leer meer over ITAR compliance in Data Protection 101, onze serie over de grondbeginselen van informatiebeveiliging.

a Definition of ITAR Compliance

International Traffic in Arms Regulations (ITAR) control the export and import of defense-related articles and services on the United States Munitions List (USML). Volgens de VS, Overheid, alle fabrikanten, exporteurs en makelaars van defensieartikelen, defensiediensten of gerelateerde technische gegevens moeten ITAR compliant zijn. Daarom eisen meer bedrijven dat hun supply chain leden ook ITAR compliant zijn., In het Algemeen:

Voor een bedrijf dat actief is in de productie, verkoop of distributie van goederen of diensten onder de USML, of een component de leverancier van goederen die onder de Verenigde Staten Munitions List (USML), de bepaling of het vereiste van het “ITAR-gecertificeerd (geschikt voor)” betekent dat het bedrijf moet geregistreerd zijn bij het Ministerie van buitenlandse zaken Directie van Defensie Trade Controls (DDTC) indien nodig zoals beschreven op DDTC de website en het bedrijf moet begrijpen en zich houden aan de ITAR als het van toepassing is op hun USML gekoppeld goederen of diensten., Het bedrijf zelf certificeert dat ze werken in overeenstemming met de ITAR wanneer ze accepteren een leverancier voor de usml prime exporteur.

met andere woorden, bedrijven moeten zich bij de DDTC registreren en weten wat van hen wordt verlangd om ITAR-compliant te zijn en vervolgens certificeren dat zij over die kennis beschikken.

wat betekent de ITAR voor mijn bedrijf?

over het algemeen is het belangrijk om te begrijpen dat het registreren bij de DDTC om uw producten of diensten in de ITAR-industrie te verkopen niet genoeg is; u moet er zeker van zijn dat u de ITAR-compliance-regelgeving niet schendt., De verwachting is dat je wordt opgeleid en getraind in ITAR regelgeving. Houd er rekening mee dat schendingen van de ITR kunnen leiden tot strafrechtelijke of civiele sancties, die worden uitgesloten van toekomstige uitvoer, en/of gevangenisstraf, met inbegrip van:

  • civiele boetes tot $500.000 per overtreding
  • strafrechtelijke boetes tot $1.000.000 en 10 jaar gevangenisstraf per overtreding

ITAR Compliance and Technology Companies

als belangrijke Amerikaanse exportcontrolewet heeft de ITAR invloed op de productie, verkoop en distributie van technologie., Het doel van de wetgeving is de toegang tot specifieke soorten technologie en de bijbehorende gegevens te controleren. In het algemeen probeert de overheid de openbaarmaking of overdracht van gevoelige informatie aan een buitenlandse onderdaan te voorkomen. Als gevolg hiervan kan ITAR uitdagingen opleveren voor internationale bedrijven, omdat gegevens met betrekking tot specifieke technologieën mogelijk via internet moeten worden overgedragen of lokaal buiten de Verenigde Staten moeten worden opgeslagen om bedrijfsprocessen soepel te laten verlopen., De fabrikant of exporteur is verantwoordelijk voor het nemen van de nodige voorzorgsmaatregelen en maatregelen om te certificeren dat hij in feite aan de ITAR-eisen voldoet.,

specifiek omvat ITAR :

  • omvat militaire goederen of defensieartikelen
  • reguleert goederen en technologie ontworpen om te doden of te verdedigen tegen de dood in een militaire omgeving
  • omvat ruimtegerelateerde technologie vanwege toepassing op rakettechnologie
  • omvat technische gegevens met betrekking tot defensieartikelen en-diensten
  • omvat strikte regelgevende vergunningen en heeft geen betrekking op commerciële of onderzoeksdoelstellingen

2020 ITAR-wijziging

in december 2019 heeft het ministerie van Buitenlandse Zaken een wijziging aan ITAR toegevoegd., Volgens de samenvatting heeft het amendement tot doel “de artikelen nauwkeuriger te beschrijven die een kritisch militair of inlichtingenvoordeel bieden of, in het geval van wapens, een inherent militaire functie vervullen en dus uitvoer-en tijdelijke invoercontrole op het USML rechtvaardigen.”

