Política de Segurança dos Serviços de Informações da Justiça Criminal (CJIS)
Visão geral do CJIS
A Divisão CJIS (Serviços de Informações de Justiça Criminal) do FBI (Federal Bureau of Investigation) dos EUA dá às autoridades estaduais, locais e federais e agências de justiça criminal acesso a informações de justiça criminal (CJI)— por exemplo, registros de impressões digitais e antecedentes criminais. A aplicação da lei e outras agências governamentais no Estados Unidos devem garantir que o uso de serviços de nuvem para a transmissão, armazenamento ou processamento do CJI esteja em conformidade com a Política de Segurança do CJIS, que estabelece requisitos e controles mínimos de segurança para proteger o CJI.
A Política de Segurança do CJIS integra diretivas presidenciais e do FBI, leis federais e decisões do Conselho de Política Consultiva da comunidade de justiça criminal, juntamente com diretrizes do National Institute of Standards and Technology (NIST). A Política é atualizada periodicamente para refletir os requisitos de segurança em evolução.
A Política de Segurança do CJIS define 13 áreas que os contratados privados, como provedores de serviços de nuvem, devem avaliar para determinar se o uso de serviços de nuvem pode ser consistente com os requisitos do CJIS. Essas áreas correspondem de perto ao NIST 800-53, que também é a base para o FedRAMP (Federal Risk and Authorization Management Program), um programa no qual a Microsoft foi certificada para suas ofertas de Nuvem Governamental.
Além disso, todos os contratados privados que processam o CJI devem assinar o CJIS Security Addendum, um acordo uniforme aprovado pelo procurador-geral dos EUA que ajuda a garantir a segurança e a confidencialidade do CJI exigidos pela Política de Segurança. Ele também compromete o empreiteiro a manter um programa de segurança consistente com leis, regulamentos e padrões federais e estaduais, e limita o uso de CJI para as finalidades para as quais uma agência governamental o forneceu.
Política de Segurança microsoft e CJIS
A Microsoft assina o Adendo de Segurança CJIS em estados com Contratos de Informações CJIS. Estes informam às autoridades estaduais responsáveis pelo cumprimento da Política de Segurança do CJIS como os controles de segurança na nuvem da Microsoft ajudam a proteger o ciclo de vida completo dos dados e garantir a triagem adequada em segundo plano do pessoal operacional com acesso ao CJI. A Microsoft continua trabalhando com os governos estaduais para entrar em Contratos de Informações CJIS.
A Microsoft avaliou as políticas operacionais e procedimentos da Microsoft Azure Governamental, Microsoft Office 365 Governo dos EUA e Microsoft Dynamics 365 governo dos EUA, e atestará sua capacidade nos contratos de serviços aplicáveis para atender aos requisitos do FBI para o uso de serviços no escopo.
Plataformas e serviços em nuvem no escopo da Microsoft
- Azure Governamental
- Dynamics 365 governo dos EUA
- Office 365 governo dos EUA
- Serviço de nuvem do Power BI como parte de um Office 365 Government plano ou pacote da marca Community Cloud
Azure, Dynamics 365 e CJIS
Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, consulte a oferta do CJIS do Azure.
Office 365 e CJIS
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| GCC | Microsoft Entra ID, Gerenciador de Conformidade, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 complemento, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream |
Auditorias Office 365, relatórios e certificados
O FBI não oferece a certificação da conformidade da Microsoft com os requisitos CJIS. Em vez disso, um atestado da Microsoft é incluído em acordos entre a Microsoft e uma autoridade CJIS do estado e entre a Microsoft e seus clientes.
Requisitos de nuvem do Microsoft CJIS
CJIS status no Estados Unidos (atual a partir de 28/03/2024)
Quarenta e seis estados e o Distrito de Columbia com acordos de gestão incluem:
Alabama, Alasca, Arizona, Arkansas, Califórnia, Colorado, Connecticut, Flórida, Geórgia, Havaí, Idaho, Illinois, Indiana, Iowa, Kansas, Kentucky, Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, Nevada, Nevada, New Hampshire, Nova Jersey, Novo México, Novo México, Nova York, Carolina do Norte, Dakota do Norte, Ohio, Oklahoma, Oregon, Pensilvânia, Rhode Island, Carolina do Sul, Tennessee, Texas, Utah, Vermont, Virgínia, Washington Columbia.
O compromisso da Microsoft em atender aos controles regulatórios CJIS aplicáveis permite que as organizações de Justiça Criminal implementem soluções baseadas em nuvem e estejam em conformidade com a CJIS Security Policy V5.9.
Perguntas frequentes
Onde posso solicitar informações de conformidade?
Entre em contato com o representante da sua conta Microsoft para obter informações sobre a jurisdição na qual você está interessado. Entre em contato cjis@microsoft.com para obter informações sobre quais serviços estão disponíveis atualmente nos quais estados.
Como a Microsoft demonstra que seus serviços de nuvem habilitam a conformidade com os requisitos do meu estado?
A Microsoft assina um Contrato de Informações com uma CSA (Agência de Sistemas CJIS) do estado; você pode solicitar uma cópia do CSA do seu estado. Além disso, a Microsoft fornece aos clientes informações detalhadas de segurança, privacidade e conformidade. Os clientes também podem examinar relatórios de segurança e conformidade preparados por auditores independentes para que possam validar que a Microsoft implementou controles de segurança (como o ISO 27001) apropriados para o escopo de auditoria relevante.
Por onde começo com o esforço de conformidade da minha agência?
A Política de Segurança do CJIS aborda as precauções que sua agência deve tomar para proteger o CJI. Além disso, seu representante de conta microsoft pode colocá-lo em contato com aqueles familiarizados com os requisitos de sua jurisdição.
Use o Microsoft Purview Compliance Manager para avaliar seu risco
O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.
Recursos
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários