conozca el cumplimiento de Data en protección de datos 101, nuestra serie sobre los fundamentos de la seguridad de la información.

a Definition of Compliance Compliance

International Traffic in Arms Regulations (Regulations) control the export and import of defense-related articles and services on the United States Munitions List (USML). Según los estados UNIDOS, El Gobierno, todos los fabricantes, exportadores y corredores de artículos de Defensa, Servicios de defensa o datos técnicos relacionados deben cumplir con IT. Por lo tanto, más empresas están exigiendo que sus miembros de la cadena de suministro también cumplan con IT., En General:

para una empresa involucrada en la fabricación, venta o distribución de bienes o servicios cubiertos por la USML, o un proveedor de componentes de bienes cubiertos por la lista de municiones de los Estados Unidos (USML), la estipulación o el requisito de ser «certified certified (compliant)» significa que la empresa debe estar registrada en la dirección de controles comerciales de Defensa (DDTC) del Departamento de Estado, si es necesario, como se especifica en el sitio web de DDTC y la empresa debe comprender y cumplir con la US tal como se aplica a sus bienes o servicios vinculados a la USML., La propia empresa certifica que opera de acuerdo con ELAR cuando acepta ser un proveedor para el exportador principal de USML.

En otras palabras, las empresas deben registrarse en el DDTC y saber lo que se requiere de ellas para cumplir con IT y luego certificar que poseen ese conocimiento.

¿Qué significa ELAR para mi empresa?

En general, es importante entender que registrarse en el DDTC para vender sus productos o servicios en la industria de IT no es suficiente; debe asegurarse de no violar las regulaciones de cumplimiento de IT., La expectativa es que usted sea educado y entrenado en las regulaciones de IT. Tenga en cuenta que las violaciones de ITR pueden resultar en sanciones penales o civiles, ser excluidos de las exportaciones futuras, y/o encarcelamiento, incluyendo:

  • multas civiles de hasta 5 500,000 por violación
  • multas penales de hasta $1,000,000 y 10 años de prisión por violación

Companies Compliance and Technology Companies

como una importante ley de control de venta y distribución de tecnología., El objetivo de la legislación es controlar el acceso a tipos específicos de tecnología y sus datos asociados. En general, el Gobierno está tratando de impedir la divulgación o transferencia de información delicada a un nacional extranjero. Como resultado, ELAR puede plantear desafíos para las corporaciones globales, ya que los datos relacionados con tecnologías específicas pueden necesitar ser transferidos a través de internet o almacenados localmente fuera de los Estados Unidos para que los procesos comerciales fluyan sin problemas., Corresponde al fabricante o exportador tomar las precauciones y medidas necesarias para certificar que, de hecho, cumplen los requisitos de cumplimiento de IT.,

Específicamente, ul :

  • cubre artículos militares o artículos de defensa
  • regula los bienes y la tecnología diseñados para matar o defenderse de la muerte en un entorno militar
  • Incluye tecnología relacionada con el espacio debido a su aplicación a la tecnología de misiles
  • incluye datos técnicos relacionados con artículos y servicios de defensa
  • implica licencias regulatorias estrictas y no aborda objetivos comerciales o de investigación

en diciembre de 2019, el departamento de estado agregó una enmienda alar., Según el resumen, la enmienda pretende » describir con más precisión los artículos que proporcionan una ventaja militar o de inteligencia crítica o, en el caso de las armas, desempeñan una función inherentemente militar y, por lo tanto, justifican el control de exportación e importación temporal en el USML.»

la nueva regla entró en vigor el 9 de marzo de 2020 y puede cambiar la forma en que las organizaciones almacenan y comparten los datos IT en la nube. Esencialmente, ciertos datos pueden almacenarse en la nube siempre que estén a salvo de ser accedidos por entidades extranjeras y cumplan ciertos criterios., Con esta nueva enmienda, los datos no se considerarán una «exportación» siempre y cuando:

  • Sin clasificar
  • se mantengan seguros con cifrado de extremo a extremo
  • protegido criptográficamente

recomendaciones de seguridad de datos it

ahora que conoce la importancia del cumplimiento de IT y las sanciones por no cumplir, es importante comprender cómo proteger sus datos controlados por..,

  • asignar un ID único a cada persona con acceso a la computadora
  • probar regularmente sistemas y procesos de seguridad
  • proteger datos confidenciales con cifrado
  • monitorear y probar regularmente redes
  • implementar medidas de control de acceso fuertes
  • rastrear y monitorear todo el acceso a recursos de red y datos confidenciales
  • Mantener un programa de gestión de vulnerabilidades
  • implementar medidas para evitar la pérdida de datos controlados por IT

    • exhaustivo, pero tiene como objetivo proporcionar un punto de partida para proteger los datos confidenciales y cumplir con el cumplimiento de IT., Al seguir y adoptar estas medidas a las necesidades de su empresa, puede asegurarse de que los datos de IT sigan siendo accesibles donde deben estar, mientras permanece protegido contra pérdidas o accesos no autorizados.

    los Expertos evalúan ITAR el Cumplimiento

    he Aquí un vistazo a lo que los expertos tienen que decir acerca de ITAR cumplimiento.

    1. La certificación es un mito. «Muchos han escuchado el término «certificado» en relación a ITAR. En realidad, no existe la certificación it. Solo hay un requisito regulatorio de estar registrado y la obligación de una empresa de cumplir., La confusión se produce cuando recibe una carta de su cliente pidiéndole que ‘certifique’ que su negocio cumple con IT. Lo que realmente están preguntando es: ‘¿está registrado para IT y tiene un programa de cumplimiento establecido con todos los controles requeridos en su lugar?»- Mark Bleckley, lo que realmente significa ser compatible con IT: Por qué debe dejar de decir que está certificado it, Grand Valley State University

    2. El registro no significa que estés fuera de peligro., «Lo que es importante entender es que a pesar de que puede registrar su empresa con el DDTC para vender sus productos o servicios en la industria de IT, tampoco debe violar las regulaciones de cumplimiento de IT. Se espera que usted sea educado y entrenado en las regulaciones de IT. La violación delar puede dar lugar a sanciones penales o civiles, inhabilitación para futuras exportaciones y encarcelamiento.»- ¿Qué significa Compliant Compliance / Compliance Compliance?, Dunlap-Stone University

    3. Usa una lista de verificación., «Una lista de verificación de cumplimiento de IT es una herramienta utilizada por los proveedores de armas para determinar fácilmente si cumplen con IT, establecer un sistema de identificación para los productos controlados por.e implementar un programa de cumplimiento efectivo de..»- Jona Tarlengco, Top 3 Compliance Compliance Checklists, Safety Culture

    si su empresa está sujeta al cumplimiento de IT, seguir estos consejos y mejores prácticas garantizará que cumpla con las regulaciones más actuales, incluida la última enmienda relacionada con la protección de datos confidenciales controlados por IT en la nube.

    Etiquetas: Protección de Datos 101