Scopri la conformità ITAR nella protezione dei dati 101, la nostra serie sui fondamenti della sicurezza delle informazioni.

Una definizione di conformità ITAR

International Traffic in Arms Regulations (ITAR) controlla l’esportazione e l’importazione di articoli e servizi relativi alla difesa nella United States Munitions List (USML). Secondo gli Stati Uniti., Governo, tutti i produttori, esportatori e broker di articoli di difesa, servizi di difesa o dati tecnici correlati devono essere conformi ITAR. Pertanto, più aziende richiedono ai loro membri della supply chain di essere conformi anche a ITAR., In Generale:

Per una società attiva nella produzione, vendita o distribuzione di beni o servizi sono coperti dalla USML, o di un fornitore di componenti per prodotti coperti da Stati Uniti, Elenco delle Munizioni (USML), la stipula o il requisito di essere “ITAR certificata (conforme)” significa che la società deve essere registrato con il Dipartimento di Stato, la Direzione dei Controlli di Difesa Commerciale (DDTC) se necessario, come enunciato nel DDTC sito web e la società deve capire e rispettare le ITAR come si applica ai loro USML collegati beni o servizi., La società stessa certifica di operare in conformità con l’ITAR quando accetta di essere un fornitore per l’USML prime exporter.

In altre parole, le aziende devono registrarsi al DDTC e sapere cosa è richiesto loro per essere conformi ITAR e quindi certificare di possedere tale conoscenza.

Cosa significa l’ITAR per la mia azienda?

Nel complesso, è importante capire che la registrazione con il DDTC per vendere i tuoi prodotti o servizi nel settore ITAR non è sufficiente; devi essere sicuro di non violare le normative di conformità ITAR., L’aspettativa è che tu sia educato e addestrato nei regolamenti ITAR. Tenete a mente che l’ITR le violazioni possono comportare sanzioni penali o civili, a essere esclusi da future esportazioni, e/o di detenzione, tra cui:

  • Civile multe fino a $500.000 per la violazione
  • Penali, multe fino a $1.000.000 e 10 anni di reclusione per violazione

ITAR Conformità e Aziende di Tecnologia

Come un importante esportazione degli stati UNITI la legge di controllo, l’ITAR riguarda la produzione, la vendita e la distribuzione di tecnologie., L’obiettivo della legislazione è controllare l’accesso a specifici tipi di tecnologia e ai loro dati associati. Nel complesso, il governo sta tentando di impedire la divulgazione o il trasferimento di informazioni sensibili a un cittadino straniero. Di conseguenza, l’ITAR può rappresentare una sfida per le aziende globali, poiché i dati relativi a tecnologie specifiche potrebbero dover essere trasferiti su Internet o archiviati localmente al di fuori degli Stati Uniti per far fluire i processi aziendali senza intoppi., Spetta al produttore o all’esportatore prendere le precauzioni e le misure necessarie per certificare che sono, di fatto, conformi ai requisiti di conformità ITAR.,

in particolare, ITAR :

  • Copre articoli militari o di articoli per la difesa
  • Regola di beni e tecnologie che hanno lo scopo di uccidere o difendere contro la morte in un campo militare
  • Include lo spazio-tecnologia a causa dell’applicazione della tecnologia dei missili
  • Include i dati tecnici relativi a articoli per la difesa e servizi
  • Comporta severe normative di licenza e non di indirizzo commerciale o obiettivi di ricerca

il 2020 ITAR Emendamento

Nel mese di dicembre 2019, il Dipartimento di Stato aggiunto un emendamento alla ITAR., Secondo il riassunto, l’emendamento mira a ” descrivere più precisamente gli articoli che forniscono un vantaggio militare o di intelligence critico o, nel caso delle armi, svolgono una funzione intrinsecamente militare e quindi garantiscono l’esportazione e il controllo temporaneo delle importazioni sull’USML.”

La nuova regola è entrata in vigore il 9 marzo 2020 e potenzialmente cambia il modo in cui le organizzazioni memorizzano e condividono i dati ITAR nel cloud. In sostanza, alcuni dati possono essere archiviati nel cloud purché siano al sicuro dall’accesso da parte di entità straniere e soddisfino determinati criteri., Con questo nuovo emendamento, i dati non saranno considerati una “esportazione” fintanto che sono:

  • Non classificati
  • Tenuti al sicuro con la crittografia end-to-end
  • Crittograficamente protetti

ITAR Data Security Recommendations

Ora che conoscete l’importanza della conformità ITAR e le sanzioni in caso di mancato rispetto, è importante capire come proteggere i dati controllati da ITAR.,

  • Assegnare un ID univoco per ogni persona con accesso a computer
  • Regolarmente test di sistemi e processi di sicurezza
  • Proteggere i dati sensibili con la crittografia
  • Regolarmente monitorare e testare reti.
  • Implementare forti misure di controllo
  • tenere Traccia e monitorare tutti gli accessi alle risorse di rete e dati sensibili
  • Mantenere un programma di gestione delle vulnerabilità
  • Attuazione di misure volte a prevenire la perdita di ITAR-controllato di dati

    • Questo elenco non è esaustivo, ma è destinato a fornire un punto di partenza per la protezione di dati sensibili e di incontro ITAR conformità., Seguendo e adottando queste misure per le esigenze della tua azienda, puoi assicurarti che i dati ITAR siano ancora accessibili dove devono essere pur rimanendo protetti contro la perdita o l’accesso non autorizzato.

    Gli esperti valutano la conformità ITAR

    Ecco uno sguardo a ciò che gli esperti hanno da dire sulla conformità ITAR.

    1. La certificazione è un mito. “Molti hanno sentito il termine ‘certificato’ in relazione a ITAR. In realtà, non esiste una cosa come essere certificati ITAR. C’è solo un obbligo normativo per essere registrati e l’obbligo di una società di essere conforme., La confusione arriva quando ricevi una lettera dal tuo cliente che ti chiede di “certificare” che la tua attività è conforme a ITAR. Quello che stanno veramente chiedendo è: ‘Sei registrato per ITAR e hai un programma di conformità stabilito con tutti i controlli richiesti?'”- Mark Bleckley, cosa significa davvero essere conformi a ITAR: perché dovresti smettere di dire che sei certificato ITAR, Grand Valley State University

    2. La registrazione non significa che sei fuori pericolo., “Ciò che è importante capire è che anche se si può registrare la vostra azienda con il DDTC per vendere i vostri prodotti o servizi nel settore ITAR, è inoltre necessario non violare le norme di conformità ITAR. Ci si aspetta di essere istruiti e formati nei regolamenti ITAR. La violazione dell’ITAR può comportare sanzioni penali o civili, escluse dalle esportazioni future, nonché la reclusione.”- Cosa significa Conformità ITAR / ITAR Compliance?, Dunlap-Stone University

    3. Utilizzare una lista di controllo., “Una lista di controllo di conformità ITAR è uno strumento utilizzato dai fornitori di armi per determinare facilmente se sono conformi ITAR, stabilire un sistema di identificazione per i prodotti controllati da ITAR e implementare un efficace programma di conformità ITAR.”- Jona Tarlengco, Top 3 Liste di controllo di conformità ITAR, Cultura della sicurezza

    Se la tua azienda è soggetta alla conformità ITAR, seguendo questi suggerimenti e le best practice ti assicurerai di essere conforme alle normative più attuali, inclusa l’ultima modifica relativa alla protezione dei dati sensibili controllati da ITAR nel cloud.

    Tag: Protezione dei dati 101