La tua azienda è soggetta alle normative ITAR o EAR? Se non sei sicuro, è essenziale che tu lo scopra – velocemente. Altrimenti, potreste andare incontro a gravi conseguenze per la non conformità. Per scoprire a quali regolamenti è soggetta la tua azienda, esplora cosa coprono ITAR e EAR e come una soluzione di condivisione dei file può rendere più facile la conformità.
L’International Traffic in Arms Regulations (ITAR)
ITAR regola l’esportazione di articoli e servizi della difesa con l’obiettivo di tenere i materiali fuori dalle mani di cittadini stranieri. Questi regolamenti si applicano sia agli appaltatori che ai subappaltatori del governo, e gli articoli e i servizi coperti da questi regolamenti sono delineati nella United States Munitions List (USML).
Anche se la vostra azienda non produce missili o carri armati, potreste comunque essere tenuti ad allinearvi con l’ITAR. L’USML comprende una vasta gamma di prodotti, servizi e dati tecnici, come veicoli, munizioni, aerei e altro. Ma copre anche articoli che potresti non aspettarti, come materiale di addestramento militare, articoli classificati e altri dati.
L’ITAR controlla specificamente l’importazione, l’esportazione e l’importazione ed esportazione temporanea di prodotti, dati e servizi inclusi nell’USML. L’invio di un documento coperto dall’ITAR via e-mail è considerato esportazione di dati, quindi le aziende devono essere particolarmente attente a come i loro dati vengono condivisi.
Mentre potrebbe sembrare semplice tenere gli articoli soggetti all’USML limitati solo ai cittadini statunitensi approvati, questo può essere più complesso di quanto sembri. Potrebbe significare che l’accesso di un cittadino straniero, anche uno impiegato dalla vostra azienda, dovrebbe essere limitato per proteggere l’hardware e i dati sensibili.
L’Export Administration Regulations (EAR)
L’EAR copre la componente commerciale di importazione ed esportazione di prodotti e dati. Si applica agli articoli a doppio uso, che sono disponibili sia per le vendite commerciali che per l’uso governativo, come i sistemi GPS o i computer ad alte prestazioni.
I prodotti soggetti all’EAR sono elencati nella Commercial Control List (CCL) in alcune categorie di prodotti o servizi:
-
Nucleare e Varie
-
Materiali, prodotti chimici, microorganismi, and Toxins
-
Trattamento dei materiali
-
Elettronica
-
Computer
-
Telecomunicazioni
-
Sicurezza informatica
-
Sensori e laser
-
Navigazione e avionica
-
Marina
-
Aerospaziale e propulsione
Come ogni categoria è ampia, la vostra azienda avrebbe probabilmente bisogno di condurre una piccola ricerca o connettersi con un U.S. Department of Commerce, Bureau of Industry and Security (BIS) per determinare se i suoi prodotti rientrano in una di queste categorie. Il BIS è l’agenzia governativa che controlla la regolamentazione e l’applicazione della conformità EAR.
ITAR vs. EAR: come differiscono
È facile dire che l’ITAR copre l’esportazione di tutti i materiali e gli articoli legati alla difesa, e l’EAR copre tutto il resto. Ma, districarsi tra questi regolamenti simili, ma diversi, può richiedere un po’ di tempo. Ora che avete un’idea migliore di cosa copre l’ITAR e cosa copre l’EAR, guardate le tre aree principali in cui questi regolamenti divergono:
-
Organo regolatore: l’ITAR è regolato dal Dipartimento di Stato degli Stati Uniti, Direzione del Controllo del Commercio della Difesa (DDTC), mentre l’EAR è regolato dal Dipartimento del Commercio degli Stati Uniti, Ufficio dell’Industria e della Sicurezza (BIS).
-
Articoli regolati: ITAR copre tutti gli articoli e i servizi della difesa, mentre EAR copre gli articoli e le tecnologie commerciali e a doppio uso.
-
Dove sono elencati gli articoli regolamentati: Potete trovare gli articoli coperti da ITAR sulla United States Munitions List (USML), mentre gli articoli EAR sono elencati sulla Commercial Control List (CCL).
Questo riassunto delle varianti mostra che, sebbene diversi, per molti versi ITAR e EAR sono regolamenti paralleli. E alla fine, entrambi hanno lo stesso obiettivo – proteggere materiali o oggetti sensibili dal cadere in mani sbagliate.
Dove la condivisione dei file e la conformità si incontrano
Probabilmente conoscete già le gravi conseguenze che potrebbero derivare dal mancato rispetto dei regolamenti governativi. Con l’ITAR e l’EAR, il mancato rispetto di uno dei due regolamenti potrebbe costare alla vostra azienda una somma sostanziale in multe e perdita di affari. Si potrebbe anche andare incontro a conseguenze più gravi, come le accuse penali. Quindi, è imperativo avere i controlli in atto per mantenere la conformità.
