Límite de datos para los Sistemas de Información de la Justicia Criminal (CJIS)

En esta página, se describe el conjunto de controles que se aplican a las cargas de trabajo del CJIS en Assured Workloads. Proporciona información detallada sobre la residencia de los datos, los productos compatibles Google Cloud y sus extremos de API, y las restricciones o limitaciones aplicables a esos productos. Se aplica la siguiente información adicional al CJIS:

• Residencia de datos: El paquete de controles de los CJIS establece controles de ubicación de datos para admitir regiones solo de EE.UU.. Consulta la sección Restricciones de las políticas de la organización enGoogle Cloud para obtener más información.
• Asistencia: Los servicios de asistencia técnica para las cargas de trabajo de CJIS están disponibles con las suscripciones a Atención al cliente de Cloud mejorada o premium. Los casos de asistencia de las cargas de trabajo de CJIS se dirigen a personas físicas o jurídicas de EE.UU. que se encuentran en ese país y que completaron la verificación de antecedentes de CJIS. Para obtener más información, consulta Cómo obtener asistencia.
• Precios: El paquete de controles de CJIS se incluye en el nivel Premium de Assured Workloads, que incurre en un cargo adicional del 20%. Consulta los precios de Assured Workloads para obtener más información.

Requisitos previos

Para seguir cumpliendo con los requisitos como usuario del paquete de controles del CJIS, verifica que satisfagas y cumplas con los siguientes requisitos previos:

• Crea una carpeta de CJIS con Assured Workloads y, luego, implementa tus cargas de trabajo de CJIS solo en esa carpeta.
• Solo habilita y usa los servicios de CJIS dentro del alcance para las cargas de trabajo de CJIS.
• No cambies los valores predeterminados de la restricción de la política de la organización, a menos que comprendas y aceptes los riesgos de residencia de datos que puedan ocurrir.
• Considera adoptar las prácticas recomendadas de seguridad generales que se proporcionan en el Google Cloud Centro de prácticas recomendadas para la seguridad.
• Cuando accedes a la consola de Google Cloud , tienes la opción de usar laconsola de Google Cloud jurisdiccional. No es necesario que uses la consola jurisdiccional Google Cloud para el CJIS. Se puede acceder a ella en una de las siguientes URLs:
  • console.us.cloud.google.com
  • console.us.cloud.google para usuarios de identidades federadas

Productos y extremos de API compatibles

A menos que se indique lo contrario, los usuarios pueden acceder a todos los productos compatibles a través de la consola de Google Cloud . En la siguiente tabla, se indican las restricciones o limitaciones que afectan las funciones de un producto compatible, incluidas las que se aplican a través de la configuración de restricciones de políticas de la organización.

Si un producto no aparece en la lista, significa que no es compatible y que no cumple con los requisitos de control de CJIS. No se recomienda usar los productos no admitidos sin la diligencia debida y una comprensión exhaustiva de tus responsabilidades en el modelo de responsabilidad compartida. Antes de usar un producto no compatible, asegúrate de conocer y aceptar los riesgos asociados, como los impactos negativos en la residencia o la soberanía de los datos.

Restricciones y limitaciones

En las siguientes secciones, se describen las restricciones o limitaciones de las funciones en todo Google Cloudo específicas del producto, incluidas las restricciones de políticas de la organización que se establecen de forma predeterminada en las carpetas de CJIS. Otras restricciones de políticas de la organización aplicables, incluso si no se establecen de forma predeterminada, pueden proporcionar una defensa en profundidad adicional para proteger aún más los recursos de tu organización Google Cloud .

Google Cloudde ancho

Funciones afectadas en toda la Google Cloud

Función

Descripción

Google Cloud console

Para acceder a la consola de Google Cloud cuando usas el paquete de controles del CJIS, tienes la opción de usar la consola de Google Cloud jurisdiccional. No se requiere la consola de Google Cloud jurisdicción para CJIS, y se puede acceder a ella con una de las siguientes URLs: console.us.cloud.google.com console.us.cloud.google para usuarios de identidades federadas Para obtener más información, consulta la página de la consola de Google Cloud jurisdiccional.

