Com mais de 90% das organizações armazenamento de dados na nuvem, compartilhamento de dados de fluxos de trabalho deve ser seguro. Quando a segurança nacional está em risco – como é o caso das organizações que lidam com itens relacionados à defesa-e com itens militares—isso é especialmente verdade., O desafio para estas organizações tem sido, desde há muito tempo, como continuar em conformidade com a regulamentação do tráfego internacional de armas (ITAR), ao mesmo tempo em que ainda é capaz de compartilhar dados e colaborar de forma eficiente e segura.
felizmente, a conformidade com o ITAR está a mudar em grande medida em 2020. Em dezembro passado (2019), os legisladores publicaram uma nova “criptografia carve-out”, em vigor em 23 de Março de 2020. Sob esta atualização para o ITAR, as organizações compatíveis podem se comunicar e compartilhar de forma segura Dados técnicos do ITAR criptografados de ponta a ponta com escritórios estrangeiros, parceiros ou EUA., funcionários do governo sem solicitar uma licença de exportação cada vez. o ITAR controla a exportação de itens relacionados com a defesa e militares para apoiar os objetivos do governo dos EUA em matéria de segurança nacional e política externa. Especificamente, o ITAR regula itens-artigos, serviços e tecnologia relacionada—na lista de munições dos Estados Unidos (USML), incluindo itens militares simples como armas de fogo, munições e aeronaves, mas alguns itens menos óbvios como equipamentos de proteção individual (por exemplo, fatos hazmat) e sensores IoT.,
também é protegido ITAR “dados técnicos” – qualquer informação, incluindo plantas, documentação, esquemas, fluxogramas, etc. necessário para o projeto, desenvolvimento, fabricação, operação, manutenção ou modificação de itens no USML. A ampla gama do USML significa que o cumprimento do ITAR não é apenas para os negociantes de armas, mas todas as organizações envolvidas na cadeia de suprimentos para qualquer bem ou serviço que possa ser usado para fins militares e de defesa., quando estes dados técnicos interagem com serviços baseados em nuvem como e-mail e sistemas de arquivos ao longo dos fluxos de trabalho da cadeia de fornecimento digital, as organizações podem encontrar-se rapidamente na mira do ITAR. Uma nuance chave dentro do ITAR especifica que os dados técnicos que são acessíveis por pessoas não-EUA quando armazenados e compartilhados na nuvem representa uma violação do ITAR, uma vez que é considerado uma exportação sob o ITAR, a menos que a organização tenha controles avançados ou uma licença de exportação autorizada., Na prática, isso torna a residência de dados e as permissões de pessoal considerações cruciais ao avaliar fluxos de trabalho baseados em nuvem.
o risco de incumprimento
porque o incumprimento ITAR leva a algumas das consequências mais significativas de todos os regulamentos de dados, não deve ser tomado de ânimo leve e resume-se a uma coisa: impedir que as pessoas não-EUA de acessar dados técnicos ITAR na nuvem., Se uma organização for encontrada em violação disso, as penalidades de descumprimento podem resultar em multas civis até US $ 500.000, multas criminais até US $ 1M, 10 anos de prisão, e / ou ser impedidos de realizar qualquer negócio de exportação no futuro.após quase quatro anos de deliberação, o Departamento de Estado dos EUA emitiu uma decisão final Modernizando e unificando o papel da criptografia de ponta a ponta na segurança de dados sensíveis e possibilitando fluxos de trabalho em cadeia de fornecimento digital., Agora, as organizações podem armazenar e compartilhar dados técnicos da ITAR em ambientes de nuvem se estiverem protegidos do acesso por entidades estrangeiras com criptografia de ponta a ponta., Como resultado, as empresas de manufatura, a indústria aeroespacial e de defesa, telecomunicações, defesa, contratação ou qualquer outra indústria que manipula ITAR dados técnicos deverão incorporar os seguintes dados de proteção de recursos em seus programas de conformidade:
- End-to-End de Criptografia: Criptografia de e-mail e arquivos contendo ITAR dados técnicos do cliente para impedir o acesso de estrangeiros servidores em nuvem ou pessoal, efetivamente, a resolução de geolocalização e de pessoal permissões de preocupações.,
- controlos de acesso: defina a expiração e desactive o encaminhamento para controlos adicionais que impeçam o acesso não autorizado a estrangeiros. Revogar o acesso para reduzir o risco de acesso Estrangeiro em caso de violação de dados e de ficheiros com marca de água que contenham dados técnicos com base em barras de ITAR, a fim de impedir fugas baseadas em ficheiros.
- protecção persistente: manter o controlo dos anexos para impedir o acesso ao estrangeiro onde quer que sejam partilhados, garantindo a conformidade com a barra para além do E-mail inicial.,
- prevenção da perda de dados: detecte dados técnicos da barra em E-mail e ficheiros e faça automaticamente uso dos controlos de encriptação e acesso.
- Granular Audit: View when and where ITAR data has been accessed as it’s shared throughout the supply chain, and adapt controls for developing collaboration and access requirements.
- capacidades de gestão de chaves: hospedar as suas próprias chaves para que apenas o seu pessoal autorizado dos EUA possa aceder às chaves que protegem os dados técnicos da barra para o controlo final.,
Virtru Desbloqueia ITAR-Digital Compatível com Cadeia de Suprimentos Fluxos de trabalho
Virtru ajuda de conformidade ITAR fornecendo end-to-end de criptografia que protege ITAR dados técnicos estrangeiros acessar sempre é compartilhada, o desbloqueio nuvem de redução de custos, benefícios e permitindo a colaboração de fluxos de trabalho que o poder de inovação e crescimento.
Saiba como a Virtru pode suportar os seus programas de conformidade com as normas de ITAR hoje com a nossa lista de verificação de conformidade com as normas de ITAR para a protecção de dados.