Política de Segurança dos Serviços de Informação de Justiça Criminal (CJIS)
Descrição geral do CJIS
A Divisão de Serviços de Informação de Justiça Criminal (CJIS) do Departamento Federal de Investigação dos EUA (FBI) dá às autoridades estatais, locais e federais e às agências de justiça criminal acesso a informações de justiça criminal (CJI). O CJI inclui, por exemplo, registos de impressões digitais e históricos criminais. A aplicação da lei e outras agências governamentais no Estados Unidos devem garantir que a sua utilização de serviços cloud para a transmissão, armazenamento ou processamento de CJI está em conformidade com a Política de Segurança CJIS, que estabelece requisitos e controlos mínimos de segurança para salvaguardar o CJI.
A Política de Segurança CJIS integra diretivas presidenciais e do FBI, leis federais e decisões do Conselho De Política Consultiva da comunidade de justiça criminal, juntamente com orientações do National Institute of Standards and Technology (NIST). A Política é atualizada periodicamente para refletir os requisitos de segurança em evolução.
A Política de Segurança CJIS define 13 áreas que os empreiteiros privados, como fornecedores de serviços cloud, têm de avaliar para determinar se a sua utilização de serviços cloud pode ser consistente com os requisitos de CJIS. Estas áreas correspondem estreitamente ao NIST 800-53, que é também a base do Federal Risk and Authorization Management Program (FedRAMP), um programa ao abrigo do qual a Microsoft foi certificada para as suas ofertas da Government Cloud.
Além disso, todos os empreiteiros privados que processam o CJI devem assinar a Adenda de Segurança CJIS, um acordo uniforme aprovado pelo Procurador-Geral dos EUA que ajuda a garantir a segurança e confidencialidade do CJI exigido pela Política de Segurança. Também compromete o empreiteiro a manter um programa de segurança consistente com as leis, regulamentos e normas federais e estatais, e limita a utilização do CJI para os fins para os quais uma agência governamental o forneceu.
Política de Segurança microsoft e CJIS
A Microsoft assina a Adenda de Segurança CJIS em estados com Contratos de Informação CJIS. Estas informações indicam às autoridades responsáveis pela conformidade com a Política de Segurança CJIS como os controlos de segurança na cloud da Microsoft ajudam a proteger o ciclo de vida completo dos dados e garantem uma filtragem em segundo plano adequada do pessoal operacional com acesso ao CJI. A Microsoft continua a trabalhar com os governos estaduais para introduzir contratos de informação CJIS.
A Microsoft avaliou as políticas e procedimentos operacionais da Microsoft Azure Governamental, Microsoft Office 365 governo dos EUA e da Microsoft Dynamics 365 Governo dos EUA, e atestará a sua capacidade nos contratos de serviços aplicáveis de cumprir os requisitos do FBI para a utilização de serviços no âmbito.
Plataformas e serviços em nuvem no escopo da Microsoft
- Azure Governamental
- Dynamics 365 Governo dos E.U.A.
- Office 365 Governo dos E.U.A.
- Serviço cloud do Power BI como parte de um plano ou conjunto de marcas da Cloud da Comunidade Office 365 Government
Azure, Dynamics 365 e CJIS
Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, veja a oferta CJIS do Azure.
Office 365 e CJIS
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| GCC | Microsoft Entra ID, Gestor de Conformidade, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 suplemento Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream |
Auditorias Office 365, relatórios e certificados
O FBI não oferece certificação da conformidade da Microsoft com os requisitos CJIS. Em vez disso, um atestado da Microsoft é incluído em contratos entre a Microsoft e a autoridade CJIS de um estado e entre a Microsoft e os seus clientes.
CJIS status no Estados Unidos (atual a partir de 27 de setembro de 2024)
Existem Acordos de Gestão CJIS que abrangem agências de justiça criminal em 47 estados e no Distrito de Columbia:
Alabama, Alasca, Arizona, Arkansas, Califórnia, Colorado, Connecticut, Florida, Geórgia, Havai, Idaho, Illinois, Indiana, Iowa, Kansas, Kentucky, Louisiana, Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, Nevada, New Hampshire, New Jersey, New Jersey, New Mexico, Nova Iorque, Carolina do Norte, Dakota do Norte, Ohio, Oklahoma, Oregon, Pensilvânia, Rhode Island, e o Distrito de Columbia.
O compromisso da Microsoft em cumprir os controlos regulamentares CJIS aplicáveis permite que as organizações de Justiça Criminal implementem soluções baseadas na cloud e estejam em conformidade com a Política de Segurança CJIS v5.9.5.
Perguntas frequentes
Onde posso pedir informações de conformidade?
Contacte o representante da sua conta Microsoft para obter informações sobre a jurisdição em que está interessado. Contacte cjis@microsoft.com para obter informações sobre os serviços atualmente disponíveis em que estados.
Como é que a Microsoft demonstra que os seus serviços cloud permitem a conformidade com os requisitos do meu estado?
A Microsoft assina um Contrato de Informação com uma CJIS Systems Agency (CSA) estatal; pode pedir uma cópia da CSA do seu estado. Além disso, a Microsoft fornece aos clientes informações aprofundadas de segurança, privacidade e conformidade. Os clientes também podem rever relatórios de segurança e conformidade preparados por auditores independentes para que possam validar que a Microsoft implementou controlos de segurança (como o ISO 27001) adequados ao âmbito de auditoria relevante.
Por onde começo com o esforço de conformidade da minha agência?
A Política de Segurança CJIS abrange as precauções que a sua agência tem de tomar para proteger o CJI. Além disso, o representante da sua conta Microsoft pode colocá-lo em contacto com aqueles que estão familiarizados com os requisitos da sua jurisdição.
Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco
O Gestor de Conformidade do Microsoft Purview é uma funcionalidade do portal de conformidade do Microsoft Purview para o ajudar a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.