Restricciones de las políticas de la organización en toda laGoogle Cloud

Las siguientes restricciones de política de la organización se aplican en Google Cloud.

Restricción de las políticas de la organización	Descripción
gcp.resourceLocations	Establece las siguientes ubicaciones en la lista allowedValues: us-locations us-central1 us-central2 us-east1 us-east4 us-east5 us-south1 us-west1 us-west2 us-west3 us-west4 Este valor restringe la creación de recursos nuevos a los valores seleccionados. Cuando se establece, no se pueden crear recursos en ninguna otra región, multirregión ni ubicaciones fuera de la selección. Consulta Servicios compatibles con las ubicaciones de recursos para obtener una lista de los recursos que se pueden restringir con la restricción de la política de la organización Ubicaciones de recursos, ya que algunos recursos pueden estar fuera del alcance y no se pueden restringir. Si cambias este valor y lo haces menos restrictivo, podrías socavar la residencia de datos, ya que permitirá que se creen o almacenen datos fuera de un límite de datos que cumpla con los requisitos.
gcp.restrictCmekCryptoKeyProjects	Se establece en under:organizations/your-organization-name, que es tu organización de Assured Workloads. Puedes restringir aún más este valor si especificas un proyecto o una carpeta. Limita el alcance de las carpetas o los proyectos aprobados que pueden proporcionar claves de Cloud KMS para encriptar datos en reposo con CMEK. Esta restricción evita que las carpetas o los proyectos no aprobados proporcionen claves de encriptación, lo que ayuda a garantizar la soberanía de los datos para los datos en reposo de los servicios dentro del alcance.
gcp.restrictNonCmekServices	Se configura como una lista de todos los nombres de servicios de API dentro del alcance, incluidos los siguientes: bigquery.googleapis.com compute.googleapis.com container.googleapis.com logging.googleapis.com sqladmin.googleapis.com storage.googleapis.com Algunas funciones pueden verse afectadas por cada uno de los servicios mencionados anteriormente. Cada servicio enumerado requiere claves de encriptación administradas por el cliente (CMEK). La CMEK permite que los datos en reposo se encripten con una clave administrada por ti, no los mecanismos de encriptación predeterminados de Google. Si cambias este valor mediante la eliminación de uno o más servicios dentro del alcance de la lista, es posible que socaves la soberanía de los datos, ya que los datos nuevos en reposo se encriptarán automáticamente con las claves de Google en lugar de las tuyas. Los datos en reposo existentes permanecerán encriptados con la clave que proporcionaste.
gcp.restrictServiceUsage	Se configura para permitir todos los productos y extremos de API compatibles. Determina qué servicios se pueden usar restringiendo el acceso en el tiempo de ejecución a sus recursos. Para obtener más información, consulta Restringe el uso de recursos.
gcp.restrictTLSVersion	Se establece para rechazar las siguientes versiones de TLS: TLS_1_0 TLS_1_1 Consulta la página Restricción de versiones de TLS para obtener más información.

