Pacote de controle dos Sistemas de Informações da Justiça Criminal (CJIS, na sigla em inglês)

Esta página descreve o conjunto de controles aplicados às cargas de trabalho do CJIs no Assured Workloads. Ele fornece informações detalhadas sobre residência de dados, produtos Google Cloud compatíveis e os endpoints de API deles, e todas as restrições ou limitações aplicáveis a esses produtos. As informações adicionais a seguir se aplicam à CJIS:

• Residência de dados: o pacote de controle do CJIS define controles de localização de dados para oferecer suporte a apenas regiões dos EUA. Consulte a seção Restrições da política da organização em todo oGoogle Cloud para mais informações.
• Suporte: os serviços de suporte técnico para cargas de trabalho do CJIS estão disponíveis com as assinaturas do Cloud Customer Care Avançado ou Premium. Os casos de suporte de cargas de trabalho da CJIS são encaminhados a residentes dos EUA localizados nos EUA que passaram por verificações de histórico da CJIS. Para mais informações, consulte Como receber ajuda.
• Preços: o pacote de controle CJIS está incluído no nível Premium do Assured Workloads, que gera uma cobrança adicional de 20%. Consulte Preços do Assured Workloads para mais informações.

Pré-requisitos

Para continuar em conformidade como usuário do pacote de controle da CJIS, satisfaça e siga os seguintes pré-requisitos:

• Crie uma pasta CJIS usando o Assured Workloads e implante as cargas de trabalho CJIS somente nessa pasta.
• Ative e use apenas os serviços CJIS no escopo para cargas de trabalho do CJIS.
• Não mude os valores de restrição padrão da política da organização, a menos que você entenda e aceite os riscos de residência de dados que podem ocorrer.
• Considere adotar as práticas recomendadas de segurança gerais fornecidas na Google Cloud central de práticas recomendadas de segurança.
• Ao acessar o console do Google Cloud, você tem a opção de usar o console jurisdicional do Google Cloud. Não é necessário usar o console jurisdicional do Google Cloud para CJIs. Ele pode ser acessado em um dos seguintes URLs:
  • console.us.cloud.google.com
  • console.us.cloud.google para usuários de identidade federada

Produtos e endpoints de API com suporte

Salvo indicação contrária, os usuários podem acessar todos os produtos com suporte pelo console do Google Cloud. As restrições ou limitações que afetam os recursos de um produto com suporte, incluindo aquelas que são aplicadas com configurações de restrição da política da organização, estão listadas na tabela a seguir.

Se um produto não estiver listado, ele não terá suporte e não atenderá aos requisitos de controle do CJIS. Não é recomendável usar produtos sem suporte sem a devida diligência e um entendimento completo das suas responsabilidades no modelo de responsabilidade compartilhada. Antes de usar um produto sem suporte, verifique se você está ciente e aceita os riscos associados, como impactos negativos na residência de dados ou soberania de dados.

Restrições e limitações

As seções a seguir descrevem restrições ou limitações de recursos específicos do produto ou de todo o Google Cloud, incluindo as restrições de política da organização definidas por padrão nas pastas CJI. Outras restrições da política da organização aplicáveis, mesmo que não definidas por padrão, podem fornecer defesa em profundidade adicional para proteger ainda mais os recursos Google Cloud da sua organização.

Google Cloudde largura

Recursos do Google Cloudafetados

Recurso

Descrição

Console do Google Cloud

Para acessar o console do Google Cloud ao usar o pacote de controle do CJIS, você tem a opção de usar o console do Google Cloud jurisdicional. O console do Google Cloud para jurisdições não é obrigatório para a CJIS e pode ser acessado usando um dos seguintes URLs: console.us.cloud.google.com console.us.cloud.google para usuários de identidade federada Para mais informações, consulte a página Console do Google Cloud jurisdicional.

Restrições da política da organização em todo oGoogle Cloud

As seguintes restrições da política da organização se aplicam a Google Cloud.

