Límite de datos para los sistemas de información de justicia penal (CJIS)

En esta página se describe el conjunto de controles que se aplican a las cargas de trabajo de CJIS en Assured Workloads. Proporciona información detallada sobre la residencia de los datos, los productos Google Cloud compatibles y sus endpoints de API, así como las restricciones o limitaciones aplicables a esos productos. La siguiente información adicional se aplica a CJIS:

• Residencia de datos: el paquete de controles de CJIS establece controles de ubicación de datos para admitir regiones solo de EE. UU. Consulta la sección Restricciones de las políticas de toda la organización deGoogle Cloud para obtener más información.
• Asistencia: los servicios de asistencia técnica para cargas de trabajo de CJIS están disponibles con las suscripciones Enhanced o Premium de Cloud Customer Care. Los casos de asistencia de cargas de trabajo de CJIS se derivan a personas estadounidenses que se encuentran en EE. UU. y que han completado las comprobaciones de antecedentes de CJIS. Para obtener más información, consulta el artículo Obtener asistencia.
• Precios: el paquete de controles de CJIS se incluye en el nivel Premium de Assured Workloads, que conlleva un cargo adicional del 20 %. Consulta los precios de Assured Workloads para obtener más información.

Requisitos previos

Para seguir cumpliendo los requisitos como usuario del paquete de controles de CJIS, compruebe que cumple los siguientes requisitos previos:

• Crea una carpeta de CJIS con Assured Workloads y despliega tus cargas de trabajo de CJIS solo en esa carpeta.
• Habilita y usa solo los servicios de CJIS incluidos en el ámbito para las cargas de trabajo de CJIS.
• No cambies los valores predeterminados de las restricciones de la política de la organización, a menos que entiendas y aceptes los riesgos de residencia de datos que puedan producirse.
• Te recomendamos que adoptes las prácticas recomendadas de seguridad generales que se indican en el Google Cloud centro de prácticas recomendadas de seguridad.
• Cuando accedas a la Google Cloud consola, podrás usar la consola de jurisdicción Google Cloud . No es obligatorio usar la consola jurisdiccional para el CJIS. Google Cloud Se puede acceder a ella a través de una de las siguientes URLs:
  • console.us.cloud.google.com
  • console.us.cloud.google para usuarios con identidad federada

Productos y endpoints de API admitidos

A menos que se indique lo contrario, los usuarios pueden acceder a todos los productos admitidos a través de la consola de Google Cloud . En la siguiente tabla se indican las restricciones o limitaciones que afectan a las funciones de un producto admitido, incluidas las que se aplican mediante los ajustes de restricciones de la política de la organización.

Si un producto no aparece en la lista, significa que no se admite y que no cumple los requisitos de control de CJIS. No se recomienda usar productos no admitidos sin haber tomado las precauciones necesarias y sin conocer a fondo las responsabilidades que te corresponden en el modelo de responsabilidad compartida. Antes de usar un producto no admitido, asegúrate de que conoces y aceptas los riesgos asociados, como los efectos negativos en la residencia o la soberanía de los datos.

Restricciones y limitaciones

En las siguientes secciones se describen las restricciones o limitaciones de las funciones a nivel de Google Cloudo de producto, incluidas las restricciones de políticas de la organización que se definen de forma predeterminada en las carpetas de CJIS. Otras restricciones de políticas de la organización aplicables, aunque no estén definidas de forma predeterminada, pueden proporcionar una defensa en profundidad adicional para proteger aún más los recursos de tu organización. Google Cloud

Google Cloudde ancho

Funciones de todo el sitio afectadas Google Cloud

Función

Descripción

Google Cloud consola

Para acceder a la Google Cloud consola cuando se usa el paquete de control de CJIS, puedes usar la consola Jurisdictional Google Cloud . No es necesario usar la consola Jurisdictional para el CJIS. Se puede acceder a ella mediante una de las siguientes URLs: Google Cloud console.us.cloud.google.com console.us.cloud.google para usuarios de identidad federada Para obtener más información, consulta la página de la consola Jurisdictional Google Cloud .

