met meer dan 90% van de organisaties die gegevens opslaan in de cloud, moeten workflows voor het delen van gegevens veilig zijn. Wanneer de nationale veiligheid in gevaar is-zoals in het geval van organisaties die defensie – en militaire gerelateerde items behandelen-is dit vooral waar., De uitdaging voor deze organisaties is al lang hoe ze zich kunnen houden aan de International Traffic in Arms Regulations (ITAR), terwijl ze toch in staat zijn om gegevens te delen en efficiënt en veilig samen te werken.
gelukkig is ITAR compliance in 2020 sterk aan het veranderen. Afgelopen December (2019), wetgevers publiceerde een nieuwe “encryptie carve-out,” effectief 23 Maart 2020. In het kader van deze update naar de ITAR kunnen compliant organisaties end-to-end versleutelde ITAR technische gegevens communiceren en veilig delen met buitenlandse kantoren, partners of de VS., overheidsmedewerkers zonder elke keer een exportvergunning aan te vragen.
ITAR Compliance Basics
De ITAR controleert de export van Defensie – en militaire gerelateerde items om de nationale veiligheids-en buitenlandse beleidsdoelstellingen van de Amerikaanse regering te ondersteunen. In het bijzonder reguleert de ITAR artikelen-artikelen, diensten en aanverwante technologie—op de United States Munitions List (USML), inclusief eenvoudige militaire items zoals vuurwapens, munitie en vliegtuigen, maar enkele minder voor de hand liggende items zoals persoonlijke beschermingsmiddelen (bijvoorbeeld hazmat pakken) en IoT-sensoren.,
ook beschermd is ITAR “technische gegevens” —alle informatie, met inbegrip van blauwdrukken, documentatie, schema ‘ s, stroomdiagrammen, enz. nodig voor het ontwerp, de ontwikkeling, de fabricage, de werking, het onderhoud of de wijziging van items op de USML. Het brede scala van de USML betekent dat ITAR compliance is niet alleen voor wapenhandelaren, maar alle organisaties die betrokken zijn bij de supply chain voor elk goed of dienst die kan worden gebruikt voor militaire en defensie doeleinden.,
wanneer deze technische data interageert met cloudgebaseerde services zoals e-mail-en bestandssystemen in de workflows van de digitale supply chain, kunnen organisaties zich snel in het vizier van de ITAR bevinden. Een belangrijke nuance in de ITAR specificeert dat technische gegevens die toegankelijk zijn voor niet-Amerikaanse personen wanneer ze worden opgeslagen en gedeeld in de cloud, een ITAR-overtreding vormen, omdat ze worden beschouwd als een export onder ITAR, tenzij de organisatie over geavanceerde controles of een geautoriseerde exportlicentie beschikt., In de praktijk, dat maakt data residency en personeel machtigingen cruciale overwegingen bij het evalueren van cloud-gebaseerde workflows.
het risico van niet-naleving
omdat niet-naleving van ITAR leidt tot een aantal van de belangrijkste gevolgen van alle datavoorschriften, moet het niet lichtvaardig worden genomen en komt neer op één ding: voorkomen dat niet-Amerikaanse personen toegang krijgen tot ITAR technische gegevens in de cloud., Als een organisatie in overtreding blijkt te zijn, kunnen boetes voor niet-naleving resulteren in civiele boetes tot $500.000, strafrechtelijke boetes tot $1 miljoen, 10 jaar gevangenisstraf, en/of worden uitgesloten van het uitvoeren van exportactiviteiten in de toekomst.
ITAR Compliance Checklist: Technical Data Protection
na bijna vier jaar van overleg heeft het Amerikaanse Ministerie van Buitenlandse Zaken een definitieve uitspraak gedaan om de rol van end-to-end encryptie bij het beveiligen van gevoelige gegevens en het mogelijk maken van digitale supply chain workflows te moderniseren en te verenigen., Nu, organisaties kunnen opslaan en delen ITAR technische gegevens in cloud-omgevingen als het is beschermd tegen toegang door buitenlandse entiteiten met end-to-end encryptie., Als gevolg hiervan moeten bedrijven in de productie -, ruimtevaart-en defensiesector, Telecommunicatie, defensiecontracten of andere sectoren die ITAR-technische gegevens verwerken, de volgende gegevensbeschermingsmogelijkheden opnemen in hun complianceprogramma ‘ s:
- End-to-End encryptie: Versleutel e-mail en bestanden die ITAR-technische gegevens bevatten binnen de client om toegang te voorkomen voor buitenlandse cloudservers of personeel, waardoor problemen met geolocatie en personeelsmachtigingen effectief worden opgelost.,
- Toegangscontrole: stel vervaldatum in en schakel doorsturen uit voor extra controle die ongeautoriseerde buitenlandse toegang voorkomt. Trek toegang in om het risico van buitenlandse toegang in het geval van een datalek te verminderen en watermerk bestanden met ITAR technische gegevens om bestand gebaseerde lekken te ontmoedigen.
- Persistent Protection: Behoud de controle over bijlagen om buitenlandse toegang te voorkomen waar ze ook worden gedeeld, en zorg ervoor dat ITAR compliance na de eerste e-mail.,
- preventie van gegevensverlies: Detecteer ITAR-technische gegevens in e-mail en bestanden en handhaaf automatisch versleutelings-en toegangscontroles.
- Granular Audit: bekijk wanneer en waar ITAR-gegevens zijn benaderd terwijl deze door de hele supply chain worden gedeeld, en pas controles aan om de vereisten voor samenwerking en toegang te ontwikkelen.
- Key Management Capabilities: Host uw eigen sleutels zodat alleen uw bevoegde Amerikaanse personeel toegang heeft tot de sleutels die ITAR technische gegevens beschermen voor ultieme controle.,
Virtru ontgrendelt ITAR-Compliant digitale Supply Chain Workflows
Virtru helpt ITAR compliance te ondersteunen door end-to-end encryptie te bieden die ITAR technische gegevens beschermt tegen buitenlandse toegang waar deze ook worden gedeeld, waardoor kostenbesparende voordelen in de cloud worden ontgrendeld en samenwerkingsworkflows mogelijk worden die innovatie en groei stimuleren.
leer hoe Virtru uw ITAR compliance programma ‘ s vandaag kan ondersteunen met onze ITAR Compliance Checklist voor gegevensbescherming.