Restrição da política da organização	Descrição
gcp.resourceLocations	Defina os seguintes locais na lista allowedValues: us-locations us-central1 us-central2 us-east1 us-east4 us-east5 us-south1 us-west1 us-west2 us-west3 us-west4 Esse valor restringe a criação de novos recursos aos valores selecionados. Quando definido, nenhum recurso pode ser criado em nenhuma outra região, multirregião ou local fora da seleção. Consulte Serviços compatíveis com locais de recursos para conferir uma lista de recursos que podem ser restritos pela restrição da política da organização "Locais de recursos", já que alguns recursos podem estar fora do escopo e não podem ser restritos. Alterar esse valor, tornando-o menos restritivo, pode prejudicar a residência de dados, permitindo que eles sejam criados ou armazenados fora de um limite de dados compatível.
gcp.restrictCmekCryptoKeyProjects	Defina como under:organizations/your-organization-name, que é sua organização do Assured Workloads. É possível restringir ainda mais esse valor especificando um projeto ou uma pasta. Limita o escopo de pastas ou projetos aprovados que podem fornecer chaves do Cloud KMS para criptografia de dados em repouso usando CMEK. Essa restrição impede que pastas ou projetos não aprovados forneçam chaves de criptografia, o que ajuda a garantir a soberania de dados em repouso dos serviços em escopo.
gcp.restrictNonCmekServices	Defina como uma lista de todos os nomes de serviço de API no escopo, incluindo: bigquery.googleapis.com compute.googleapis.com container.googleapis.com logging.googleapis.com sqladmin.googleapis.com storage.googleapis.com Alguns recursos podem ser afetados para cada um dos serviços listados acima. Cada serviço listado requer chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK permite que os dados em repouso sejam criptografados com uma chave gerenciada por você, não pelos mecanismos de criptografia padrão do Google. Alterar esse valor removendo um ou mais serviços em escopo da lista pode prejudicar a soberania de dados, porque novos dados em repouso são criptografados automaticamente usando as chaves do Google em vez das suas. Os dados em repouso atuais vão permanecer criptografados pela chave que você forneceu.
gcp.restrictServiceUsage	Defina para permitir todos os produtos e endpoints de API com suporte. Determina quais serviços podem ser usados restringindo o acesso de execução aos recursos. Para mais informações, consulte Como restringir o uso de recursos.
gcp.restrictTLSVersion	Configurado para negar as seguintes versões do TLS: TLS_1_0 TLS_1_1 Consulte a página Restringir versões do TLS para mais informações.

BigQuery

Recursos do BigQuery afetados

Recurso	Descrição
Como ativar o BigQuery em uma nova pasta	O BigQuery tem suporte, mas não é ativado automaticamente quando você cria uma nova pasta de cargas de trabalho garantidas devido a um processo de configuração interno. Esse processo normalmente termina em 10 minutos, mas pode levar muito mais tempo em algumas circunstâncias. Para verificar se o processo foi concluído e ativar o BigQuery, siga estas etapas: No console do Google Cloud, acesse a página Assured Workloads. Acesse o Assured Workloads Selecione a nova pasta do Assured Workloads na lista. Na página Detalhes da pasta, na seção Serviços permitidos, clique em Revisar atualizações disponíveis. No painel Serviços permitidos, revise os serviços que serão adicionados à política da organização de restrição de uso de recursos para a pasta. Se os serviços do BigQuery estiverem listados, clique em Permitir serviços para adicioná-los. Se os serviços do BigQuery não estiverem listados, aguarde a conclusão do processo interno. Se os serviços não forem listados em até 12 horas após a criação da pasta, entre em contato com o Cloud Customer Care. Depois que o processo de ativação for concluído, você poderá usar o BigQuery na pasta Assured Workloads. O Gemini no BigQuery não é compatível com as cargas de trabalho garantidas.
Recursos não suportados	Os recursos do BigQuery a seguir não são compatíveis e não devem ser usados na CLI do BigQuery. É sua responsabilidade não usá-los no BigQuery para Assured Workloads. Interação com fontes de dados remotas Não é possível usar modelos do BQML treinados externamente. Os modelos do BQML treinados internamente são aceitos. Mascaramento de dados dinâmico Exportação do GDrive Funções remotas Consultas salvas Programação do fluxo de trabalho O BigQuery Studio não oferece suporte a notebooks. O Gemini no BigQuery não é compatível.
CLI do BigQuery	A CLI do BigQuery é compatível.
SDK do Google Cloud	Use o SDK Google Cloud versão 403.0.0 ou mais recente para manter as garantias de regionalização de dados para dados técnicos. Para verificar a versão atual do SDK do Google Cloud, execute gcloud --version e, em seguida, gcloud components update para atualizar para a versão mais recente.
Controles do administrador	O BigQuery desativa APIs sem suporte, mas os administradores com permissões suficientes para criar uma pasta de cargas de trabalho garantidas podem ativar uma API sem suporte. Se isso acontecer, você vai receber uma notificação de possível não conformidade no Painel de monitoramento do Assured Workloads.
Carregando dados	Não há suporte para conectores do serviço de transferência de dados do BigQuery para apps de Software as a Service (SaaS) do Google, provedores de armazenamento em nuvem externos e repositórios de dados. É sua responsabilidade não usar os conectores do serviço de transferência de dados do BigQuery para cargas de trabalho do CJIS.
Transferências de terceiros	O BigQuery não verifica o suporte a transferências de terceiros para o serviço de transferência de dados do BigQuery. É sua responsabilidade verificar o suporte ao usar qualquer transferência de terceiros para o serviço de transferência de dados do BigQuery.
Modelos do BQML sem compliance	Modelos do BQML treinados externamente não são aceitos.
Jobs de consulta	Os jobs de consulta só podem ser criados em pastas do Assured Workloads.
Consultas em conjuntos de dados em outros projetos	O BigQuery não impede que os conjuntos de dados do Assured Workloads sejam consultados em projetos que não são do Assured Workloads. Verifique se todas as consultas que têm uma leitura ou uma mesclagem nos dados do Assured Workloads são colocadas em uma pasta do Assured Workloads. É possível especificar um nome de tabela totalmente qualificado para o resultado da consulta usando projectname.dataset.table na CLI do BigQuery.
Cloud Logging	O BigQuery usa o Cloud Logging para alguns dos seus dados de registro. Desative seus buckets de registro _default ou restrinja os buckets _default a regiões no escopo para manter a conformidade usando o seguinte comando: gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink Consulte Regionalizar seus registros para mais informações.