BigQuery

Funciones de BigQuery afectadas

Función	Descripción
Cómo habilitar BigQuery en una carpeta nueva	BigQuery es compatible, pero no se habilita automáticamente cuando creas una carpeta nueva de Assured Workloads debido a un proceso de configuración interno. Este proceso suele finalizar en diez minutos, pero puede tardar mucho más en algunas circunstancias. Para verificar si el proceso finalizó y habilitar BigQuery, completa los siguientes pasos: En la consola de Google Cloud , ve a la página Assured Workloads. Ir a Assured Workloads Selecciona tu nueva carpeta de Assured Workloads en la lista. En la página Folder Details, en la sección Allowed services, haz clic en Review Available Updates. En el panel Servicios permitidos, revisa los servicios que se agregarán a la política de la organización Restricción del uso de recursos de la carpeta. Si se muestran los servicios de BigQuery, haz clic en Allow Services para agregarlos. Si no se muestran los servicios de BigQuery, espera a que se complete el proceso interno. Si los servicios no aparecen en un plazo de 12 horas después de la creación de la carpeta, comunícate con Atención al cliente de Cloud. Una vez que se complete el proceso de habilitación, podrás usar BigQuery en tu carpeta de Assured Workloads. Assured Workloads no admite Gemini en BigQuery.
Características no compatibles	Las siguientes funciones de BigQuery no son compatibles y no se deben usar en la CLI de BigQuery. Es tu responsabilidad no usarlos en BigQuery para Assured Workloads. Interacción con fuentes de datos remotas Los modelos de BQML entrenados de forma externa no son compatibles. Se admiten los modelos de BQML entrenados de forma interna. Enmascaramiento dinámico de datos Exportación a Google Drive Funciones remotas Consultas guardadas Programación del flujo de trabajo En BigQuery Studio, los notebooks no son compatibles. Gemini en BigQuery no es compatible.
CLI de BigQuery	Se admite la CLI de BigQuery.
SDK de Google Cloud	Debes usar la versión 403.0.0 o posterior del SDK de Google Cloud para mantener las garantías de regionalización de datos técnicos. Para verificar tu versión actual del SDK de Google Cloud, ejecuta gcloud --version y, luego, gcloud components update para actualizar a la versión más reciente.
Controles del administrador	BigQuery inhabilitará las APIs no compatibles, pero los administradores con permisos suficientes para crear una carpeta de Assured Workloads pueden habilitar una API no compatible. Si esto ocurre, recibirás una notificación sobre el posible incumplimiento a través del panel de supervisión de Assured Workloads.
Carga datos	No se admiten los conectores del Servicio de transferencia de datos de BigQuery para las aplicaciones de software como servicio (SaaS) de Google, los proveedores externos de almacenamiento en la nube ni los almacenes de datos. Es tu responsabilidad no usar los conectores del Servicio de transferencia de datos de BigQuery para las cargas de trabajo del CJIS.
Transferencias de terceros	BigQuery no verifica la compatibilidad con las transferencias de terceros para el Servicio de transferencia de datos de BigQuery. Es tu responsabilidad verificar la compatibilidad cuando uses cualquier transferencia de terceros para el Servicio de transferencia de datos de BigQuery.
Modelos de BQML que no cumplen con los requisitos	Los modelos de BQML entrenados de forma externa no son compatibles.
Trabajos de consulta	Los trabajos de consulta solo se deben crear dentro de las carpetas de Assured Workloads.
Consultas sobre conjuntos de datos en otros proyectos	BigQuery no impide que se consulten los conjuntos de datos de Assured Workloads desde proyectos que no son de Assured Workloads. Debes asegurarte de que cualquier consulta que tenga una lectura o una unión en los datos de Assured Workloads se coloque en una carpeta de Assured Workloads. Puedes especificar un nombre de tabla completo para el resultado de la consulta con projectname.dataset.table en la CLI de BigQuery.
Cloud Logging	BigQuery utiliza Cloud Logging para algunos de tus datos de registro. Debes inhabilitar tus buckets de registros de _default o restringir los buckets de _default a las regiones dentro del alcance para mantener el cumplimiento con el siguiente comando: gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Consulta Regionaliza tus registros para obtener más información.

