Directiva de seguridad de Criminal Justice Information Services (CJIS)

Introducción a CJIS

La División de servicios de información de justicia penal (CJIS) de la Oficina Federal de Investigación (FBI) de Estados Unidos proporciona a las agencias de policía y justicia penal estatales, locales y federales acceso a la información de justicia penal (CJI), por ejemplo, registros de huellas digitales e historiales penales. Las fuerzas del orden y otras agencias gubernamentales de los Estados Unidos deben asegurarse de que su uso de servicios en la nube para la transmisión, almacenamiento o procesamiento de CJI cumple con la Directiva de seguridad de CJIS, que establece requisitos y controles de seguridad mínimos para proteger CJI.

La directiva de seguridad de CJIS integra las directivas del PRESIDENTE y del FBI, las leyes federales y las decisiones del Consejo asesor de directivas de la comunidad de justicia penal, junto con las instrucciones del Instituto Nacional de Estándares y Tecnología (NIST). La directiva se actualiza periódicamente para reflejar los requisitos de seguridad en evolución.

La directiva de seguridad de CJIS define 13 áreas que los contratistas privados, como los proveedores de servicios en la nube, deben evaluar para determinar si su uso de servicios en la nube puede ser coherente con los requisitos de CJIS. Estas áreas se corresponden estrechamente con NIST 800-53, que también es la base del Programa federal de administración de riesgos y autorización (FedRAMP),un programa con el que Microsoft ha sido certificado para sus ofertas de government cloud.

Además, todos los contratistas privados que procesan CJI deben firmar el Addendum de seguridad de CJIS, un acuerdo uniforme aprobado por el Fiscal General de los Estados Unidos que ayuda a garantizar la seguridad y confidencialidad de CJI requerida por la Directiva de seguridad. También se compromete al contratista a mantener un programa de seguridad coherente con las leyes, reglamentos y estándares federales y estatales, y limita el uso de CJI a los fines para los que una agencia gubernamental lo proporcionó.

Directiva de seguridad de Microsoft y CJIS

Microsoft firma el Addendum de seguridad de CJIS en estados con acuerdos de información de CJIS. Estos informan a las autoridades policiales estatales responsables del cumplimiento de la directiva de seguridad de CJIS de cómo los controles de seguridad en la nube de Microsoft ayudan a proteger el ciclo de vida completo de los datos y a garantizar el examen en segundo plano adecuado del personal operativo con acceso a CJI. Microsoft sigue trabajando con los gobiernos estatales para firmar acuerdos de información de CJIS.

Microsoft ha evaluado las directivas operativas y los procedimientos de Microsoft Azure Government, Microsoft Office 365 U.S. Government y Microsoft Dynamics 365 U.S. Government, y dará fe de su capacidad en los acuerdos de servicios aplicables para cumplir los requisitos del FBI para el uso de servicios en el ámbito.

Obtenga información sobre las ventajas de la directiva de seguridad de CJIS en Microsoft Cloud: lea cómo Genetec borró las investigaciones penales

Servicios y plataformas en la nube dentro del ámbito de Microsoft

  • Azure Government
  • Dynamics 365 U.S. Government
  • Office 365 Gobierno de EE. UU.
  • El servicio de nube de Power BI como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365

Azure, Dynamics 365 y CJIS

Para obtener más información acerca del cumplimiento de Azure, Dynamics 365 y otros servicios en línea, vea la oferta de Azure CJIS.

Office 365 y CJIS

Entornos en la nube de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos en la nube de Office 365:

  • Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
  • Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
  • Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
  • Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
  • Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad Servicios incluidos
GCC Azure Active Directory, Administrador de cumplimiento, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, complemento de Cumplimiento avanzado de Office 365, Centro de seguridad y cumplimiento de Office 365, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, Stream

Auditorías, informes y certificados de Office 365

El FBI no ofrece la certificación del cumplimiento de Microsoft con los requisitos de CJIS. En su lugar, una certificación de Microsoft se incluye en los acuerdos entre Microsoft y la autoridad CJIS de un estado, y entre Microsoft y sus clientes.

Requisitos de nube de Microsoft CJIS

Estado de CJIS en Estados Unidos (actual a partir del 11/5/2020)

44 estados y el Distrito de Columbia con acuerdos de administración, resaltados en el mapa en verde incluyen:

Alabama, Alaska, Arizona, Arkansas, California, Colorado, Connecticut, Florida, Georgia, Hawaii, Idaho, Illinois, Indiana, Iowa, Kansas, Kentucky, Maine, Massachusetts, Míchigan, Minnesota, Misuri, Misuri, Montana, Nebraska, Nevada, New Hampshire, Nueva Jersey, Nuevo México, Nueva York, Nueva York, North Carolina, North Dakota, Oklahoma, Oregon, Pennsylvania, Rhode Island, South Carolina, Tennessee, Texas, Utah, Vermont, Virginia, Washington, West Virginia, Wisconsin y el Distrito de Columbia.

El compromiso de Microsoft de cumplir con los controles normativos CJIS aplicables permite a las organizaciones de justicia penal implementar soluciones basadas en la nube y cumplir con la directiva de seguridad CJIS V5.9.

Preguntas frecuentes

¿Dónde puedo solicitar información de cumplimiento?

Póngase en contacto con el representante de su cuenta microsoft para obtener información sobre la jurisdicción que le interesa. Póngase cjis@microsoft.com en contacto para obtener información sobre qué servicios están disponibles actualmente en qué estados.

¿Cómo demuestra Microsoft que sus servicios en la nube permiten el cumplimiento de los requisitos de mi estado?

Microsoft firma un acuerdo de información con una agencia estatal de sistemas CJIS (CSA); puede solicitar una copia de la CSA de su estado. Además, Microsoft proporciona a los clientes información detallada sobre seguridad, privacidad e cumplimiento. Los clientes también pueden revisar los informes de seguridad y cumplimiento preparados por auditores independientes para que puedan validar que Microsoft ha implementado controles de seguridad (como ISO 27001) adecuados para el ámbito de auditoría correspondiente.

¿Dónde comienzo con el esfuerzo de cumplimiento de mi agencia?

La directiva de seguridad de CJIS cubre las precauciones que debe tomar su agencia para proteger CJI. Además, el representante de la cuenta microsoft puede ponerse en contacto con aquellos que están familiarizados con los requisitos de su jurisdicción

Usar el Administrador de cumplimiento de Microsoft para evaluar el riesgo

El Administrador de cumplimiento de Microsoft es una característica en el Centro de cumplimiento de Microsoft 365 que le ayuda a entender la actitud de su organización en relación con el cumplimiento normativo y a tomar medidas para contribuir a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Recursos