayılan olarak güvenli

Proton Mail kullandığınızda, kuruluşunuz içinde gönderilen e-postalar varsayılan olarak uçtan uca şifrelenmiştir; yani iletiler ve ek dosyalar sunucularımıza iletilmeden önce aygıtınızda kilitlenir ve kilidi yalnızca alıcı tarafından açılıp okunabilir. Proton Mail dışındaki hesaplara gönderilen e-postalar için parola korumalı e-postalar gönderebilirsiniz ve gelen e-postaları otomatik olarak güvence altına almak için sıfır erişimli şifreleme devrededir.

Her durumda, iletiler sunucularımızda her zaman şifrelenir. Bu, sunucunun ele geçirilmesi durumunda bile şirketinizin e-postalarının güvende kalacağı ve sizden başka hiç kimse tarafından okunamayacağı anlamına gelerek gizli bilgilerinizi siber saldırılardan korur.

Proton’un iletilerinizin, dosyalarınızın ve birçok türdeki üst verinin şifresini çözmesi matematiksel olarak imkansızdır. (Nelerin şifrelendiğine göz atın.) Proton İsviçre merkezli olduğu için hakkınızda toplanan az miktardaki veri İsviçre gizlilik yasaları tarafından korunmaktadır ve yabancı kolluk kuvvetlerinin taleplerine tabi değildir.

Bilgisayar korsanlarına karşı savunun

Proton, potansiyel siber saldırılara karşı birkaç savunma katmanına da sahiptir:

  • PhishGuard: Proton’un PhishGuard filtresi, kimlik avı girişimlerini tanımlamak ve işaretlemek için tasarlanmıştır. Bir kimlik avı saldırısı algılandığında bir uyarı görürsünüz.
  • İki adımlı doğrulama (2FA): Proton Mail, iki adımlı doğrulama (2FA) ile sadece bir parolanın ötesinde güvenlik sunar. Proton, kimlik doğrulama uygulamaları ve fiziksel güvenlik anahtarları dahil olmak üzere çeşitli 2FA yöntemlerini destekler, yani en uygun ve güvenli seçeneği seçebilirsiniz. Bir Proton for Business tarifesi ile yöneticiler, çalışanlar arasında güvenliği güçlendirmek için 2FA’yı kuruluşları için zorunlu hale getirebilirler.
  • Proton Sentinel: Bu, Proton Mail Professional veya Proton Business Suite tarifesiyle sunulan Proton’un gelişmiş hesap koruma programıdır. Yapay zekayı insan analiziyle birleştirerek maksimum güvenlik sağlamak üzere tasarlanmıştır. Bu özellik, yöneticiyseniz veya hassas veriler ve yazışmalarla ilgilenen biriyseniz özellikle yararlıdır. Proton Sentinel, şüpheli oturum açma girişimlerini güvenlik analistlerine iletmek için 7/24 destek sunar.

Proton ile uyumlu kalın

Hedefimiz, verilerin kontrolünü insanlara ve kuruluşlara vermek için interneti yeniden şekillendirmektir.

Easy Switch özelliğimiz sayesinde Proton Mail hizmetine geçmek oldukça basittir; kuruluşunuzun tüm e-postalarını, kişilerini ve takvimlerini, ekibiniz için herhangi bir eğitim gerektirmeden diğer hizmetlerden sorunsuz bir şekilde taşımanıza olanak tanır.

Destek ekibimiz, ek yardıma ihtiyaç duymanız durumunda canlı destek sağlamak için 7/24 hizmetinizdedir. Uçtan uca şifrelenmiş e-posta hizmetimiz Proton Mail ve uçtan uca şifrelenmiş bulut depolama alanı hizmetimiz Proton Drive, veri koruma ve gizlilik gereksinimlerini karşılamayı kolaylaştırır.

Proton for Business kullanmak aşağıdakiler dâhil ek avantajlar sunar:

  • Proton Mail: İş yazışmalarınızı uçtan uca şifrelenmiş e-posta ile koruyun; iletilerinizi yalnızca sizin ve hedeflenen alıcıların okuyabileceğinden emin olun.
  • Proton VPN: İnternet bağlantınızı güvence altına alın ve yüksek hızlı VPN erişimiyle çevrim içi etkinliklerinizi koruyun.
  • Proton Calendar: İş etkinliklerinizi gizli tutan şifrelenmiş bir takvimle programınızı yönetin.
  • Proton Pass: Şifrelenmiş parola yöneticimizle parolalarınızı güvenli bir şekilde saklayın ve yönetin.
  • Proton Drive: Verilerinizin güvenli ve korumalı kalmasını sağlayan uçtan uca şifreleme ile iş dosyalarınızı güvenli bir şekilde saklayın ve paylaşın.
Proton for Business Edinin

İşinizi Proton ekosistemine taşıdığınızda, aynı anda hem kendinizi hem de size emanet edilen verileri korur, uyumluluğu sürdürür ve gizliliğin varsayılan olduğu bir geleceğin inşasına yardımcı olursunuz.