Compute Engine

Funciones de Compute Engine afectadas

Función	Descripción
Suspende y reanuda una instancia de VM	Se inhabilitó esta función. La suspensión y reanudación de una instancia de VM requiere almacenamiento en disco persistente, y el almacenamiento en disco persistente usado para almacenar el estado de la VM suspendida no se puede encriptar actualmente con CMEK. Consulta la restricción de la política de la organización gcp.restrictNonCmekServices en la sección anterior para comprender la soberanía de los datos y las implicaciones de residencia de datos de habilitar esta función.
SSD locales	Se inhabilitó esta función. No podrás crear una instancia con SSD locales porque, por el momento, no se pueden encriptar con la CMEK. Consulta la restricción de la política de la organización gcp.restrictNonCmekServices en la sección anterior para comprender la soberanía de los datos y las implicaciones de residencia de datos de habilitar esta función.
Entorno huésped	Es posible que las secuencias de comandos, los daemons y los objetos binarios incluidos en el entorno invitado accedan a datos en reposo y en uso no encriptados. Según la configuración de tu VM, es posible que se instalen actualizaciones de este software de forma predeterminada. Consulta Entorno invitado para obtener información específica sobre el contenido de cada paquete, el código fuente y mucho más. Estos componentes te ayudan a cumplir con la soberanía de los datos a través de procesos y controles de seguridad internos. Sin embargo, si deseas un control adicional, también puedes seleccionar tus propias imágenes o agentes y, de forma opcional, usar la restricción de la política de la organización compute.trustedImageProjects. Consulta la página Compila una imagen personalizada para obtener más información.
Políticas del SO en VM Manager	Las secuencias de comandos intercaladas y los archivos de salida binarios dentro de los archivos de políticas del SO no se encriptan con claves de encriptación administradas por el cliente (CMEK). Por lo tanto, no incluyas información sensible en estos archivos. Como alternativa, considera almacenar estos archivos de salida y secuencias de comandos en buckets de Cloud Storage. Para obtener más información, consulta Ejemplos de políticas del SO. Si deseas restringir la creación o modificación de recursos de políticas del SO que usan secuencias de comandos intercaladas o archivos de salida binarios, habilita la restricción de la política de la organización constraints/osconfig.restrictInlineScriptAndOutputFileUsage. Para obtener más información, consulta Restricciones de OS Config.
instances.getSerialPortOutput()	Esta API está inhabilitada no podrás obtener la salida del puerto en serie de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en Habilita el acceso para un proyecto.
instances.getScreenshot()	Esta API está inhabilitada no podrás obtener una captura de pantalla de la instancia especificada con esta API. Cambia el valor de la restricción de política de la organización compute.disableInstanceDataAccessApis a False para habilitar esta API. También puedes habilitar y usar el puerto en serie interactivo siguiendo las instrucciones que se indican en Habilita el acceso para un proyecto.

Restricciones de las políticas de la organización de Compute Engine

Restricción de las políticas de la organización	Descripción
compute.disableGlobalCloudArmorPolicy	Configurado como True. Inhabilita la creación de nuevas políticas de seguridad de Google Cloud Armor globales y la adición o modificación de reglas a las políticas de seguridad de Google Cloud Armor globales existentes. Esta restricción no limita la eliminación de reglas ni la capacidad de quitar o cambiar la descripción y la publicación de políticas de seguridad globales de Google Cloud Armor. Las políticas de seguridad regionales de Google Cloud Armor no se ven afectadas por esta restricción. Todas las políticas de seguridad globales y regionales que existían antes de la aplicación de esta restricción siguen vigentes.
compute.disableInstanceDataAccessApis	Configurado como True. Inhabilita de manera global las APIs instances.getSerialPortOutput() y instances.getScreenshot(). Habilitar esta restricción impide que generes credenciales en las VMs de Windows Server. Si necesitas administrar un nombre de usuario y una contraseña en una VM de Windows, haz lo siguiente: Habilita SSH para VM de Windows. Ejecuta el siguiente comando para cambiar la contraseña de la VM: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Reemplaza lo siguiente: VM_NAME: Es el nombre de la VM para la que configuras la contraseña. USERNAME: Es el nombre de usuario para el que establecerás la contraseña. PASSWORD: Es la contraseña nueva.
compute.restrictNonConfidentialComputing	(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Consulta la documentación de Confidential VM para obtener más información.
compute.trustedImageProjects	(Opcional) No se configuró el valor. Establece este valor para proporcionar una defensa en profundidad adicional. Si configuras este valor, se restringe el almacenamiento de imágenes y la creación de instancias de disco a la lista especificada de proyectos. Este valor afecta la soberanía de los datos, ya que se impide el uso de agentes o imágenes no autorizados.

Dataform

Funciones de Dataform afectadas

Función	Descripción
Funciones	Es tu responsabilidad no usar el producto o las funciones de Vertex Colab Enterprise, ya que no cumple con los requisitos de CJIS.

