刑事司法資訊服務 (CJIS)

Access Context Manager

資料存取透明化控管機制

PostgreSQL 適用的 AlloyDB

Apigee

Artifact Registry

GKE 備份

BigQuery

BigQuery 資料移轉服務

Bigtable

憑證授權單位服務

Cloud Build

Cloud Composer

Cloud Data Fusion

Cloud DNS

Cloud External Key Manager (Cloud EKM)

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Key Management Service

Cloud Load Balancing

Cloud Logging

Cloud OS Login API

Cloud Monitoring

Cloud NAT (網路位址轉譯)

Cloud Router

Cloud Run

Cloud Run functions

Cloud SQL

Cloud Storage

Cloud Tasks

Cloud Vision API

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Conversational Agents (Dialogflow CX)

Dataflow

Dataform

Dataplex Universal Catalog

Dataproc

Document AI

重要聯絡人

Eventarc

Filestore

Firebase 安全性規則

Firestore

Vertex AI 生成式 AI

GKE Hub

GKE 身分識別服務

Google 管理控制台

Google Agentspace

Google Cloud Armor

Google Kubernetes Engine

Identity and Access Management

Identity-Aware Proxy

Infrastructure Manager

Looker (Google Cloud Core)

Memorystore for Redis

Network Connectivity Center

機構政策服務

Persistent Disk

Pub/Sub

Resource Manager

Secret Manager

Secure Source Manager

Sensitive Data Protection

Service Mesh

Spanner

Speech-to-Text

Storage 移轉服務

Text-to-Speech

Vertex AI Search

Vertex AI Workbench

虛擬私有雲

VPC Service Controls

Web Risk

日曆

文件

雲端硬碟

表單

Gmail

Google Chat

Google Meet

新版協作平台

試算表

簡報

獨立第三方評估機構最近評估 Google Cloud 的安全控管機制後，發現 Google Cloud 成功協助機構遵循 v6.0 版《CJIS 安全性政策》。

如果客戶或州級 CJIS 系統局 (CSA) 提出要求，Google Cloud 就會執行《管理協議》，向客戶詳細說明 Google Cloud 如何協助組織遵守《CJIS 安全性政策》規定、各方的責任、涵蓋的雲端服務，以及許多其他重要條款。如要索取《Google Cloud CJIS 管理協議》的副本，請傳送電子郵件至 cjis@google.com。

Google Cloud 法規遵循團隊也能提供詳細的法規遵循資訊，說明 Google Cloud 如何達到雲端服務供應商適用的 CJISSECPOL 規定。

可以，Google Cloud 能讓客戶透過 Assured Workloads 和安全控管，將 CJIS 工作負載的資料位置設為僅限美國區域。Google 會依據《服務專屬條款》儲存您的靜態資料。

Google 會與州級 CSA 或當地機關合作，確保可能在無人陪同下存取該州未加密 CJI 的 Google 人員，一律遵守《CJIS 安全性政策》，完成指紋型背景調查。提供適用服務的 Google 人員，會將 FD-258 指紋卡和任何必要文件提交給各 CSA 或當地機關。

這項程序可確保提供適用服務的人員符合下列條件時，才能在無人陪同下存取未加密的 CJI：完成指紋型背景調查、CJIS 安全意識訓練，並簽署《CJIS 安全性附加條款》。

Google 在服務和營運的核心環節中導入零信任模式，因此系統不會假設在 Google 基礎架構上運作的服務之間有任何信任關係。換句話說，系統會將所有資源存取要求都視為來自於不受信任的網路，然後加以檢查、驗證及確認。

Google Cloud 中的客戶環境也會以邏輯性的方式加以區隔，防止使用者和客戶存取未指派給他們的資源。客戶資料 (包括 CJI) 會依網域套用邏輯區隔，讓系統能針對單一租戶產生資料。Google Cloud 不僅能以這種方式保護客戶資料，還能加快功能開發速度，並協助客戶實現成本效益，是政府客戶的絕佳選擇。

是，Google Cloud 在正式環境中使用通過 FIPS 140-3 驗證的加密模組，名為 BoringCrypto (認證編號 4735)。Google Cloud 會透過一或多項加密機制，為客戶存放的所有靜態資料，以及在 Google 設施間傳輸的內容進行加密，客戶無需採取任何行動。

客戶可以透過各種雲端金鑰管理服務 (例如 Google 代管的金鑰、客戶自行管理的加密金鑰與外部金鑰管理)，持續符合 CJIS 安全性政策的規定。由於 Google Cloud 預設將此等級的加密用於靜態資料和傳輸中的資料，因此客戶可以沿用通過 FIPS 140-3 驗證的加密技術，不必在 FIPS 模式下執行產品和服務。

Google 提供客戶自行管理的加密金鑰，且限制提供 CJIS 適用服務的人員必須接受適當審查，才能在無人陪同下存取未加密的 CJI。因此，Google Cloud 的 CJIS 解決方案不需要使用機密運算。不過，除了安全受限制的 CJIS 資料邊界，客戶也能選擇使用機密運算。

《CJIS 安全性政策》並未規定必須使用政府雲端架構 (簡稱「GovCloud」)，目前也沒有相關定義或標準來界定 GovCloud 的構成要素。Google Cloud 推出 CJIS 資料邊界解決方案，幫助客戶遵循《CJIS 安全性政策》，而且 Google Cloud 本身的法規遵循做法，也已通過獨立第三方評估機構和眾多州級 CSA 的驗證。

Google 投資了其公有雲基礎架構的分層式安全防護機制，提供加密功能和強大的人員資料存取權控管等功能。這項措施再加上先前提到的採用零信任機制，就能提供符合 CJIS 安全性政策嚴格規定所需的強大安全防護機制，同時讓客戶得以利用公有雲的持續產品創新。

Google 實作上述控管機制 (以及許多其他控管機制) 均符合 FedRAMP 中等風險和 FedRAMP 高等風險規範，並已獲得聯合授權委員會 (JAB) 認可。

美國行政管理與預算局 (OMB) 的 M-24-15 備忘錄 (「翻新聯邦風險與授權管理計畫 (FedRAMP)」) 中建議聯邦機構擺脫獨立不相通的 GovCloud 架構，由此可見我們的做法是正確的：

「FedRAMP 不應鼓勵或要求商業雲端服務供應商打造獨立的專屬產品/服務供聯邦政府使用，無論是透過聯邦安全架構或其他計畫作業的應用管道，都是如此。商業雲端服務供應商為了在市場上獲致成功，會在核心產品上投入資源、確保一切安全無虞並快速開發功能，而聯邦政府也能從中受惠。同樣地，商業服務供應商也能透過與 FedRAMP 的互動找出更完善的安全防護做法，然後將這些做法整合至核心服務，為所有客戶創造效益。」

是，Google Cloud 客戶在使用 Google Cloud 或 Google Workspace 服務時，客戶資料一律歸自己所有。如要進一步瞭解我們的資料處理承諾，請參閱《Cloud 資料處理附加條款》(CDPA)，並造訪隱私權資源中心。