Uno dei primi passi da fare per salvaguardarsi dalla non conformità è quello di adottare una soluzione di condivisione dei file sicura. Poiché entrambe le normative riguardano non solo l’hardware ma anche i dati, è necessario un modo per condividere quei dati sia internamente che esternamente senza compromettere le informazioni sensibili.
Anche se non si “esporta” in senso tradizionale, è possibile condividere e inviare informazioni ad altre parti. L’esportazione di dati è un evento quotidiano nella maggior parte delle aziende di oggi. Se state inviando informazioni ITAR o EAR sia internamente che ai vostri clienti, dovete stabilire degli standard per mantenere i vostri dati al sicuro, indipendentemente da chi li sta condividendo e con chi li sta condividendo.
Quando usate una soluzione di condivisione file sicura, avete gli strumenti necessari per mantenere i vostri dati al sicuro. ITAR, in particolare, delinea una serie di modi in cui è necessario proteggere i dati, suddivisi in quattro categorie:
-
Controlli di accesso
-
Non accedere ai dati tramite computer pubblici. Le soluzioni di condivisione sicura dei file ti permettono di limitare l’accesso in base all’indirizzo IP, così gli account e i dati sono accessibili solo da computer approvati e sicuri.
-
L’accesso agli account può essere concesso solo attraverso metodi di autenticazione. Questo significa che gli account devono essere protetti con nomi utente, password, chiavi SSH, ecc.
-
I dati regolamentati dall’ITAR devono essere fisicamente protetti. Scegliete un provider FTP che operi in un luogo sicuro.
-
Gestione del sistema
-
Aggiornate regolarmente il software di prevenzione malware. I migliori host FTP gestiranno e aggiorneranno tutte le misure di sicurezza del software.
-
L’hardware che fornisce l’accesso ai dati controllati dovrebbe essere aggiornato con patch di sicurezza e aggiornamenti. Il tuo host di file sharing manterrà la soluzione sicura per te.
-
I supporti elettronici dovrebbero essere cancellati in conformità con NIST 800-88. Le migliori soluzioni di condivisione di file sono conformi a questo mandato, così come la vostra azienda.
-
I dati devono essere criptati quando vengono memorizzati. Questa è una delle funzioni principali di una soluzione di condivisione file sicura. In una soluzione di condivisione file al top, i dati vengono criptati automaticamente.
-
Trasmissione dei dati
-
Non trasmettere dati non criptati. Utilizzando una soluzione di condivisione sicura dei file, gli amministratori possono imporre la crittografia dei dati come requisito di condivisione dei file.
-
Le reti wireless dovrebbero essere criptate. Questo rientra nella responsabilità dell’azienda, non dell’host FTP.
-
Monitorare il traffico in entrata e in uscita. Le soluzioni di condivisione di file leader del settore forniscono registri di attività per mostrare chi sta accedendo ai dati. Puoi anche controllare l’accesso in base al paese e all’indirizzo IP.
-
Rileva le violazioni dei dati quando si verificano. Utilizzando una soluzione di condivisione di file come FTP Today, sarete protetti da misure di rilevamento e prevenzione delle intrusioni per impedire l’accesso non autorizzato.
-
I subappaltatori devono allinearsi alle normative. Come subappaltatore, i migliori host di soluzioni di file sharing garantiscono che i tuoi dati non saranno gestiti male da loro.
-
Software eseguibile su sistemi condivisi
-
Le directory contenenti software avranno permessi di accesso rigorosi. Se scegliete una soluzione FTP come FTP Today, l’host assicura che tutto il software sia contenuto in directory isolate.
-
I log di audit sono abilitati e sottoposti a backup. Il tuo host FTP fornisce registri che vengono conservati finché ne hai bisogno.
-
I sistemi dovrebbero essere gestiti solo da cittadini statunitensi. FTP Today, per esempio, impiega solo cittadini statunitensi per garantire la conformità con questo regolamento.
-
Solo i cittadini statunitensi dovrebbero avere accesso fisico ai sistemi. I migliori host FTP assicurano la sicurezza nelle sedi delle loro infrastrutture fisiche.
In definitiva, il modo migliore per coprire le vostre basi quando si tratta di tutti questi regolamenti è quello di scegliere una soluzione di condivisione di file che può tenervi conformi e i vostri dati sicuri. Un host di condivisione di file può concentrarsi sulle complessità della conformità in relazione alla condivisione di file, e voi potete rivolgere la vostra attenzione al vostro business.
Vuoi saperne di più su come rimanere conforme alle normative ITAR? Esplora questa guida sulla conformità ITAR e il suo impatto sulla condivisione dei dati.