En savoir plus sur la conformité ITAR dans la Protection des données 101, notre série sur les principes fondamentaux de la sécurité de l’information.

a Definition of ITAR Compliance

International Traffic in Arms Regulations (ITAR) contrôle l’exportation et l’importation d’articles et de services liés à la défense figurant sur la liste des Munitions des États-Unis (USML). Selon les états-UNIS, Le gouvernement, tous les fabricants, exportateurs et courtiers d’articles de défense, de services de défense ou de données techniques connexes doivent être conformes à L’ITAR. Par conséquent, de plus en plus d’entreprises exigent que leurs membres de la chaîne d’approvisionnement soient également conformes à L’ITAR., En général:

pour une entreprise impliquée dans la fabrication, la vente ou la distribution de biens ou de services couverts par L’USML, ou un fournisseur de composants de biens couverts par la United States Munitions List (USML), la stipulation ou l’exigence d’être « certifié ITAR (conforme)” signifie que la société doit être enregistrée auprès de la Direction des contrôles commerciaux De La Défense (Ddtc) du Département d’état si nécessaire, comme indiqué sur le site Web de la DDTC et que la société doit comprendre et respecter L’ITAR en ce qui concerne ses biens ou services liés à L’USML., La société elle-même certifie qu’elle opère conformément à L’ITAR lorsqu’elle accepte d’être un fournisseur pour L’exportateur principal USML.

en d’autres termes, les entreprises doivent s’inscrire auprès du DDTC et savoir ce qui est exigé d’elles pour être conformes à L’ITAR, puis certifier qu’elles possèdent ces connaissances.

que signifie L’ITAR pour mon entreprise?

dans l’ensemble, il est important de comprendre que l’inscription au DDTC pour vendre vos produits ou services dans L’industrie ITAR ne suffit pas; vous devez être sûr de ne pas enfreindre les règlements de conformité ITAR., L’attente est que vous soyez éduqué et formé aux règlements ITAR. Gardez à l’esprit que les violations des RTI peuvent entraîner des sanctions pénales ou civiles, l’interdiction de futures exportations et/ou l’emprisonnement, y compris:

  • amendes civiles pouvant atteindre 500 000 $par violation
  • amendes pénales pouvant atteindre 1 000 000 and et 10 ans d’emprisonnement par violation

entreprises de Conformité et de technologie ITAR

en tant vente et distribution de technologie., L’objectif de la législation est de contrôler l’accès à des types spécifiques de technologie et à leurs données associées. Dans l’ensemble, le gouvernement tente d’empêcher la divulgation ou le transfert d’informations sensibles à un ressortissant étranger. En conséquence, ITAR peut poser des défis pour les entreprises mondiales, car les données liées à des technologies spécifiques peuvent avoir besoin d’être transférées sur internet ou stockées localement en dehors des États-Unis afin de faciliter le flux des processus métier., Il incombe au fabricant ou à l’exportateur de prendre les précautions et les mesures nécessaires pour certifier qu’ils respectent effectivement les exigences de conformité ITAR.,

plus précisément, ITAR :

  • couvre les articles militaires ou les articles de défense
  • réglemente les biens et technologies conçus pour tuer ou se défendre contre la mort dans un cadre militaire
  • comprend les technologies spatiales en raison de leur application à la technologie des missiles
  • comprend les données techniques liées aux articles et services de défense
  • implique une licence>

    en décembre 2019, le département D’état a ajouté un amendement à ITAR., Selon le résumé, l’amendement vise à  » décrire plus précisément les articles qui fournissent un avantage militaire ou de renseignement critique ou, dans le cas des armes, remplissent une fonction intrinsèquement militaire et justifient ainsi un contrôle des exportations et des importations temporaires sur L’USML. »

    la nouvelle règle est entrée en vigueur le 9 mars 2020 et pourrait changer la façon dont les organisations stockent et partagent les données ITAR dans le cloud. Essentiellement, certaines données peuvent être stockées dans le cloud tant qu’elles ne sont pas accessibles par des entités étrangères et répondent à certains critères., Avec cette nouvelle modification, les données ne seront pas considérées comme une « exportation » tant qu’elles sont:

    • non classifiées
    • gardées en sécurité avec un chiffrement de bout en bout
    • cryptographiquement sécurisées

    recommandations de sécurité des données ITAR

    maintenant que vous connaissez l’importance de la conformité ITAR et les sanctions en cas de non-conformité, il est important de comprendre comment sécuriser vos données contrôlées par ITAR.,

  • attribuer un identifiant unique à chaque personne ayant accès à l’ordinateur
  • tester régulièrement les systèmes et processus de sécurité
  • protéger les données sensibles avec cryptage
  • surveiller et tester régulièrement les réseaux
  • mettre en œuvre des mesures de contrôle d’accès solides
  • suivre et surveiller tous les accès aux ressources du réseau et aux données sensibles
  • maintenir un programme de gestion des vulnérabilités
  • mettre en œuvre des mesures pour prévenir la perte de données contrôlées par L’ITAR

Cette liste n’est pas exhaustif, mais vise à fournir un point de départ pour sécuriser les données sensibles et respecter la conformité ITAR., En suivant et en adoptant ces mesures pour répondre aux besoins de votre entreprise, vous pouvez vous assurer que les données ITAR sont toujours accessibles là où elles doivent être tout en restant protégées contre la perte ou l’accès non autorisé.

les Experts se prononcent sur la conformité ITAR

Voici un aperçu de ce que les experts ont à dire sur la conformité ITAR.

1. La Certification est un mythe. « Beaucoup ont entendu le terme « certifié » par rapport à ITAR. En réalité, il n’existe pas de certification ITAR. Il n’y a qu’une exigence réglementaire pour être enregistré et l’obligation d’une entreprise d’être conforme., La confusion survient lorsque vous recevez une lettre de votre client vous demandant de « certifier » que votre entreprise est conforme à ITAR. Ce qu’ils demandent vraiment, c’est: « Êtes-vous inscrit à L’ITAR et avez-vous un programme de conformité établi avec tous les contrôles requis en place? » »- Mark Bleckley, ce que cela signifie vraiment D’être conforme à L’ITAR: pourquoi vous devriez arrêter de dire que vous êtes certifié ITAR, Grand Valley State University

2. L’inscription ne signifie pas que vous êtes hors du bois., « Ce qui est important de comprendre, c’est que même si vous pouvez enregistrer votre entreprise auprès du DDTC pour vendre vos produits ou services dans L’industrie ITAR, vous ne devez pas non plus enfreindre les règlements de conformité ITAR. On s’attend à ce que vous soyez éduqué et formé aux règlements ITAR. La violation de L’ITAR peut entraîner des sanctions pénales ou civiles, l’exclusion des exportations futures, ainsi que l’emprisonnement. »- Que signifie la conformité ITAR/ITAR?, Université Dunlap-Stone

3. Utilisez une liste de contrôle., « Une liste de contrôle de conformité ITAR est un outil utilisé par les fournisseurs d’armes pour déterminer facilement s’ils sont conformes ITAR, établir un système d’identification pour les produits contrôlés ITAR et mettre en œuvre un programme de conformité ITAR efficace. »- Jona Tarlengco, Top 3 listes de contrôle de conformité ITAR, culture de sécurité

Si votre entreprise est soumise à la conformité ITAR, suivre ces conseils et les meilleures pratiques vous garantira d’être conforme aux réglementations les plus récentes, y compris la dernière modification liée à la sécurisation des données sensibles contrôlées ITAR dans le cloud.

Tags: protection des données 101