Valt uw bedrijf onder de ITAR- of EAR-regelgeving? Als u het niet zeker weet, is het van essentieel belang dat u daar snel achter komt. Anders kunt u te maken krijgen met ernstige gevolgen als u niet aan de voorschriften voldoet. Om te weten te komen aan welke voorschriften uw bedrijf is onderworpen, onderzoekt u wat ITAR en EAR omvatten en hoe een oplossing voor het delen van bestanden naleving gemakkelijker kan maken.
De International Traffic in Arms Regulations (ITAR)
ITAR reguleert de uitvoer van defensieartikelen en -diensten met als doel materialen uit handen van buitenlanders te houden. Deze voorschriften gelden voor zowel overheidsaannemers als onderaannemers, en de artikelen en diensten die onder deze voorschriften vallen, worden geschetst in de United States Munitions List (USML).
Zelfs als uw bedrijf geen raketten of tanks maakt, kunt u nog steeds worden verplicht zich aan te passen aan ITAR. De USML een breed scala van producten, diensten en technische gegevens, zoals voertuigen, munitie, vliegtuigen, en nog veel meer. Maar het omvat ook artikelen die u misschien niet verwacht, zoals militair opleidingsmateriaal, geclassificeerde artikelen, en andere gegevens.
ITAR controleert specifiek de import, export, en tijdelijke import en export van producten, gegevens en diensten die onder de USML vallen. Het verzenden van een ITAR-onderworpen document via e-mail wordt beschouwd als de uitvoer van gegevens, dus bedrijven moeten bijzonder alert zijn op de manier waarop hun gegevens worden gedeeld.
Hoewel het misschien eenvoudig klinkt om USML-onderworpen artikelen beperkt te houden tot alleen goedgekeurde Amerikaanse burgers, kan dit complexer zijn dan het lijkt. Het kan betekenen dat de toegang van een buitenlander, zelfs een in dienst van uw eigen bedrijf, moet worden beperkt om gevoelige hardware en gegevens te beschermen.
De Export Administration Regulations (EAR)
De EAR heeft betrekking op de commerciële component van de import en export van producten en gegevens. Het is van toepassing op producten voor tweeërlei gebruik, die zowel voor commerciële verkoop als voor overheidsgebruik beschikbaar zijn, zoals GPS-systemen of computers met hoge prestaties.
Items onderworpen aan EAR worden opgesomd op de Commercial Control List (CCL) in een paar categorieën van producten of diensten:
-
Nucleaire en Diversen
-
Materialen, chemicaliën, micro-organismen, en toxinen
-
Materialenverwerking
-
Elektronica
-
Computers
-
Telecommunicatie
-
Informatiebeveiliging
-
Sensoren en Lasers
-
Navigatie en Avionica
-
Marine
-
Ruimtevaart en Voortstuwing
Aangezien elk van de categorieën breed is, zou uw bedrijf waarschijnlijk een beetje onderzoek moeten doen of contact opnemen met een U.S. Department of Commerce, Bureau of Industry and Security (BIS) ambtenaar om te bepalen of uw producten vallen in een van deze categorieën.
ITAR vs. EAR: Hoe ze verschillen
Het is gemakkelijk om te zeggen dat ITAR de export van alle defensie-gerelateerde materialen en items dekt, en EAR al het andere. Maar het ontwarren van deze gelijksoortige, maar toch verschillende voorschriften kan enige tijd in beslag nemen. Nu u een beter idee hebt van wat onder ITAR valt en wat onder EAR, kunt u de drie belangrijkste gebieden bekijken waarop deze voorschriften verschillen:
-
Regulerende instantie: ITAR wordt geregeld door het Amerikaanse ministerie van Buitenlandse Zaken, directoraat Defense Trade Controls (DDTC), terwijl EAR wordt geregeld door het Amerikaanse ministerie van Handel, Bureau of Industry and Security (BIS).
-
Gereguleerde producten: ITAR heeft betrekking op alle defensieartikelen en -diensten, terwijl EAR betrekking heeft op commerciële artikelen en technologieën voor tweeërlei gebruik.
-
Waar gereguleerde artikelen zijn opgenomen: Artikelen die onder ITAR vallen, zijn te vinden op de United States Munitions List (USML), terwijl EAR-artikelen zijn opgenomen op de Commercial Control List (CCL).
Uit deze samenvatting van de verschillen blijkt dat ITAR en EAR weliswaar verschillend zijn, maar in veel opzichten parallelle voorschriften zijn. En uiteindelijk hebben zij beide hetzelfde doel – bescherming van gevoelige materialen of voorwerpen tegen het in verkeerde handen vallen.
Waar bestandsdeling en naleving elkaar ontmoeten
U bent waarschijnlijk al op de hoogte van de ernstige gevolgen die het niet naleven van overheidsvoorschriften met zich mee kan brengen. Bij ITAR en EAR kan het niet naleven van een van beide voorschriften uw bedrijf een aanzienlijk bedrag aan boetes en gederfde omzet kosten. U kunt zelfs worden geconfronteerd met ernstiger gevolgen, zoals strafrechtelijke vervolging. Het is dus van het grootste belang dat u de controlemechanismen in huis hebt om aan de voorschriften te blijven voldoen.
