如果您正身為政府或執法機構的承包商,並開始或經營一家處理刑事司法資訊 (CJI) 的企業,您可能已經知道 CJIS 合規

如果還不清楚,本文將協助您瞭解什麼是 CJIS 合規、誰需要遵守,以及您如何可以存取隱私優先的工具和服務,使您的企業符合這些標準。

什麼是 CJIS?

CJIS 安全政策(新視窗)是由 FBI (新視窗)刑事司法資訊服務(新視窗) (CJIS) 部門制定的一套安全標準。這些標準旨在保護 CJI 週期中的每個階段 — 從收集、儲存空間、共享到處置。

CJIS 合規不僅對總部位於美國的組織至關重要,對於與美國執法或政府機構合作的國際企業也是如此。對於處理、儲存或處理 CJI 的公司而言,遵守 CJIS 安全政策已成為一種行業標準。

CJIS 包含哪些資料?

有多種類型的資訊屬於 CJIS 政策範疇:

  • 生物特徵資料:從身體或行為特徵中提取的資料(例如指紋、面部辨識),用於識別個人。
  • 身分歷史資料:與生物特徵資料連結的文字資料。這些資料通常用於彙整犯罪活動的歷史。
  • 傳記資料:與特定案件相關,但未必與個人身分連結的資訊。
  • 財產資料:與事件相關的車輛和財產資訊。
  • 案件/事件歷史:個人的犯罪紀錄。
  • 個人識別資訊 (PII)任何可用於識別個人的資訊,包括姓名、社會安全號碼和生物特徵紀錄。

如果州、地方或聯邦執法機構透過 FBI 存取刑事司法資訊,則必須在整個生命週期中套用適當的控制措施。

誰需要符合 CJIS 規範?

任何處理 CJI 的組織,包括執法機構、私人承包商和雲端服務提供商,都必須遵守 CJIS 標準。

雖然這主要是 FBI 的要求,但由於所有相關資料的敏感性,CJIS 合規實際上已成為行業標準。即使某個組織不直接與 FBI 合作,但只要處理 CJI,就必須遵守 CJIS 標準,才能在不受處罰的情況下繼續運作。

這也延伸到與 CJI 互動的資料系統、備份、網路和裝置(例如印表機),這些都必須根據 CJIS 指南受到保護。

公司若因不當存取或傳播 CJIS 資料,可能面臨聯邦和州的民事與刑事處罰。這些處罰可能包括罰款,以及暫停、撤銷或監控對 CJIS 的存取權限(新視窗)

請務必注意,由任何政府實體收集、處理或使用刑事司法資訊 (CJI) 所獲得的資訊,除非已提交至國家資料交換 (N-DEx)(新視窗) 系統,否則不受 CJIS 控制措施的約束。

然而,一旦提交,資訊就必須遵守 CJIS 標準。N-DEx 是跨機構共享刑事司法資訊的關鍵系統,可讓這些資料得到安全且一致的管理。

刑事司法資訊服務 (CJIS) 稽核單位 (CAU) 透過稽核使用 CJIS 系統和計畫的機構,來保護刑事司法資訊的完整性。這些機構包括(新視窗)

  • 州級 CSA 與存放庫
  • 州級 UCR 計畫辦公室
  • 聯邦 CSA
  • 受聯邦監管的機構
  • 位於美國領土內且具有廣域網路連線的機構
  • 經 FBI 核准的管道業者(由 FBI 挑選的承包商,負責代表授權收件者,為非刑事司法背景調查提供電子指紋提交作業)
  • 刑事歷史紀錄資訊的授權收件者
  • 性犯罪者登記處
  • 執法企業入口網站身分提供商
  • 任何 FBI 組成單位

對於 CJIS 合規,加密是關鍵

為了存取 CJIS 資料庫,組織必須遵守一系列安全標準,包括實施多重驗證 (MFA) 以驗證使用者身分、維持嚴格的存取控制以限制誰可以查看或更改敏感資料,以及執行物理安全措施以保護處理 CJI 的系統和裝置。

然而,加密才是符合 CJIS 規範的關鍵。

什麼是加密?

