Directiva de seguridad de Servicios de información de justicia penal (CJIS)

Introducción a CJIS

La División de Servicios de Información de Justicia Criminal (CJIS) de la Oficina Federal de Investigación (FBI) de EE. UU. proporciona a las agencias estatales, locales y federales de aplicación de la ley y justicia penal acceso a la información de justicia penal (CJI), por ejemplo, registros de huellas digitales e historiales penales. La aplicación de la ley y otras agencias gubernamentales de la Estados Unidos deben asegurarse de que su uso de servicios en la nube para la transmisión, almacenamiento o procesamiento de CJI cumple con la directiva de seguridad de CJIS, que establece requisitos mínimos de seguridad y controles para proteger el CJI.

La Política de Seguridad de CJIS integra las directivas presidenciales y del FBI, las leyes federales y las decisiones de la Junta de Políticas Consultivas de la comunidad de justicia criminal, junto con la guía del Instituto Nacional de Estándares y Tecnología (NIST). La directiva se actualiza periódicamente para reflejar los requisitos de seguridad en constante evolución.

La directiva de seguridad de CJIS define 13 áreas que los contratistas privados, como los proveedores de servicios en la nube, deben evaluar para determinar si su uso de servicios en la nube puede ser coherente con los requisitos de CJIS. Estas áreas se corresponden estrechamente con NIST 800-53, que también es la base del Programa Federal de Administración de Riesgos y Autorización (FedRAMP), un programa bajo el cual Microsoft ha sido certificado por sus ofertas en la nube de Government.

Además, todos los contratistas privados que procesan CJI deben firmar el Addendum de Seguridad de CJIS, un acuerdo uniforme aprobado por el Fiscal General de LOS EE. UU. que ayuda a garantizar la seguridad y confidencialidad de CJI requerida por la Política de Seguridad. También compromete al contratista a mantener un programa de seguridad coherente con las leyes, regulaciones y estándares federales y estatales, y limita el uso de CJI a los fines para los que lo proporcionó una agencia gubernamental.

Directiva de seguridad de Microsoft y CJIS

Microsoft firma el complemento de seguridad de CJIS en estados con acuerdos de información de CJIS. Estos indican a las autoridades estatales responsables del cumplimiento de la directiva de seguridad de CJIS cómo los controles de seguridad en la nube de Microsoft ayudan a proteger todo el ciclo de vida de los datos y a garantizar el filtrado en segundo plano adecuado del personal operativo con acceso a CJI. Microsoft continúa trabajando con los gobiernos estatales para suscribir acuerdos de información de CJIS.

Microsoft ha evaluado las directivas y procedimientos operativos de Microsoft Azure Government, Microsoft Office 365 gobierno de EE. UU. y Microsoft Dynamics 365 U.S. Government, y atestiguará su capacidad en los contratos de servicios aplicables para cumplir los requisitos del FBI para el uso de servicios de ámbito.

Más información sobre las ventajas de la directiva de seguridad de CJIS en la nube de Microsoft: lea cómo Genetec borra las investigaciones criminales

Servicios de plataformas & en la nube en el ámbito de Microsoft

  • Azure Government
  • Dynamics 365 U.S. Government
  • Office 365 gobierno de EE. UU.
  • El servicio de nube de Power BI como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365

Azure, Dynamics 365 y CJIS

Para obtener más información sobre Azure, Dynamics 365 y otros servicios en línea cumplimiento, consulte la oferta de Azure CJIS.

Office 365 y CJIS

entornos de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos de Office 365:

  • Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
  • Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
  • Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
  • Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
  • Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad Servicios incluidos
GCC Azure Active Directory, Administrador de cumplimiento, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Cumplimiento avanzado de Office 365 complemento, Office 365 Security & Centro de cumplimiento, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, Stream

Auditorías, informes y certificados de Office 365

El FBI no ofrece certificación del cumplimiento de Microsoft con los requisitos de CJIS. En su lugar, una atestación de Microsoft se incluye en acuerdos entre Microsoft y la autoridad CJIS de un estado, y entre Microsoft y sus clientes.

Requisitos en la nube de Microsoft CJIS

Estado de CJIS en el Estados Unidos (actual a partir del 11/8/2022)

45 estados y el Distrito de Columbia con acuerdos de administración, resaltados en el mapa en verde incluyen:

Alabama, Alaska, Arizona, Arkansas, California, Colorado, Connecticut, Florida, Georgia, Hawaii, Idaho, Illinois, Indiana, Iowa, Kansas, Kentucky, Maine, Maryland, Massachusetts, Michigan, Minnesota, Misisipi, Misisipi, Misuri, Montana, Nebraska, Nevada, New Hampshire, Nueva Jersey, Nuevo México, Nueva York, Carolina del Norte, Dakota del Norte, Oklahoma, Oregon, Pennsylvania, Rhode Island, Carolina del Sur, Tennessee, Texas, Utah, Vermont, Virginia, Washington, Virginia Occidental, Wisconsin y el Distrito de Wisconsin Columbia.

El compromiso de Microsoft de cumplir los controles normativos de CJIS aplicables permite a las organizaciones de justicia penal implementar soluciones basadas en la nube y cumplir con la directiva de seguridad de CJIS V5.9.

Preguntas frecuentes

¿Dónde puedo solicitar información de cumplimiento?

Póngase en contacto con el representante de su cuenta microsoft para obtener información sobre la jurisdicción que le interesa. Póngase en contacto con cjis@microsoft.com para obtener información sobre qué servicios están disponibles actualmente en qué estados.

¿Cómo demuestra Microsoft que sus servicios en la nube permiten el cumplimiento de los requisitos de mi estado?

Microsoft firma un acuerdo de información con una agencia estatal de sistemas CJIS (CSA); puede solicitar una copia de la CSA de su estado. Además, Microsoft proporciona a los clientes información detallada sobre seguridad, privacidad y cumplimiento. Los clientes también pueden revisar los informes de seguridad y cumplimiento preparados por auditores independientes para que puedan validar que Microsoft ha implementado controles de seguridad (como ISO 27001) adecuados para el ámbito de auditoría pertinente.

¿Dónde empiezo con el esfuerzo de cumplimiento de mi agencia?

La directiva de seguridad de CJIS cubre las precauciones que su agencia debe tomar para proteger CJI. Además, el representante de su cuenta Microsoft puede ponerse en contacto con aquellos que estén familiarizados con los requisitos de su jurisdicción.

Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo

El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Recursos