Compartilhar via


Política de Segurança dos Serviços de Informação de Justiça Criminal (CJIS)

Descrição geral do CJIS

A Divisão de Serviços de Informação de Justiça Criminal (CJIS) do Departamento Federal de Investigação dos EUA (FBI) dá às autoridades estatais, locais e federais e às agências de justiça criminal acesso a informações de justiça criminal (CJI). O CJI inclui, por exemplo, registos de impressões digitais e históricos criminais. A aplicação da lei e outras agências governamentais no Estados Unidos devem garantir que a sua utilização de serviços cloud para a transmissão, armazenamento ou processamento de CJI está em conformidade com a Política de Segurança CJIS, que estabelece requisitos e controlos mínimos de segurança para salvaguardar o CJI.

A Política de Segurança CJIS integra diretivas presidenciais e do FBI, leis federais e decisões do Conselho De Política Consultiva da comunidade de justiça criminal, juntamente com orientações do National Institute of Standards and Technology (NIST). A Política é atualizada periodicamente para refletir os requisitos de segurança em evolução.

A Política de Segurança CJIS define 13 áreas que os empreiteiros privados, como fornecedores de serviços cloud, têm de avaliar para determinar se a sua utilização de serviços cloud pode ser consistente com os requisitos de CJIS. Estas áreas correspondem estreitamente ao NIST 800-53, que é também a base do Federal Risk and Authorization Management Program (FedRAMP), um programa ao abrigo do qual a Microsoft foi certificada para as suas ofertas da Government Cloud.

Além disso, todos os empreiteiros privados que processam o CJI devem assinar a Adenda de Segurança CJIS, um acordo uniforme aprovado pelo Procurador-Geral dos EUA que ajuda a garantir a segurança e confidencialidade do CJI exigido pela Política de Segurança. Também compromete o empreiteiro a manter um programa de segurança consistente com as leis, regulamentos e normas federais e estatais, e limita a utilização do CJI para os fins para os quais uma agência governamental o forneceu.

Política de Segurança microsoft e CJIS

A Microsoft assina a Adenda de Segurança CJIS em estados com Contratos de Informação CJIS. Estas informações indicam às autoridades responsáveis pela conformidade com a Política de Segurança CJIS como os controlos de segurança na cloud da Microsoft ajudam a proteger o ciclo de vida completo dos dados e garantem uma filtragem em segundo plano adequada do pessoal operacional com acesso ao CJI. A Microsoft continua a trabalhar com os governos estaduais para introduzir contratos de informação CJIS.

A Microsoft avaliou as políticas e procedimentos operacionais da Microsoft Azure Governamental, Microsoft Office 365 governo dos EUA e da Microsoft Dynamics 365 Governo dos EUA, e atestará a sua capacidade nos contratos de serviços aplicáveis de cumprir os requisitos do FBI para a utilização de serviços no âmbito.

Plataformas e serviços em nuvem no escopo da Microsoft

  • Azure Governamental
  • Dynamics 365 Governo dos E.U.A.
  • Office 365 Governo dos E.U.A.
  • Serviço cloud do Power BI como parte de um plano ou conjunto de marcas da Cloud da Comunidade Office 365 Government

Azure, Dynamics 365 e CJIS

Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, veja a oferta CJIS do Azure.

Office 365 e CJIS

Ambientes do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
GCC Microsoft Entra ID, Gestor de Conformidade, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 suplemento Office 365 Centro de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Auditorias Office 365, relatórios e certificados

O FBI não oferece certificação da conformidade da Microsoft com os requisitos CJIS. Em vez disso, um atestado da Microsoft é incluído em contratos entre a Microsoft e a autoridade CJIS de um estado e entre a Microsoft e os seus clientes.

CJIS status no Estados Unidos (atual a partir de 27 de setembro de 2024)

Existem Acordos de Gestão CJIS que abrangem agências de justiça criminal em 47 estados e no Distrito de Columbia:

Alabama, Alasca, Arizona, Arkansas, Califórnia, Colorado, Connecticut, Florida, Geórgia, Havai, Idaho, Illinois, Indiana, Iowa, Kansas, Kentucky, Louisiana, Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, Nevada, New Hampshire, New Jersey, New Jersey, New Mexico, Nova Iorque, Carolina do Norte, Dakota do Norte, Ohio, Oklahoma, Oregon, Pensilvânia, Rhode Island, e o Distrito de Columbia.

O compromisso da Microsoft em cumprir os controlos regulamentares CJIS aplicáveis permite que as organizações de Justiça Criminal implementem soluções baseadas na cloud e estejam em conformidade com a Política de Segurança CJIS v5.9.5.

Perguntas frequentes

Onde posso pedir informações de conformidade?

Contacte o representante da sua conta Microsoft para obter informações sobre a jurisdição em que está interessado. Contacte cjis@microsoft.com para obter informações sobre os serviços atualmente disponíveis em que estados.

Como é que a Microsoft demonstra que os seus serviços cloud permitem a conformidade com os requisitos do meu estado?

A Microsoft assina um Contrato de Informação com uma CJIS Systems Agency (CSA) estatal; pode pedir uma cópia da CSA do seu estado. Além disso, a Microsoft fornece aos clientes informações aprofundadas de segurança, privacidade e conformidade. Os clientes também podem rever relatórios de segurança e conformidade preparados por auditores independentes para que possam validar que a Microsoft implementou controlos de segurança (como o ISO 27001) adequados ao âmbito de auditoria relevante.

Por onde começo com o esforço de conformidade da minha agência?

A Política de Segurança CJIS abrange as precauções que a sua agência tem de tomar para proteger o CJI. Além disso, o representante da sua conta Microsoft pode colocá-lo em contacto com aqueles que estão familiarizados com os requisitos da sua jurisdição.

Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco

O Gestor de Conformidade do Microsoft Purview é uma funcionalidade do portal de conformidade do Microsoft Purview para o ajudar a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos