Con oltre il 90% delle organizzazioni che archiviano i dati nel cloud, i flussi di lavoro di condivisione dei dati devono essere sicuri. Quando la sicurezza nazionale è a rischio-come nel caso delle organizzazioni che gestiscono la difesa – e gli elementi militari-correlati—questo è particolarmente vero., La sfida per queste organizzazioni è stata a lungo come rimanere in conformità con i regolamenti internazionali sul traffico di armi (ITAR) pur essendo in grado di condividere i dati e collaborare in modo efficiente e sicuro.
Fortunatamente, la conformità ITAR sta cambiando in grande stile nel 2020. Lo scorso dicembre (2019), i legislatori hanno pubblicato un nuovo “encryption carve-out”, in vigore il 23 marzo 2020. Con questo aggiornamento all’ITAR, le organizzazioni conformi possono comunicare e condividere in modo sicuro i dati tecnici ITAR crittografati end-to-end con uffici esteri, partner o Stati Uniti., dipendenti governativi senza richiedere una licenza di esportazione ogni volta.
Nozioni di base sulla conformità ITAR
L’ITAR controlla l’esportazione di elementi relativi alla difesa e all’esercito per supportare gli obiettivi di sicurezza nazionale e politica estera del governo degli Stati Uniti. In particolare, l’ITAR regola gli articoli-articoli, servizi e tecnologia correlata—sulla lista delle munizioni degli Stati Uniti (USML), inclusi elementi militari semplici come armi da fuoco, munizioni e aerei, ma alcuni elementi meno evidenti come dispositivi di protezione individuale (ad esempio tute hazmat) e sensori IoT.,
È protetto anche ITAR “dati tecnici”—qualsiasi informazione, inclusi progetti, documentazione, schemi, diagrammi di flusso, ecc. necessario per la progettazione, lo sviluppo, la produzione, il funzionamento, la manutenzione o la modifica di articoli sul USML. L’ampia gamma di USML significa che la conformità ITAR non è solo per i commercianti di armi, ma tutte le organizzazioni coinvolte nella catena di fornitura per qualsiasi bene o servizio che potrebbe essere utilizzato per scopi militari e di difesa.,
Quando questi dati tecnici interagiscono con servizi basati su cloud come e-mail e file system attraverso i flussi di lavoro della supply chain digitale, le organizzazioni possono rapidamente trovarsi nel mirino dell’ITAR. Una sfumatura chiave all’interno dell’ITAR specifica che i dati tecnici accessibili da persone non statunitensi quando archiviati e condivisi nel cloud rappresentano una violazione ITAR poiché sono considerati un’esportazione sotto ITAR a meno che l’organizzazione non disponga di controlli avanzati o di una licenza di esportazione autorizzata., In pratica, ciò rende la residenza dei dati e le autorizzazioni del personale considerazioni cruciali quando si valutano i flussi di lavoro basati sul cloud.
Il rischio di non conformità
Poiché la non conformità ITAR porta ad alcune delle conseguenze più significative di tutte le normative sui dati, non deve essere presa alla leggera e si riduce a una cosa: impedire alle persone non statunitensi di accedere ai dati tecnici ITAR nel cloud., Se un’organizzazione si trova ad essere in violazione di questo, sanzioni di non conformità possono comportare multe civili fino a $500.000, multe penali fino a $1M, 10 anni di reclusione, e/o essere impedito di condurre qualsiasi attività di esportazione in futuro.
ITAR Compliance Checklist: Technical Data Protection
Dopo quasi quattro anni di deliberazione, il Dipartimento di Stato degli Stati Uniti ha emesso una sentenza definitiva modernizzando e unificando il ruolo della crittografia end-to-end nella protezione dei dati sensibili e consentendo flussi di lavoro della supply chain digitale., Ora, le organizzazioni possono archiviare e condividere i dati tecnici ITAR in ambienti cloud se sono protetti dall’accesso da entità straniere con crittografia end-to-end., Come risultato, le imprese di produzione, l’industria aerospaziale e della difesa, delle telecomunicazioni, della difesa, del contraente, o di qualsiasi altra industria che gestisce ITAR dati tecnici devono contenere le seguenti funzionalità di protezione dei dati in loro programmi di conformità:
- End-to-End Crittografia: Crittografia e-mail e i file contenenti ITAR dati tecnici all’interno del client per impedire l’accesso da parte di stranieri cloud server o personale, per risolvere la geolocalizzazione e il personale autorizzazioni.,
- Controlli di accesso: impostare la scadenza e disabilitare l’inoltro per ulteriori controlli che impediscono l’accesso non autorizzato dall’esterno. Revocare l’accesso per ridurre il rischio di accesso esterno in caso di violazione dei dati e file di filigrana contenenti dati tecnici ITAR per scoraggiare le perdite basate su file.
- Protezione persistente: mantenere il controllo degli allegati per impedire l’accesso esterno ovunque siano condivisi, garantendo la conformità ITAR oltre l’e-mail iniziale.,
- Prevenzione della perdita di dati: rileva i dati tecnici ITAR nelle e-mail e nei file e applica automaticamente i controlli di crittografia e accesso.
- Audit granulare: visualizza quando e dove i dati ITAR sono stati consultati in quanto condivisi lungo tutta la supply chain e adatta i controlli per l’evoluzione dei requisiti di collaborazione e accesso.
- Funzionalità di gestione delle chiavi: ospita le tue chiavi in modo che solo il tuo personale statunitense autorizzato possa accedere alle chiavi proteggendo i dati tecnici ITAR per il massimo controllo.,
Virtru sblocca i flussi di lavoro della supply chain digitale conformi a ITAR
Virtru aiuta a supportare la conformità ITAR fornendo una crittografia end-to-end che protegge i dati tecnici ITAR dall’accesso straniero ovunque siano condivisi, sbloccando i vantaggi di risparmio sui costi del cloud e consentendo flussi di lavoro
Scopri come Virtru può supportare i tuoi programmi di conformità ITAR oggi con la nostra lista di controllo di conformità ITAR per la protezione dei dati.