Compute Engine

Recursos do Compute Engine afetados

Recurso	Descrição
Como suspender e retomar uma instância de VM	Este recurso está desativado. A suspensão e a retomada de uma instância de VM exigem armazenamento em disco permanente. O armazenamento em disco permanente usado para armazenar o estado da VM suspensa não pode ser criptografado usando CMEK. Consulte a restrição da política da organização gcp.restrictNonCmekServices na seção acima para entender as implicações da soberania e da residência de dados ao ativar esse recurso.
SSDs locais	Este recurso está desativado. Não será possível criar uma instância com SSDs locais porque, no momento, eles não podem ser criptografados usando CMEK. Consulte a restrição da política da organização gcp.restrictNonCmekServices na seção acima para entender as implicações da soberania e da residência de dados ao ativar esse recurso.
Ambiente para convidado	Os scripts, daemons e binários incluídos no ambiente convidado podem acessar dados não criptografados em repouso e em uso. Dependendo da configuração da VM, as atualizações desse software podem ser instaladas por padrão. Consulte Ambiente convidado para informações específicas sobre o conteúdo de cada pacote, o código-fonte e muito mais. Esses componentes ajudam a atender à soberania de dados com processos e controles de segurança internos. No entanto, se você quiser mais controle, também é possível selecionar imagens ou agentes próprios e usar a restrição de política da organização compute.trustedImageProjects. Consulte a página Como criar uma imagem personalizada para mais informações.
instances.getSerialPortOutput()	Essa API está desativada. Não será possível receber a saída da porta serial da instância especificada usando essa API. Mude o valor da restrição da política da organização compute.disableInstanceDataAccessApis para False para ativar essa API. Também é possível ativar e usar a porta serial interativa seguindo as instruções em Como ativar o acesso a um projeto.
instances.getScreenshot()	Essa API está desativada. Não será possível fazer uma captura de tela da instância especificada usando essa API. Mude o valor da restrição da política da organização compute.disableInstanceDataAccessApis para False para ativar essa API. Também é possível ativar e usar a porta serial interativa seguindo as instruções em Como ativar o acesso a um projeto.

Restrições da política da organização do Compute Engine

Restrição da política da organização	Descrição
compute.disableGlobalCloudArmorPolicy	Definido como Verdadeiro. Desativa a criação de novas políticas de segurança globais do Google Cloud Armor e a adição ou modificação de regras em políticas de segurança globais do Google Cloud Armor. Essa restrição não afeta a remoção de regras nem a capacidade de remover ou alterar a descrição e a listagem de políticas de segurança globais do Google Cloud Armor. As políticas de segurança regionais do Google Cloud Armor não são afetadas por essa restrição. Todas as políticas de segurança globais e regionais que existiam antes da aplicação dessa restrição continuam em vigor.
compute.disableInstanceDataAccessApis	Definido como Verdadeiro. Desativa globalmente as APIs instances.getSerialPortOutput() e instances.getScreenshot(). Ativar essa restrição impede que você gere credenciais em VMs do Windows Server. Se você precisar gerenciar um nome de usuário e uma senha em uma VM do Windows, faça o seguinte: Ative o SSH para VMs do Windows. Execute o comando a seguir para mudar a senha da VM: gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" Substitua: VM_NAME: o nome da VM para a qual você está definindo a senha. USERNAME: o nome de usuário do usuário para quem você está definindo a senha. PASSWORD: a nova senha.
compute.restrictNonConfidentialComputing	(Opcional) O valor não foi definido. Defina esse valor para fornecer uma defesa detalhada adicional. Consulte a documentação sobre VMs confidenciais para mais informações.
compute.trustedImageProjects	(Opcional) O valor não foi definido. Defina esse valor para fornecer uma defesa detalhada adicional. A definição desse valor restringe o armazenamento de imagens e a instanciação de disco à lista especificada de projetos. Esse valor afeta a soberania de dados, impedindo o uso de imagens ou agentes não autorizados.