de nieuwe regel werd van kracht op 9 maart 2020 en verandert mogelijk de manier waarop organisaties ITAR-gegevens opslaan en delen in de cloud. In wezen, bepaalde gegevens kunnen worden opgeslagen in de cloud, zolang het veilig is om te worden benaderd door buitenlandse entiteiten en voldoet aan bepaalde criteria., Met deze nieuwe wijziging worden gegevens niet beschouwd als een “export” zolang het:

  • Unclassified
  • veilig gehouden met end-to-end encryptie
  • cryptografisch beveiligd

ITAR Data Security Recommendations

Nu u het belang van ITAR Compliance en de sancties van niet-naleving kent, is het belangrijk om te begrijpen hoe u uw ITAR-gecontroleerde gegevens kunt beveiligen.,

  • Wijs een unieke ID toe aan elke persoon met toegang tot de computer
  • test beveiligingssystemen en processen
  • bescherm gevoelige gegevens met encryptie
  • controleer en test netwerken
  • implementeer sterke toegangscontrolemaatregelen
  • volg en monitor alle toegang tot netwerkbronnen en gevoelige gegevens
  • onderhoud een kwetsbaarheidsbeheerprogramma
  • implementeer maatregelen om verlies van ITAR-gecontroleerde gegevens te voorkomen

    • deze lijst is niet uitputtend, maar is bedoeld om een startpunt te bieden voor het beveiligen van gevoelige gegevens en het voldoen aan ITAR-compliance., Door deze maatregelen te volgen en aan te nemen aan de behoeften van uw bedrijf, kunt u ervoor zorgen dat ITAR-gegevens nog steeds toegankelijk zijn waar ze moeten zijn terwijl ze beschermd blijven tegen verlies of ongeautoriseerde toegang.

    Experts wegen in op ITAR Compliance

    Hier is een blik op wat de experts te zeggen hebben over ITAR compliance.

    1. Certificering is een mythe. “Velen hebben de term ‘gecertificeerd’ in relatie tot ITAR gehoord. In werkelijkheid is er niet zoiets als ITAR gecertificeerd. Er is alleen een wettelijke verplichting om te worden geregistreerd en de verplichting van een bedrijf om te voldoen., De verwarring komt wanneer u een brief van uw klant ontvangt waarin u wordt gevraagd om ‘te certificeren’ dat uw bedrijf ITAR compliant is. Wat ze echt vragen is, ‘ ben je geregistreerd voor ITAR en heb je een gevestigde compliance programma met alle vereiste controles op zijn plaats?'”- Mark Bleckley, wat het echt betekent om ITAR Compliant te zijn: waarom je zou moeten stoppen met te zeggen dat je ITAR gecertificeerd bent, Grand Valley State University

    2. Registratie betekent niet dat je buiten gevaar bent., “Wat belangrijk is om te begrijpen is dat, hoewel u uw bedrijf kan registreren bij de DDTC om uw producten of diensten te verkopen in de ITAR-Industrie, je moet ook niet ITAR compliance regulations overtreden. Van u wordt verwacht dat u wordt opgeleid en getraind in ITAR-regelgeving. Het overtreden van de ITAR kan resulteren in strafrechtelijke of civiele sancties, die worden uitgesloten van toekomstige export, evenals gevangenisstraf.— – Wat betekent ITAR Compliant/ITAR Compliance?, Dunlap-Stone University

    3. Gebruik een checklist., “Een ITAR compliance checklist is een hulpmiddel dat wapenleveranciers gebruiken om gemakkelijk te bepalen of ze ITAR compliant zijn, een identificatiesysteem voor door ITAR gecontroleerde producten op te zetten en een effectief ITAR compliance-programma te implementeren.”- Jona Tarlengco, top 3 ITAR Compliance Checklists, Safety Culture

    als uw bedrijf onderworpen is aan ITAR compliance, zal het volgen van deze tips en best practices ervoor zorgen dat u voldoet aan de meest actuele regelgeving, inclusief de laatste wijziging met betrekking tot het beveiligen van gevoelige ITAR-gecontroleerde gegevens in de cloud.

    Tags: gegevensbescherming 101