Eén van de eerste stappen die u moet nemen om te voorkomen dat u niet aan de voorschriften voldoet, is het implementeren van een veilige oplossing voor het delen van bestanden. Omdat beide voorschriften niet alleen betrekking hebben op hardware, maar ook op gegevens, hebt u een manier nodig om die gegevens zowel intern als extern te delen zonder gevoelige informatie in gevaar te brengen.
Hoewel u misschien niet “exporteert” in de traditionele zin, kunt u informatie delen en verzenden naar andere partijen. Het exporteren van gegevens is vandaag de dag in de meeste bedrijven aan de orde van de dag. Als u ITAR- of EAR-gerelateerde informatie zowel intern als naar uw klanten verstuurt, moet u normen vaststellen om uw gegevens veilig te houden, ongeacht wie ze deelt en met wie ze ze delen.
Wanneer u een oplossing voor het veilig delen van bestanden gebruikt, beschikt u over de hulpmiddelen die nodig zijn om uw gegevens veilig te houden. Met name ITAR geeft een aantal manieren aan waarop u uw gegevens moet beschermen, onderverdeeld in vier categorieën:
-
Toegangscontroles
-
Toegang tot gegevens via openbare computers is niet toegestaan. Met oplossingen voor het veilig delen van bestanden kunt u de toegang beperken op basis van IP-adres, zodat accounts en gegevens alleen toegankelijk zijn vanaf goedgekeurde, veilige computers.
-
Accounttoegang kan alleen worden verleend via verificatiemethoden. Dit betekent dat accounts moeten worden beschermd met gebruikersnamen, wachtwoorden, SSH-sleutels, enzovoort.
-
ITAR-gegevens moeten fysiek worden beschermd. Kies een FTP-provider die vanuit een veilige locatie opereert.
-
Systeembeheer
-
Breng regelmatig updates uit van malware-preventiesoftware. Top FTP-hosts beheren alle softwarebeveiligingsmaatregelen en werken deze bij.
-
Hardware die toegang biedt tot gecontroleerde gegevens, moet zijn voorzien van recente beveiligingspatches en -updates. Uw host voor het delen van bestanden zal de veilige oplossing voor u onderhouden.
-
Elektronische media moeten worden gewist in overeenstemming met NIST 800-88. De beste oplossingen voor het delen van bestanden voldoen aan dit mandaat, en uw bedrijf zou dat ook moeten doen.
-
Gegevens moeten worden gecodeerd wanneer ze worden opgeslagen. Dit is een van de belangrijkste functies van een oplossing voor veilige bestandsdeling. In een topoplossing voor het delen van bestanden worden gegevens automatisch gecodeerd.
-
Overdracht van gegevens
-
Geef geen onversleutelde gegevens door. Met behulp van een oplossing voor het veilig delen van bestanden kunnen beheerders gegevensversleuteling afdwingen als vereiste voor het delen van bestanden.
-
Draadloze netwerken moeten worden versleuteld. Dit valt onder de verantwoordelijkheid van het bedrijf, niet van de FTP-host.
-
Monitoring van inkomend en uitgaand verkeer. Toonaangevende oplossingen voor het delen van bestanden bieden activiteitenlogboeken om te laten zien wie er toegang heeft tot gegevens. U kunt ook de toegang controleren op basis van land en IP-adres.
-
Ontdek inbreuken op gegevens wanneer deze zich voordoen. Met een oplossing voor het delen van bestanden zoals FTP Today wordt u beschermd door maatregelen voor inbraakdetectie en -preventie om ongeoorloofde toegang te voorkomen.
-
Onderaannemers moeten zich aan de regelgeving houden. Als onderaannemer garanderen de beste hosts van oplossingen voor het delen van bestanden dat uw gegevens niet verkeerd worden behandeld.
-
Uit te voeren software op gedeelde systemen
-
Directory’s die software bevatten, hebben strikte toegangsmachtigingen. Als u kiest voor een FTP-oplossing zoals FTP Today, zorgt de host ervoor dat alle software zich in geïsoleerde mappen bevindt.
-
Auditlogs worden ingeschakeld en er wordt een back-up van gemaakt. Uw FTP-host stelt logboeken ter beschikking die worden bewaard zolang u ze nodig hebt.
-
Systemen mogen alleen worden beheerd door Amerikaanse staatsburgers. FTP Today, bijvoorbeeld, heeft alleen Amerikaanse burgers in dienst om ervoor te zorgen dat aan deze regelgeving wordt voldaan.
-
Alleen Amerikaanse burgers zouden fysieke toegang tot systemen moeten hebben. De beste FTP-hosts zorgen voor veiligheid op de locaties van hun fysieke infrastructuren.
Ultimately, the best way to cover your bases when it comes to all of these regulations is to choose a file sharing solution that can keep you compliant and your data secure. Een host voor het delen van bestanden kan zich richten op de complexiteit van compliance met betrekking tot het delen van bestanden, en u kunt uw aandacht weer op uw bedrijf richten.
Wilt u meer weten over hoe u compliant kunt blijven met de ITAR-regelgeving? Bekijk deze gids over ITAR-compliance en de gevolgen ervan voor het delen van gegevens.