¿Está su empresa sujeta a la normativa ITAR o EAR? Si no está seguro, es esencial que lo averigüe – rápidamente. De lo contrario, podría enfrentarse a graves consecuencias por incumplimiento. Para saber a qué regulaciones está sujeta su empresa, explore lo que cubren el ITAR y el EAR y cómo una solución de intercambio de archivos puede facilitar el cumplimiento.
El Reglamento de Tráfico Internacional de Armas (ITAR)
El ITAR regula la exportación de artículos y servicios de defensa con el objetivo de mantener los materiales fuera de las manos de ciudadanos extranjeros. Estas regulaciones se aplican tanto a los contratistas como a los subcontratistas del gobierno, y los artículos y servicios cubiertos por estas regulaciones se describen en la Lista de Municiones de los Estados Unidos (USML).
Incluso si su empresa no fabrica misiles o tanques, podría estar obligada a alinearse con el ITAR. La USML abarca una amplia gama de productos, servicios y datos técnicos, como vehículos, municiones, aviones y otros. Pero también cubre artículos que usted no espera, como materiales de entrenamiento militar, artículos clasificados y otros datos.
El ITAR controla específicamente la importación, la exportación y la importación y exportación temporal de productos, datos y servicios incluidos en la USML. El envío de un documento cubierto por el ITAR a través del correo electrónico se considera exportación de datos, por lo que las empresas deben estar especialmente atentas a cómo se comparten sus datos.
Aunque pueda parecer sencillo mantener los artículos sujetos al USML restringidos únicamente a los ciudadanos estadounidenses aprobados, esto puede ser más complejo de lo que parece. Podría significar que el acceso de un ciudadano extranjero, incluso uno empleado por su propia empresa, tendría que ser restringido para proteger el hardware y los datos sensibles.
La normativa de administración de exportaciones (EAR)
La EAR cubre el componente comercial de la importación y exportación de productos y datos. Se aplica a los productos de doble uso, que están disponibles tanto para ventas comerciales como para uso gubernamental, como los sistemas GPS o los ordenadores de alto rendimiento.
Los artículos sujetos a las EAR se enumeran en la Lista de Control Comercial (CCL) en unas pocas categorías de productos o servicios:
-
Nucleares y Varios
-
Materiales, Productos Químicos, Microorganismos, y toxinas
-
Procesamiento de materiales
-
Electrónica
-
Informática
-
Telecomunicaciones
-
Seguridad de la información
-
Sensores y láseres
-
Navegación y aviónica
-
Marina
-
Aeroespacial y propulsión
.
Como cada una de las categorías es amplia, su empresa probablemente tendrá que realizar una pequeña investigación o ponerse en contacto con la Oficina del Departamento de Comercio de los Estados Unidos.UU., Oficina de Industria y Seguridad (BIS) para determinar si sus productos entran en una de estas categorías. El BIS es la agencia gubernamental encargada de regular y hacer cumplir las EAR.
ITAR vs. EAR: en qué se diferencian
Es fácil decir que el ITAR cubre la exportación de todos los materiales y artículos relacionados con la defensa, y el EAR cubre todo lo demás. Pero, desenredar estas regulaciones similares, aunque diferentes, puede llevar algún tiempo. Ahora que tiene una mejor idea de lo que cubre el ITAR y lo que cubre el EAR, vea las tres áreas principales en las que estas regulaciones divergen:
-
Organismo regulador: el ITAR está regulado por el Departamento de Estado de EE.UU., Dirección de Controles de Comercio de Defensa (DDTC), mientras que el EAR está regulado por el Departamento de Comercio de EE.UU., Oficina de Industria y Seguridad (BIS).
-
Artículos regulados: El ITAR cubre todos los artículos y servicios de defensa, mientras que el EAR cubre los artículos y tecnologías comerciales y de doble uso.
-
Donde se listan los artículos regulados: Puede encontrar los artículos cubiertos por el ITAR en la Lista de Municiones de los Estados Unidos (USML), mientras que los artículos EAR se listan en la Lista de Control Comercial (CCL).
Este resumen de las variaciones muestra que, aunque diferentes, en muchos aspectos el ITAR y el EAR son regulaciones paralelas. Y al final, ambas tienen el mismo objetivo: proteger los materiales o artículos sensibles para que no caigan en manos equivocadas.
Donde se encuentran el intercambio de archivos y el cumplimiento
Probablemente ya conozca las graves consecuencias que puede tener el incumplimiento de las normativas gubernamentales. En el caso del ITAR y el EAR, el incumplimiento de cualquiera de las dos normativas podría costarle a su empresa una cantidad considerable en multas y pérdidas de negocio. Incluso podría enfrentarse a consecuencias más graves, como cargos penales. Por lo tanto, es imperativo que cuente con los controles necesarios para mantener el cumplimiento.