加密是一種隱藏資訊的方式,除了目標收件者外,任何人都無法存取該資訊。這是透過使用數學演算法來鎖定和解鎖資訊的電腦程式完成的。

CJIS 安全政策中有兩個部分明確提到了加密:

  • 第 5.10.1.2.1 節:當 CJI 在物理安全位置邊界之外傳輸時,應立即透過加密保護資料。採用加密時,所使用的密碼模組應通過 FIPS 140-2 認證,並使用至少 128 位元強度的對稱加密金鑰強度來保護 CJI。
  • 第 5.10.1.2.2 節:當 CJI 在物理安全位置邊界之外處於靜態(即以數位方式儲存)時,應透過加密保護資料。採用加密時,各機構應根據上述第 5.10.1.2.1 節中的標準加密 CJI,或使用通過 FIPS 197 認證 (AES) 且強度至少為 256 位元的對稱加密。

加密有助於確保 CJI 在靜態和傳輸過程中都受到保護。遺憾的是,許多線上服務(例如雲端儲存空間電子郵件)預設不使用端對端加密,導致資料在傳輸過程中容易受到攻擊。

我們在 2014 年創立了 Proton 來滿足這一需求。Proton 由在瑞士 CERN(歐洲核子研究組織)相遇的科學家開發,以強大的端對端加密保護敏感的電子郵件、檔案、密碼和其他資料,且任何人都能輕鬆上手。如今,超過 1 億名使用者(包括政府、軍事單位和財富 500 強公司)信任 Proton 來保護其資訊並遵守資料保護標準。

使用 Proton 保護您的資料

無論您是透過 Proton Mail 傳送資訊、將檔案儲存在 Proton Drive,還是使用 Proton Pass 管理憑證,Proton 都能確保您的資料安全,防止未經授權的存取。

預設即私有

當您使用 Proton Mail 時,組織內傳送的電子郵件預設為端對端加密,這表示郵件和附件在傳輸到我們的伺服器之前已在您的裝置上鎖定,且只能由收件者解鎖和讀取。對於傳送至非 Proton Mail 帳號的電子郵件,您可以傳送受密碼保護的電子郵件,並透過零存取加密自動保護接收到的電子郵件。

在任何情況下,訊息在我們的伺服器上始終是加密的。這表示即使發生伺服器入侵事件,貴公司的電子郵件仍能保持安全,除了您以外的任何人都無法讀取,從而保護您的機密資訊免受網路攻擊。

Proton 在數學上不可能解密您的訊息、檔案和多種中繼資料。(查看哪些內容已加密。)由於 Proton 總部位於瑞士,收集到的極少數關於您的資料受瑞士隱私法保護,且不受外國執法要求的約束。

防禦駭客攻擊

Proton 還有幾層防禦措施來抵禦潛在的網路攻擊:

  • PhishGuard:Proton 的 PhishGuard 過濾器旨在識別和標記網路釣魚嘗試。當偵測到網路釣魚攻擊時,您會看到一個注意。
  • 雙重身分驗證 (2FA):Proton Mail 透過雙重身分驗證 (2FA) 提供超越僅密碼的安全性。Proton 支援多種 2FA 方法,包括驗證 app 和實體安全金鑰,這意味著您可以選擇最方便和安全的選項。使用 Proton for Business 方案,管理員還可以強制其組織將 2FA 作為強制性要求,以加強員工之間的安全。
  • Proton Sentinel: 這是 Proton 的進階帳號保護計畫,隨 Proton Mail Professional 或 Proton Business Suite 方案提供。透過結合 AI 與真人分析,為有需要的人提供最大程度的安全保障。如果您是高階主管,或是需要處理敏感數據與通訊的人員,這項功能特別有用。Proton Sentinel 提供 24/7 全天候支援,可將可疑的登入嘗試上報給安全分析師。

透過 Proton 保持合規

我們的目標是重塑網際網路,讓個人和組織都能掌控自己的數據。

透過我們的 Easy Switch 功能,切換到 Proton Mail 非常簡單,讓您能無縫遷移組織所有的電子郵件、聯絡人和行事曆,且團隊無需接受任何培訓。

我們的支援團隊也提供 24/7 全天候服務,在您需要額外協助時提供即時支援。Proton Mail(我們的端對端加密電子郵件)和 Proton Drive(我們的端對端加密雲端儲存空間服務),讓您能輕鬆滿足數據保護和隱私要求。

使用 Proton for Business 可享有額外的好處,包括:

  • Proton Mail:透過端對端加密電子郵件保護您的商務通訊,確保只有您和指定的收件者可以閱讀訊息。
  • Proton VPN:透過高速 VPN 存取,確保您的網際網路連線安全並保護您的線上活動。
  • Proton Calendar:使用加密行事曆管理您的行程,確保您的商務事件保有私隱。
  • Proton Pass:使用我們的加密密碼管理程式安全地儲存與管理您的密碼。
  • Proton Drive透過端對端加密安全地儲存並共享商務檔案,確保您的數據保持私有且受到保護。
取得 Proton for Business

當您將業務移至 Proton 生態系統時,您便是在保護自己與受託數據的同時,保持合規並協助建立一個隱私為預設選項的未來。