Restricciones de las políticas de organización deGoogle Cloud

Las siguientes restricciones de la política de la organización se aplican en Google Cloud.

Restricción de política de organización	Descripción
gcp.resourceLocations	Selecciona las siguientes ubicaciones en la lista allowedValues: us-locations us-central1 us-central2 us-east1 us-east4 us-east5 us-south1 us-west1 us-west2 us-west3 us-west4 Este valor restringe la creación de recursos nuevos a los valores seleccionados. Si se define, no se pueden crear recursos en ninguna otra región, multirregión ni ubicación fuera de la selección. Consulta la sección Servicios admitidos en ubicaciones de recursos para ver una lista de los recursos que se pueden restringir mediante la restricción de la política de organización de ubicaciones de recursos, ya que algunos recursos pueden estar fuera del ámbito y no se pueden restringir. Si se cambia este valor para que sea menos restrictivo, se puede poner en riesgo la residencia de los datos, ya que se permite que se creen o almacenen datos fuera de un límite de datos conforme.
gcp.restrictCmekCryptoKeyProjects	Se ha definido como under:organizations/your-organization-name, que es tu organización de Assured Workloads. Puede restringir aún más este valor especificando un proyecto o una carpeta. Limita el ámbito de las carpetas o proyectos aprobados que pueden proporcionar claves de Cloud KMS para cifrar datos en reposo mediante CMEK. Esta restricción impide que las carpetas o los proyectos no aprobados proporcionen claves de cifrado, lo que ayuda a garantizar la soberanía de los datos en reposo de los servicios incluidos en el ámbito.
gcp.restrictNonCmekServices	Se define como una lista de todos los nombres de servicios de API incluidos en el ámbito, entre los que se incluyen los siguientes: bigquery.googleapis.com compute.googleapis.com container.googleapis.com logging.googleapis.com sqladmin.googleapis.com storage.googleapis.com Es posible que algunas funciones se vean afectadas en cada uno de los servicios indicados anteriormente. Cada servicio de la lista requiere claves de cifrado gestionadas por el cliente (CMEK). Las CMEK permiten que los datos en reposo se cifren con una clave gestionada por ti, no con los mecanismos de cifrado predeterminados de Google. Si cambias este valor quitando uno o varios servicios incluidos en el ámbito de la lista, puede que se vea afectada la soberanía de los datos, ya que los nuevos datos en reposo se cifrarán automáticamente con las claves de Google en lugar de con las tuyas. Los datos en reposo se seguirán cifrando con la clave que proporcionaste.
gcp.restrictServiceUsage	Se define para permitir todos los productos y endpoints de API admitidos. Determina qué servicios se pueden usar restringiendo el acceso en tiempo de ejecución a sus recursos. Para obtener más información, consulta Restringir el uso de recursos.
gcp.restrictTLSVersion	Definir para denegar las siguientes versiones de TLS: TLS_1_0 TLS_1_1 Consulta la página Restringir versiones de TLS para obtener más información.