Cloud Interconnect

Funciones de Cloud Interconnect afectadas

Función	Descripción
VPN con alta disponibilidad (HA)	Debes habilitar la funcionalidad de VPN con alta disponibilidad (HA) cuando uses Cloud Interconnect con Cloud VPN. Además, debes cumplir con los requisitos de encriptación y regionalización que se indican en la sección Funciones afectadas de Cloud VPN.

Cloud KMS

Restricciones de las políticas de la organización de Cloud KMS

Restricción de las políticas de la organización	Descripción
cloudkms.allowedProtectionLevels	Se configura para permitir la creación de CryptoKeys de Cloud Key Management Service con los siguientes niveles de protección: SOFTWARE HSM EXTERNAL EXTERNAL_VPC Consulta Niveles de protección para obtener más información.

Cloud Logging

Funciones de Cloud Logging afectadas

Función	Descripción
Receptores de registros	Los filtros no deben contener datos del cliente. Los receptores de registros incluyen filtros que se almacenan como configuración. No crees filtros que contengan datos del cliente.
Entradas de registro de transmisión de registros en tiempo real	Los filtros no deben contener datos del cliente. Una sesión de transmisión de registros en tiempo real incluye un filtro que se almacena como configuración. Los registros de cola no almacenan ningún dato de entrada de registro, pero pueden consultar y transmitir datos entre regiones. No crees filtros que contengan datos del cliente.

Cloud Monitoring

Funciones de Cloud Monitoring afectadas

Función	Descripción
Monitor sintético	Se inhabilitó esta función.
Verificaciones de tiempo de actividad	Se inhabilitó esta función.
Widgets del panel de registros en Paneles de control	Se inhabilitó esta función. No puedes agregar un panel de registros a un panel.
Widgets del panel de Error Reporting en Paneles	Se inhabilitó esta función. No puedes agregar un panel de informes de errores a un panel.
Filtro en EventAnnotation para Paneles de control	Se inhabilitó esta función. El filtro de EventAnnotation no se puede establecer en un panel.
SqlCondition en alertPolicies	Se inhabilitó esta función. No puedes agregar un SqlCondition a un alertPolicy.

Cloud Run

Funciones de Cloud Run afectadas

Función	Descripción
Características no compatibles	Las siguientes funciones de Cloud Run no son compatibles: Integración de Cloud Trace Cloud Run Functions Activadores de Eventarc

Cloud VPN

Funciones de Cloud VPN afectadas

Función	Descripción
Extremos de VPN	Solo debes usar extremos de Cloud VPN que se encuentren en una región dentro del alcance. Asegúrate de que tu puerta de enlace de VPN esté configurada para usarse solo en una región dentro del alcance.

Google Cloud Armor

Funciones de Google Cloud Armor afectadas

Función	Descripción
Políticas de seguridad con alcance global	Esta función está inhabilitada por la restricción de la política de la organización compute.disableGlobalCloudArmorPolicy.

Spanner

Restricciones de las políticas de la organización de Spanner

Restricción de las políticas de la organización	Descripción
spanner.disableMultiRegionInstanceIfNoLocationSelected	Configurado como True. Inhabilita la capacidad de crear instancias de Spanner multirregionales para aplicar la residencia y la soberanía de los datos.

Speech‑to‑Text

Funciones de Speech-to-Text afectadas

Función	Descripción
Modelos personalizados de Speech-to-Text	Es tu responsabilidad no usar modelos personalizados de Speech-to-Text, ya que no cumplen con los requisitos del CJIS.

Vertex AI Search

Funciones afectadas de Vertex AI Search

Función	Descripción
Ajuste de la búsqueda	Es tu responsabilidad no usar la función de ajuste de búsqueda de Vertex AI Search, ya que no cumple con los requisitos de CJIS.
Recomendaciones genéricas	Es tu responsabilidad no usar la función de recomendaciones genéricas de Vertex AI Search, ya que no cumple con los requisitos de CJIS.
Recomendaciones de contenido multimedia	Es tu responsabilidad no usar la función de recomendaciones de contenido multimedia de Vertex AI Search, ya que no cumple con los requisitos de CJIS.

¿Qué sigue?

• Aprende a crear una carpeta de Assured Workloads.
• Comprende los precios de Assured Workloads