Cloud Interconnect

Recursos do Cloud Interconnect afetados

Recurso	Descrição
VPN de alta disponibilidade (HA)	É necessário ativar a funcionalidade de VPN de alta disponibilidade (HA) ao usar o Cloud Interconnect com a Cloud VPN. Além disso, é necessário obedecer aos requisitos de criptografia e regionalização listados na seção Recursos do Cloud VPN afetados.

Cloud KMS

Restrições da política da organização do Cloud KMS

Restrição da política da organização	Descrição
cloudkms.allowedProtectionLevels	Define para permitir a criação de chaves criptográficas do Cloud Key Management Service com os seguintes níveis de proteção: SOFTWARE HSM EXTERNAL EXTERNAL_VPC Consulte Níveis de proteção para mais informações.

Cloud Logging

Recursos do Cloud Logging afetados

Recurso	Descrição
Coletores de registros	Os filtros não podem conter dados de clientes. Os coletores de registros incluem filtros armazenados como configuração. Não crie filtros que contenham dados de clientes.
Entradas de registro de acompanhamento ao vivo	Os filtros não podem conter dados de clientes. Uma sessão de acompanhamento ao vivo inclui um filtro armazenado como configuração. Os registros de cauda não armazenam dados de entrada, mas podem consultar e transmitir dados entre regiões. Não crie filtros que contenham dados de clientes.

Cloud Monitoring

Recursos do Cloud Monitoring afetados

Recurso	Descrição
Monitor sintético	Este recurso está desativado.
Verificações de tempo de atividade	Este recurso está desativado.
Widgets do painel de registro em Painéis	Este recurso está desativado. Não é possível adicionar um painel de registro a um painel.
Widgets do painel de relatórios de erros em Painéis	Este recurso está desativado. Não é possível adicionar um painel de relatórios de erros a um painel.
Filtre em EventAnnotation para Painéis	Este recurso está desativado. O filtro de EventAnnotation não pode ser definido em um painel.
SqlCondition em alertPolicies	Este recurso está desativado. Não é possível adicionar um SqlCondition a um alertPolicy.

Cloud Run

Recursos do Cloud Run afetados

Recurso	Descrição
Recursos não suportados	Os seguintes recursos do Cloud Run não são compatíveis: Integração do Cloud Trace Cloud Run functions Gatilhos do Eventarc

Cloud VPN

Recursos do Cloud VPN afetados

Recurso	Descrição
Endpoints de VPN	É necessário usar apenas endpoints do Cloud VPN localizados nos EUA. Verifique se o gateway da VPN está configurado apenas para uso em uma região dos EUA.

Google Cloud Armor

Recursos do Google Cloud Armor afetados

Recurso	Descrição
Políticas de segurança com escopo global	Esse recurso foi desativado pela restrição de política da organização compute.disableGlobalCloudArmorPolicy.

Spanner

Restrições da política da organização do Spanner

Restrição da política da organização	Descrição
spanner.disableMultiRegionInstanceIfNoLocationSelected	Definido como Verdadeiro. Desativa a capacidade de criar instâncias do Spanner multirregionais para aplicar a residência de dados e a soberania de dados.

Speech-to-Text

Recursos da Speech-to-Text afetados

Recurso	Descrição
Modelos personalizados de Speech-to-Text	É sua responsabilidade não usar modelos personalizados de Speech-to-Text porque eles não são compatíveis com o CJIS.

Vertex AI para Pesquisa

Recursos da Vertex AI para Pesquisa afetados

Recurso	Descrição
Ajuste de pesquisa	É sua responsabilidade não usar o recurso de ajuste de pesquisa da Vertex AI Search porque ele não é compatível com o CJIS.
Recomendações genéricas	É sua responsabilidade não usar o recurso de recomendações genéricas da pesquisa da Vertex AI, porque ele não é compatível com o CJIS.
Recomendações de mídia	É sua responsabilidade não usar o recurso de recomendações de mídia da Vertex AI Search, porque ele não está em conformidade com o CJIS.

A seguir

• Saiba como criar uma pasta do Assured Workloads
• Entenda os preços do Assured Workloads