Una de las primeras medidas que debe tomar para protegerse contra el incumplimiento es adoptar una solución segura para compartir archivos. Dado que ambas normativas se refieren no sólo al hardware, sino también a los datos, necesita una forma de compartir esos datos tanto interna como externamente sin poner en peligro la información sensible.
Aunque puede que no esté «exportando» en el sentido tradicional, puede que esté compartiendo y enviando información a otras partes. La exportación de datos es algo cotidiano en la mayoría de las empresas de hoy en día. Si está enviando información relacionada con ITAR o EAR tanto internamente como a sus clientes, necesita establecer normas para mantener sus datos seguros, independientemente de quién los comparta y con quién los comparta.
Al utilizar una solución segura para compartir archivos, tiene las herramientas necesarias para mantener sus datos seguros. El ITAR, en particular, describe una serie de formas de proteger sus datos, divididas en cuatro categorías:
-
Control de acceso
-
No acceda a los datos a través de ordenadores públicos. Las soluciones para compartir archivos de forma segura le permiten restringir el acceso por dirección IP, de modo que sólo se pueda acceder a las cuentas y a los datos desde ordenadores aprobados y seguros.
-
El acceso a las cuentas sólo se puede conceder mediante métodos de autenticación. Esto significa que las cuentas deben estar protegidas con nombres de usuario, contraseñas, claves SSH, etc.
-
Los datos regulados por la ITAR deben estar protegidos físicamente. Elija un proveedor de FTP que opere desde una ubicación segura.
-
Gestión del sistema
-
Actualice regularmente el software de prevención de malware. Los mejores hosts de FTP gestionarán y actualizarán todas las medidas de seguridad del software.
-
El hardware que proporciona acceso a los datos controlados debe estar al día en cuanto a parches y actualizaciones de seguridad. Su anfitrión de intercambio de archivos mantendrá la solución segura para usted.
-
Los medios electrónicos deben ser borrados de acuerdo con el NIST 800-88. Las mejores soluciones para compartir archivos cumplen con este mandato, al igual que su empresa.
-
Los datos deben ser encriptados cuando se almacenan. Esta es una de las principales funciones de una solución segura para compartir archivos. En una solución de compartición de archivos de primer nivel, los datos se cifran automáticamente.
-
Transmisión de datos
-
No transmita datos sin cifrar. Utilizando una solución segura para compartir archivos, los administradores pueden imponer el cifrado de datos como requisito para compartir archivos.
-
Las redes inalámbricas deben estar cifradas. Esto es responsabilidad de la empresa, no del host FTP.
-
Supervise el tráfico entrante y saliente. Las soluciones de intercambio de archivos líderes del sector proporcionan registros de actividad para mostrar quién accede a los datos. También puede controlar el acceso en función del país y la dirección IP.
-
Detecte las violaciones de datos cuando se produzcan. Utilizando una solución de intercambio de archivos como FTP Today, estará protegido por medidas de detección y prevención de intrusiones para evitar accesos no autorizados.
-
Los subcontratistas deben ajustarse a la normativa. Como subcontratista, los mejores anfitriones de soluciones de compartición de archivos garantizan que sus datos no serán maltratados por su parte.
-
Software ejecutable en sistemas compartidos
-
Los directorios que contengan software tendrán permisos de acceso estrictos. Si eliges una solución FTP como FTP Today, el host se asegura de que todo el software esté contenido en directorios aislados.
-
Los registros de auditoría están habilitados y tienen copia de seguridad. El host de FTP proporciona registros que se conservan mientras los necesite.
-
Los sistemas deben ser administrados únicamente por ciudadanos estadounidenses. FTP Today, por ejemplo, sólo emplea a ciudadanos estadounidenses para garantizar el cumplimiento de esta normativa.
-
Sólo los ciudadanos estadounidenses deben tener acceso físico a los sistemas. Los mejores hosts de FTP garantizan la seguridad en las ubicaciones de sus infraestructuras físicas.
En última instancia, la mejor manera de cubrir sus bases cuando se trata de todas estas regulaciones es elegir una solución de intercambio de archivos que puede mantener el cumplimiento y sus datos seguros. Un host de intercambio de archivos puede centrarse en las complejidades del cumplimiento de la normativa en lo que respecta al intercambio de archivos, y usted puede volver a centrarse en su negocio.
¿Quiere saber más sobre cómo cumplir con la normativa ITAR? Explore esta guía sobre el cumplimiento del ITAR y su impacto en el intercambio de datos.