BigQuery

Funciones de BigQuery afectadas

Función	Descripción
Habilitar BigQuery en una carpeta nueva	BigQuery es compatible, pero no se habilita automáticamente al crear una carpeta de Assured Workloads debido a un proceso de configuración interno. Este proceso suele completarse en diez minutos, pero puede llevar mucho más tiempo en algunas circunstancias. Para comprobar si el proceso ha finalizado y habilitar BigQuery, sigue estos pasos: En la Google Cloud consola, ve a la página Assured Workloads. Ir a Assured Workloads Selecciona la nueva carpeta de Assured Workloads de la lista. En la página Detalles de la carpeta, en la sección Servicios permitidos, haz clic en Ver actualizaciones disponibles. En el panel Servicios permitidos, revisa los servicios que se van a añadir a la política de organización Restricción de uso de recursos de la carpeta. Si aparecen servicios de BigQuery, haga clic en Permitir servicios para añadirlos. Si los servicios de BigQuery no aparecen en la lista, espera a que se complete el proceso interno. Si los servicios no aparecen en un plazo de 12 horas desde que se creó la carpeta, ponte en contacto con Asistencia de Google Cloud. Una vez que se haya completado el proceso de habilitación, podrá usar BigQuery en su carpeta de Assured Workloads. Assured Workloads no admite Gemini en BigQuery.
Funciones no compatibles	Las siguientes funciones de BigQuery no se admiten y no deben usarse en la CLI de BigQuery. Es tu responsabilidad no usarlos en BigQuery para Assured Workloads. Interacción con fuentes de datos remotas No se admiten los modelos de BQML entrenados externamente. Se admiten los modelos de BQML entrenados internamente. Enmascaramiento de datos dinámico Exportación de GDrive Funciones remotas Consultas guardadas Programación de flujos de trabajo En BigQuery Studio, los cuadernos no se admiten. Gemini en BigQuery no es compatible.
CLI de BigQuery	Se admite la CLI de BigQuery.
SDK de Google Cloud	Debes usar la versión 403.0.0 o una posterior del SDK de Google Cloud para mantener las garantías de regionalización de datos técnicos. Para verificar la versión actual del SDK de Google Cloud, ejecuta gcloud --version y, a continuación, gcloud components update para actualizar a la versión más reciente.
Controles del administrador	BigQuery inhabilitará las APIs no admitidas, pero los administradores con permisos suficientes para crear una carpeta de Assured Workloads pueden habilitar una API no admitida. Si esto ocurre, se te informará de las posibles infracciones a través del panel de control de monitorización de Assured Workloads.
Cargando datos	No se admiten los conectores de BigQuery Data Transfer Service para aplicaciones de software como servicio (SaaS) de Google, proveedores de almacenamiento en la nube externos y almacenes de datos. Es tu responsabilidad no usar los conectores de BigQuery Data Transfer Service para cargas de trabajo de CJIS.
Transferencias de terceros	BigQuery no verifica la compatibilidad con las transferencias de terceros de BigQuery Data Transfer Service. Es tu responsabilidad verificar la compatibilidad cuando utilices una transferencia de terceros con BigQuery Data Transfer Service.
Modelos de BQML no conformes	No se admiten los modelos de BQML entrenados externamente.
Tareas de consulta	Los trabajos de consulta solo se deben crear en carpetas de Assured Workloads.
Consultas en conjuntos de datos de otros proyectos	BigQuery no impide que se consulten conjuntos de datos de Assured Workloads desde proyectos que no sean de Assured Workloads. Debes asegurarte de que cualquier consulta que tenga una lectura o una combinación de datos de Assured Workloads se coloque en una carpeta de Assured Workloads. Puedes especificar un nombre de tabla completo para el resultado de la consulta con projectname.dataset.table en la CLI de BigQuery.
Cloud Logging	BigQuery utiliza Cloud Logging para algunos de tus datos de registro. Debes inhabilitar los segmentos de registros _default o restringir los segmentos _default a las regiones incluidas en el ámbito para mantener el cumplimiento mediante el siguiente comando: gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Consulta Regionalizar los registros para obtener más información.

