Política de Segurança dos Serviços de Informações da Justiça Criminal (CJIS)

Visão geral do CJIS

A Divisão de Serviços de Informações da Justiça Criminal (CJIS) do FBI (Federal Bureau of Investigation) dos EUA concede aos órgãos de segurança pública, local e federal acesso a informações de justiça criminal (CJI) — por exemplo, registros de impressão digital e históricos criminais. A aplicação da lei e outras agências governamentais nos Estados Unidos devem garantir que o uso dos serviços de nuvem para a transmissão, armazenamento ou processamento do CJI está em conformidade com a Política de Segurança CJIS, que estabelece requisitos mínimos de segurança e controles para proteger o CJI.

A Política de Segurança do CJIS integra diretivas políticas do FBI e do FBI, leis federais e decisões do Conselho de Política Consultiva da comunidade de justiça criminal, juntamente com orientações do Instituto Nacional de Padrões e Tecnologia (NIST). A Política é atualizada periodicamente para refletir os requisitos de segurança em evolução.

A Política de Segurança do CJIS define 13 áreas que prestadores de serviços privados, como provedores de serviços de nuvem, devem avaliar para determinar se o uso dos serviços de nuvem pode ser consistente com os requisitos do CJIS. Essas áreas correspondem de perto ao NIST 800-53, que também é a base para o Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP),um programa no qual a Microsoft foi certificada para suas ofertas de Nuvem Governamental.

Além disso, todos os prestadores de serviços privados que processam o CJI devem assinar o Adendo de Segurança CJIS, um contrato uniforme aprovado pela Us Attorney General que ajuda a garantir a segurança e a confidencialidade do CJI exigidos pela Política de Segurança. Ele também compromete o prestador de serviços a manter um programa de segurança consistente com as leis, regulamentos e padrões federais e estaduais e limita o uso do CJI às finalidades para as quais uma agência governamental o forneceu.

Política de Segurança da Microsoft e CJIS

A Microsoft assina o Adendo de Segurança CJIS em estados com Contratos de Informações CJIS. Eles dizem às autoridades de aplicação da lei estatais responsáveis pela conformidade com a Política de Segurança CJIS como os controles de segurança na nuvem da Microsoft ajudam a proteger o ciclo de vida completo dos dados e garantir a triagem adequada em segundo plano da equipe operacional com acesso ao CJI. A Microsoft continua a trabalhar com os governos estaduais para entrar em Contratos de Informações do CJIS.

A Microsoft avaliou as políticas operacionais e os procedimentos do governo Microsoft Azure, do Microsoft Office 365 do governo dos EUA e do Microsoft Dynamics 365 e irá atestar sua capacidade nos contratos de serviços aplicáveis para atender aos requisitos do FBI para o uso de serviços no escopo.

Saiba mais sobre os benefícios da política de Segurança CJIS no Microsoft Cloud: leia como a Genetec desarmou investigações criminais

Plataformas e serviços de nuvem no escopo da Microsoft

  • Governo do Azure
  • Dynamics 365 U.S. Government
  • Office 365 Governo dos EUA
  • Serviço de nuvem do Power BI como um serviço autônomo ou incluído em um plano ou pacote do Office 365

Azure, Dynamics 365 e CJIS

Para obter mais informações sobre a conformidade do Azure, dynamics 365 e outros serviços online, consulte a oferta do Azure CJIS.

Office 365 e CJIS

Ambientes de nuvem do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes em nuvem do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
GCC Azure Active Directory, Gerente de Conformidade, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, complemento de Conformidade Avançada do Office 365, Centro de Segurança e Conformidade do Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Auditorias Office 365, relatórios e certificados

O FBI não oferece certificação de conformidade da Microsoft com os requisitos CJIS. Em vez disso, um atestado da Microsoft é incluído em acordos entre a Microsoft e a autoridade CJIS de um estado e entre a Microsoft e seus clientes.

Requisitos de nuvem do Microsoft CJIS

Status do CJIS nos Estados Unidos (atual a partir de 5/11/2020)

44 estados e o Distrito de Colúmbia com contratos de gerenciamento, destacados no mapa em verde incluem:

Alabama, Alasca, Arizona, Arkansas, Califórnia, Texas, Connecticut, Geórgia, Geórgia, Havaiana, Maine, Indiana, Chicago, Kansas, Kentucky, Maine, Massachusetts, Massachusetts, Minnesota, Mississipi, Missouri, Texas, Nevada, Nevada, New Hampshire, New Jersey, New Jersey, New York, North Carolina, North Dakota, Oregon, Oregon, California, Island, South Carolina, Texas, Texas, Lanta, Lanta, Virgínia, Washington, West Virginia, Oregon e o Distrito de Colúmbia.

O compromisso da Microsoft em atender aos controles regulamentadores CJIS aplicáveis permite que as organizações de Justiça Criminal implementem soluções baseadas em nuvem e sejam compatíveis com a Política de Segurança do CJIS V5.9.

Perguntas frequentes

Onde posso solicitar informações de conformidade?

Entre em contato com seu representante de conta da Microsoft para obter informações sobre a jurisdição em que você está interessado. Entre em contato para obter informações sobre quais cjis@microsoft.com serviços estão disponíveis no momento em quais estados.

Como a Microsoft demonstra que seus serviços de nuvem permitem a conformidade com os requisitos do meu estado?

A Microsoft assina um Contrato de Informações com uma CJIS Systems Agency (CSA) de estado; você pode solicitar uma cópia do CSA do seu estado. Além disso, a Microsoft fornece aos clientes informações detalhadas sobre segurança, privacidade e conformidade. Os clientes também podem revisar relatórios de segurança e conformidade preparados por auditores independentes para que eles possam validar que a Microsoft implementou controles de segurança (como ISO 27001) apropriados ao escopo de auditoria relevante.

Por onde começar com o esforço de conformidade da minha agência?

A Política de Segurança CJIS abrange as precauções que sua agência deve tomar para proteger o CJI. Além disso, seu representante de conta da Microsoft pode colocá-lo em contato com aqueles familiarizados com os requisitos de sua jurisdição

Use o Gerenciador de Conformidade da Microsoft para avaliar o risco

OGerenciador de Conformidade da Microsoft é um recurso no Centro de conformidade do Microsoft 365 para ajudá-lo a entender a postura de conformidade da sua organização e executar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos