Saiba sobre a conformidade com o ITAR na proteção de dados 101, a nossa série sobre os fundamentos da segurança da informação.

a Definition of ITAR Compliance

International Traffic in Arms Regulations (ITAR) control the export and import of defense-related articles and services on the United States Munitions List (USML). De acordo com os EUA., O governo, todos os fabricantes, exportadores e corretores de artigos de defesa, serviços de defesa ou dados técnicos relacionados devem ser compatíveis com a ITAR. Por conseguinte, mais empresas estão a exigir que os seus membros da cadeia de abastecimento também estejam em conformidade com a ITAR., Em Geral:

Para uma empresa envolvida na fabricação, venda ou distribuição de bens ou serviços cobertos sob o USML, ou um fornecedor de componentes para bens abrangidos nos Estados Unidos da Lista de Munições (USML), a estipulação ou a exigência de ser “ITAR certificada (compatível)” significa que a empresa deve ser registrada com o Departamento de Estado Direcção de Controles de Defesa Comercial (DDTC) se necessário como escrito em DDTC do site e a empresa deve compreender e respeitar a ITAR como ele se aplica à sua USML vinculada bens ou serviços., A própria empresa está certificando que eles operam de acordo com o ITAR quando eles aceitam ser um fornecedor para o exportador prime USML.

por outras palavras, as empresas devem registar-se no DDTC e saber o que lhes é exigido para serem conformes com a ITAR e, em seguida, certificar que possuem esse conhecimento.

o que significa para a minha empresa?

No geral, é importante entender que o registro com o DDTC para vender seus produtos ou serviços na indústria de ITAR não é suficiente; você deve ter certeza de não violar regulamentos de conformidade com o ITAR., A expectativa é que você seja educado e treinado em regulamentos da ITAR. Tenha em mente que ITR violações podem resultar em punições ou sanções civis, sendo impedido de futuras exportações, e/ou pena de prisão, incluindo:

  • Civil multas de us $500,000 por violação
  • multas de até us $1.000.000 e 10 anos de prisão por violação

de Conformidade ITAR e Empresas de Tecnologia

Como um importante controle de exportação dos EUA lei, a ITAR afeta a fabricação, venda e distribuição de tecnologia., O objectivo da legislação é controlar o acesso a tipos específicos de tecnologia e aos seus dados associados. Em geral, o governo está a tentar impedir a divulgação ou transferência de informações sensíveis para um cidadão estrangeiro. Como resultado, a ITAR pode colocar desafios para corporações globais, uma vez que os dados relacionados a tecnologias específicas podem precisar ser transferidos através da internet ou armazenados localmente fora dos Estados Unidos, a fim de fazer com que os processos de negócios fluam sem problemas., Cabe ao fabricante ou ao exportador tomar as precauções e medidas necessárias para certificar que satisfazem, de facto, os requisitos de conformidade com o regulamento interno.,

Especificamente, ITAR :

  • Cobre militar itens ou artigos de defesa
  • Regula a bens e tecnologia projetados para matar ou defender-se contra a morte, em uma configuração militar
  • Inclui espaço relacionadas com a tecnologia por causa da aplicação de tecnologia de mísseis
  • Inclui dados técnicos relacionados com artigos de defesa e serviços
  • Envolve a estrita regulamentação de licenciamento e não o endereço comercial ou objectivos da investigação

2020 ITAR Alteração

Em dezembro de 2019, o Departamento de Estado acrescentou uma emenda à ITAR., De acordo com o resumo, a emenda visa “descrever mais precisamente os artigos que oferecem uma vantagem militar ou de inteligência crítica ou, no caso de armas, executar uma função inerentemente militar e, assim, garantir a exportação e controle temporário de importação no USML.”

A nova regra entrou em vigor em 9 de Março de 2020 e potencialmente muda a forma como as organizações armazenam e compartilham dados de ITAR na nuvem. Essencialmente, certos dados podem ser armazenados na nuvem, desde que sejam seguros de serem acessados por entidades estrangeiras e satisfaçam certos critérios., Com esta nova alteração, dados não será considerada uma “exportação” como:

  • não classificados
  • a salvo com end-to-end de criptografia
  • Criptograficamente segura

ITAR Dados de Recomendações de Segurança

Agora que você sabe o significado do ITAR o Cumprimento e as sanções de descumprimento, é importante entender como proteger o seu ITAR-controlado de dados.,

  • Atribuir um ID exclusivo para cada pessoa com acesso a computador
  • testar Regularmente os sistemas de segurança e processos
  • a Proteger os dados sensíveis com criptografia
  • Regularmente, monitorar e testar as redes
  • Implementar fortes medidas de controle de acesso
  • Acompanhar e monitorar todo o acesso aos recursos da rede e dados confidenciais
  • Manter uma vulnerabilidade de gerenciamento do programa
  • Implementar medidas para evitar a perda de ITAR-controlado de dados

    • Esta lista não é exaustiva, mas destina-se para fornecer um ponto de partida para a proteção de dados confidenciais e de reunião de conformidade ITAR., Seguindo e adotando estas medidas para as necessidades de sua empresa, você pode garantir que os dados da barra de ITAR ainda estão acessíveis onde ele precisa estar enquanto se mantém protegido contra perda ou acesso não autorizado.

    os peritos pesam sobre a conformidade com a ITAR

    Aqui está uma olhada no que os peritos têm a dizer sobre a conformidade com a ITAR.1. A certificação é um mito. “Muitos têm ouvido o termo ‘certificado’ em relação ao ITAR. Na realidade, não existe tal coisa como ser certificado ITAR. Existe apenas um requisito regulamentar a registar e a obrigação de a empresa cumprir., A confusão vem quando você recebe uma carta do seu cliente pedindo – lhe para “certificar” que sua empresa é compatível com ITAR. O que eles estão realmente perguntando é, ‘você está registrado para a ITAR e você tem um programa de Conformidade estabelecido com todos os controles necessários no lugar?'”- Mark Bleckley, o que realmente significa ser compatível com ITAR: por que você deve parar de dizer que você é certificado ITAR, Grand Valley State University

    2. O registo não significa que estejas fora de perigo., “O que é importante entender é que, mesmo que você possa registrar sua empresa com o DDTC para vender seus produtos ou serviços na indústria de ITAR, você também não deve violar regulamentos de conformidade com o ITAR. Espera-se que você seja educado e treinado em regulamentos do ITAR. A violação do ITAR pode resultar em penas penais ou civis, privadas de futuras exportações, bem como na prisão.”— O que significa conformidade ITAR/ITAR?, Dunlap-Stone University

    3. Use uma lista de verificação., “Uma lista de verificação de conformidade com o ITAR é uma ferramenta usada pelos fornecedores de armas para determinar facilmente se eles são conformes com o ITAR, estabelecer um sistema de identificação para produtos controlados pelo ITAR, e implementar um programa de conformidade com o ITAR eficaz.”— Jona Tarlengco, Top 3 ITAR Listas de verificação de Conformidade, a Cultura de Segurança

    Se a sua empresa está sujeita à conformidade ITAR, seguindo essas dicas e melhores práticas para garantir que está em conformidade com as mais atuais regulamentos, incluindo o mais recente alteração relacionadas à proteção sensível ITAR-controlado de dados na nuvem.etiquetas: protecção de dados 101