Compute Engine

Funciones de Compute Engine afectadas

Función	Descripción
Suspender y reanudar una instancia de máquina virtual	Esta función está inhabilitada. Para suspender y reanudar una instancia de máquina virtual, se necesita almacenamiento en disco persistente. Actualmente, el almacenamiento en disco persistente que se usa para almacenar el estado de la VM suspendida no se puede cifrar con CMEK. Consulte la restricción de la política de organización gcp.restrictNonCmekServices en la sección anterior para comprender las implicaciones de habilitar esta función en cuanto a la soberanía y la residencia de los datos.
SSDs locales	Esta función está inhabilitada. No podrás crear una instancia con SSDs locales porque actualmente no se pueden cifrar con CMEK. Consulte la restricción de la política de organización gcp.restrictNonCmekServices en la sección anterior para conocer las implicaciones de habilitar esta función en cuanto a la soberanía y la residencia de los datos.
Entorno de invitado	Es posible que las secuencias de comandos, los daemons y los archivos binarios incluidos en el entorno invitado accedan a datos sin cifrar en reposo y en uso. En función de la configuración de tu máquina virtual, es posible que las actualizaciones de este software se instalen de forma predeterminada. Consulta el entorno de invitado para obtener información específica sobre el contenido, el código fuente y otros datos de cada paquete. Estos componentes te ayudan a cumplir los requisitos de soberanía de los datos mediante controles y procesos de seguridad internos. Sin embargo, si quieres tener más control, también puedes seleccionar tus propias imágenes o agentes y, opcionalmente, usar la restricción de la política de organización compute.trustedImageProjects. Consulta la página Crear una imagen personalizada para obtener más información.
Políticas de SO en VM Manager	Las secuencias de comandos insertadas y los archivos de salida binarios de los archivos de políticas del SO no se cifran con claves de cifrado gestionadas por el cliente (CMEK). Por lo tanto, no incluyas información sensible en estos archivos. También puedes almacenar estos archivos de secuencias de comandos y de salida en segmentos de Cloud Storage. Para obtener más información, consulta los ejemplos de políticas de SO. Si quieres restringir la creación o modificación de recursos de políticas de SO que usen secuencias de comandos insertadas o archivos de salida binarios, habilita la restricción de la política de organización constraints/osconfig.restrictInlineScriptAndOutputFileUsage. Para obtener más información, consulta Restricciones de configuración del SO.
instances.getSerialPortOutput()	Esta API está inhabilitada. No podrás obtener la salida del puerto serie de la instancia especificada mediante esta API. Cambia el valor de la restricción de la política de organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto serie interactivo siguiendo las instrucciones de Habilitar el acceso a un proyecto.
instances.getScreenshot()	Esta API está inhabilitada, por lo que no podrás obtener una captura de pantalla de la instancia especificada con ella. Cambia el valor de la restricción de la política de organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto serie interactivo siguiendo las instrucciones de Habilitar el acceso a un proyecto.

Restricciones de las políticas de organización de Compute Engine

Restricción de política de organización	Descripción
compute.disableGlobalCloudArmorPolicy	Su valor debe ser True. Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales, así como la adición o modificación de reglas en las políticas de seguridad de Google Cloud Armor globales. Esta restricción no limita la eliminación de reglas ni la capacidad de eliminar o cambiar la descripción y la lista de políticas de seguridad globales de Google Cloud Armor. Esta restricción no afecta a las políticas de seguridad regionales de Google Cloud Armor. Todas las políticas de seguridad globales y regionales que existan antes de que se aplique esta restricción seguirán vigentes.
compute.disableInstanceDataAccessApis	Su valor debe ser True. Inhabilita globalmente las APIs instances.getSerialPortOutput() y instances.getScreenshot(). Si habilitas esta restricción, no podrás generar credenciales en máquinas virtuales de Windows Server. Si necesitas gestionar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente: Habilita SSH para máquinas virtuales Windows. Ejecuta el siguiente comando para cambiar la contraseña de la VM: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Sustituye lo siguiente: VM_NAME: el nombre de la máquina virtual cuya contraseña vas a definir. USERNAME: el nombre de usuario del usuario cuya contraseña vas a definir. PASSWORD: la nueva contraseña.
compute.restrictNonConfidentialComputing	(Opcional) No se ha definido ningún valor. Defina este valor para proporcionar una defensa en profundidad adicional. Para obtener más información, consulta la documentación sobre máquinas virtuales confidenciales.
compute.trustedImageProjects	(Opcional) No se ha definido ningún valor. Defina este valor para proporcionar una defensa en profundidad adicional. Si se define este valor, el almacenamiento de imágenes y la creación de instancias de disco se limitarán a la lista de proyectos especificada. Este valor afecta a la soberanía de los datos, ya que impide el uso de imágenes o agentes no autorizados.

Dataform

Funciones de Dataform afectadas

Función	Descripción
Funciones	Es tu responsabilidad no usar el producto Vertex Colab Enterprise ni sus funciones, ya que no cumple los requisitos de CJIS.

