La versión 6.0 de CJIS supuso un avance significativo en los requisitos técnicos y operativos para la gestión de la Información de Justicia Penal (IJP), especialmente en lo que respecta a las prácticas de cifrado, la seguridad del personal y la auditabilidad del sistema. Skydio, como proveedor de soluciones de drones autónomos para la seguridad pública y las fuerzas del orden, y el único proveedor de drones con un módulo de cifrado validado según FIPS 140-3, se comprometió desde el principio a cumplir y superar estos elevados estándares.
Cumplimiento del estándar de cifrado
A diferencia de CJIS 5.5, que permitía una interpretación más amplia de los requisitos de cifrado, CJIS 6.0 exige el uso de módulos de cifrado validados por FIPS en todos los estados de los datos: en tránsito, en reposo y durante el procesamiento. Para cumplir con este requisito, Skydio implementó el cifrado validado por FIPS 140-3 en todos los componentes clave, incluyendo drones, controladores, terminales de Skydio Cloud y flujos de trabajo de almacenamiento de datos.
Skydio es actualmente el único fabricante de drones que participa en el Programa de Validación de Módulos Criptográficos (CMVP) del NIST con un módulo validado según FIPS 140-3 (Certificado n.° 5006). Esto garantiza que cada etapa del proceso de gestión de evidencias cumple con los requisitos de cifrado establecidos en CJIS 6.0 y NIST FIPS 140-3.
Revisión de terceros
CJIS 6.0 sigue siendo un marco de autocertificación, pero la ambigüedad en la interpretación puede generar deficiencias en la implementación. Para evitarlo, Skydio contrató a Fortreum, una Organización de Evaluación de Terceros (3PAO) acreditada por FedRAMP, para evaluar de forma independiente nuestros controles de seguridad, identificar deficiencias en las políticas y validar nuestra implementación.
Esta colaboración garantizó que nuestro enfoque se alineara con la letra y la intención de CJIS 6.0, asegurando que nuestra implementación satisfaga los objetivos de control documentados y minimice la ambigüedad durante las auditorías formales de CJIS.
Preparación operativa con Axon
El cumplimiento técnico es solo la mitad del desafío. Los flujos de trabajo operativos son igual de críticos. Skydio se asoció con Axon para coordinar la verificación de antecedentes, el acceso a los datos del personal y los procesos seguros de transferencia de evidencia. Esto incluye flujos de trabajo como las cargas concatenadas de SHA256 a Axon Evidence, lo que garantiza la integridad de los datos en cada transferencia de evidencia.
La experiencia de Axon con flujos de trabajo de cámaras corporales inspiró la extensión de controles similares a la captura de evidencia con drones. Nuestro trabajo consistió en extender ese modelo de seguridad a sistemas aéreos autónomos con flujos de trabajo dinámicos de captura y carga.
Ir más allá de la línea base
Algunas agencias, especialmente los grandes departamentos y los socios federales, requieren controles de seguridad que van más allá incluso de CJIS 6.0. Para satisfacer estas necesidades, Skydio implementó medidas adicionales adaptadas a entornos de alta seguridad. En colaboración con agencias como el Departamento de Policía de Nueva York (NYPD), desarrollamos mejoras como el hash SHA256 en el punto de captura y la verificación de integridad en Skydio Cloud. Estas capacidades ofrecen transparencia criptográfica en la cadena de custodia, lo que ayuda a garantizar la defensa probatoria si las grabaciones se impugnan en los tribunales.
Opciones de cifrado avanzadas: flujos de trabajo de YubiKey y TPM
Para clientes con necesidades de seguridad elevadas, como agencias de defensa, ampliamos el cifrado de tarjetas SD mediante la gestión de claves respaldada por hardware, desarrollada originalmente para entornos de alta seguridad. Los drones Skydio pueden cifrar datos mediante tokens de hardware (p. ej., YubiKeys), de modo que la clave de descifrado nunca se almacena en el dron. Esto protege los archivos multimedia incluso si la aeronave se ve comprometida. Esta función ya está disponible para todos los clientes.
Las YubiKeys son eficaces para drones pilotados manualmente, pero no para operaciones autónomas. Para las implementaciones con la base Dock para X10, trasladamos el almacenamiento seguro de claves a la propia base, aprovechando su Módulo de Plataforma Confiable (TPM, un chip de hardware dedicado diseñado para almacenar de forma segura claves criptográficas y realizar operaciones seguras) e implementando un proceso seguro de sincronización de claves posterior al vuelo. Este flujo de trabajo garantiza que la evidencia cifrada pueda recopilarse y recuperarse sin necesidad de emparejar manualmente las claves.
Por qué es importante
Los videos capturados con drones se utilizan cada vez más en procesos judiciales, reconstrucción de accidentes y respuesta a incidentes. Si estos datos se gestionan incorrectamente, las agencias se exponen a impugnaciones legales, fallos en las auditorías y desconfianza pública. Skydio proporciona a las agencias un sistema que cumple con las normas federales de protección de datos y está diseñado para su uso en tribunales.
CJIS 6.0 introduce requisitos más estrictos para los proveedores que gestionan CJI. Skydio desarrolla sistemas diseñados para cumplir con CJIS 6.0 y otros requisitos federales de seguridad, lo que garantiza que las agencias puedan implementar con garantía de cumplimiento.
Skydio News. J. H. Traducido al español