Cloud Interconnect

Funciones de Cloud Interconnect afectadas

Función	Descripción
VPN de alta disponibilidad	Debes habilitar la función de VPN de alta disponibilidad cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir los requisitos de cifrado y regionalización que se indican en la sección Funciones de VPN de Cloud afectadas.

Cloud KMS

Restricciones de las políticas de organización de Cloud KMS

Restricción de política de organización	Descripción
cloudkms.allowedProtectionLevels	Se define para permitir la creación de CryptoKeys de Cloud Key Management Service con los siguientes niveles de protección: SOFTWARE HSM EXTERNAL EXTERNAL_VPC Consulta Niveles de protección para obtener más información.

Cloud Logging

Funciones de Cloud Logging afectadas

Función	Descripción
Sumideros de registros	Los filtros no deben contener datos de clientes. Los receptores de registro incluyen filtros que se almacenan como configuración. No cree filtros que contengan Datos de Clientes.
Seguimiento en tiempo real de entradas de registro	Los filtros no deben contener datos de clientes. Una sesión de seguimiento en directo incluye un filtro que se almacena como configuración. La función de seguimiento de registros no almacena ningún dato de entrada de registro, pero puede consultar y transmitir datos entre regiones. No cree filtros que contengan Datos de Clientes.

Cloud Monitoring

Funciones de Cloud Monitoring afectadas

Función	Descripción
Monitor sintético	Esta función está inhabilitada.
Comprobaciones de disponibilidad del servicio	Esta función está inhabilitada.
Widgets del panel de registro en Paneles de control	Esta función está inhabilitada. No puedes añadir un panel de registro a un panel de control.
Widgets del panel de informes de errores en Paneles de control	Esta función está inhabilitada. No puedes añadir un panel de informes de errores a un panel de control.
Filtrar en EventAnnotation por Paneles	Esta función está inhabilitada. Filtro de EventAnnotation no se puede definir en un panel de control.
SqlCondition en alertPolicies	Esta función está inhabilitada. No puedes añadir un SqlCondition a un alertPolicy.

Cloud Run

Funciones de Cloud Run afectadas

Función	Descripción
Funciones no compatibles	Las siguientes funciones de Cloud Run no se admiten: Integración de Cloud Trace Cloud Run Functions Activadores de Eventarc

Cloud VPN

Funciones de Cloud VPN afectadas

Función	Descripción
Puntos finales de VPN	Solo debes usar los endpoints de Cloud VPN que se encuentren en una región incluida en el ámbito. Asegúrate de que tu pasarela VPN esté configurada para usarse solo en una región incluida en el ámbito.

Google Cloud Armor

Funciones de Google Cloud Armor afectadas

Función	Descripción
Políticas de seguridad de ámbito global	Esta función está inhabilitada por la restricción de la política de la organización compute.disableGlobalCloudArmorPolicy.

Spanner

Restricciones de las políticas de organización de Spanner

Restricción de política de organización	Descripción
spanner.disableMultiRegionInstanceIfNoLocationSelected	Su valor debe ser True. Inhabilita la posibilidad de crear instancias de Spanner multirregionales para aplicar la residencia y la soberanía de los datos.

Speech‑to‑Text

Funciones de Speech-to-Text afectadas

Función	Descripción
Modelos de transcripción de voz personalizados	Es tu responsabilidad no usar modelos de Speech-to-Text personalizados, ya que no cumplen los requisitos de CJIS.

Vertex AI Search

Funciones de Vertex AI Search afectadas

Función	Descripción
Ajuste de la búsqueda	Es su responsabilidad no usar la función de ajuste de búsqueda de Vertex AI Search, ya que no cumple los requisitos de CJIS.
Recomendaciones genéricas	Es tu responsabilidad no usar la función de recomendaciones genéricas de Vertex AI Search, ya que no cumple los requisitos de CJIS.
Recomendaciones de contenido multimedia	Es tu responsabilidad no usar la función de recomendaciones de contenido multimedia de Vertex AI Search, ya que no cumple los requisitos de CJIS.

Siguientes pasos

• Consulta cómo crear una carpeta de Assured Workloads.
• Consulta los precios de Assured Workloads