- 2/5/2021
- 5 minut ke čtení
-
- r
O předpisech EAR
Ministerstvo obchodu USA prosazuje předpisy pro správu vývozu (EAR) prostřednictvím Úřadu pro průmysl a bezpečnost (BIS). EAR obecně upravuje a ukládá kontroly vývozu a zpětného vývozu většiny obchodního zboží, softwaru a technologií, včetně zboží „dvojího užití“, které lze použít jak pro obchodní, tak pro vojenské účely, a některých položek obranného zboží.
Podle pokynů BIS je v případě nahrávání dat nebo softwaru do cloudu nebo jejich přenosu mezi uživatelskými uzly „vývozcem“ zákazník, nikoli poskytovatel cloudu, který je povinen zajistit, aby přenosy, ukládání a přístup k těmto datům nebo softwaru byly v souladu s nařízením EAR.
Podle BIS se vývozem rozumí přenos chráněné technologie nebo technických údajů do zahraničí nebo jejich vydání zahraniční osobě ve Spojených státech (označované také jako domnělý vývoz). EAR obecně upravuje:
- Vývoz ze Spojených států.
- Zpětný vývoz nebo zpětný převod položek původem z USA a některých položek původem ze zahraničí s větším než minimálním podílem obsahu původem z USA.
- Převody nebo zpřístupnění osobám z jiných zemí.
Předměty podléhající EAR lze nalézt na obchodním kontrolním seznamu (CCL), kde je každé položce přiděleno jedinečné číslo klasifikace kontroly vývozu (ECCN). Položky, které nejsou uvedeny na seznamu CCL, jsou označeny jako EAR99 a většina komerčních produktů EAR99 nevyžaduje k vývozu licenci. Nicméně v závislosti na místě určení, koncovém uživateli nebo konečném použití položky může i položka EAR99 vyžadovat vývozní licenci BIS.
Konečné pravidlo zveřejněné v červnu 2016 objasnilo, že požadavky na licence EAR se nebudou vztahovat ani na přenos a uchovávání neutajovaných technických dat a softwaru, pokud budou zašifrovány end-to-end pomocí kryptografických modulů validovaných podle standardu FIPS 140-2 a nebudou záměrně uchovávány v zemi s vojenským embargem nebo v Ruské federaci.
Microsoft a EAR
Technologie, produkty a služby společnosti Microsoft podléhají předpisům USA pro správu vývozu (EAR). Ačkoli pro EAR neexistuje žádná certifikace shody, Microsoft Azure, Microsoft Azure Government a Microsoft Office 365 Government (prostředí GCCHigh a DoD) nabízejí důležité funkce a nástroje, které oprávněným zákazníkům podléhajícím EAR pomáhají řídit rizika kontroly vývozu a plnit jejich požadavky na shodu.
Ministerstvo obchodu USA, které prosazuje EAR, zaujalo stanovisko, že za vývozce vlastních zákaznických dat jsou považováni zákazníci, nikoli poskytovatelé cloudových služeb, jako je Microsoft. Ačkoli většina údajů zákazníků není považována za „technologii“ nebo „technické údaje“ podléhající kontrole vývozu podle nařízení EAR, cloudové služby společnosti Microsoft v oblasti působnosti jsou strukturovány tak, aby zákazníkům pomáhaly řídit a výrazně zmírňovat potenciální rizika kontroly vývozu, kterým čelí. Společnost Microsoft obecně, nikoli však výhradně, doporučuje oprávněným zákazníkům využívat její vládní cloudové služby. Při vhodném plánování mohou zákazníci využít následující nástroje a vlastní interní postupy, které jim pomohou zajistit plný soulad s kontrolami vývozu USA.
- Kontroly umístění dat. Zákazníci mají přehled o tom, kde jsou jejich data uložena, a přístup k robustním nástrojům pro omezení jejich ukládání. Mohou tedy zajistit, aby jejich data byla uložena ve Spojených státech, a minimalizovat přenos kontrolovaných technologií nebo technických údajů mimo Spojené státy. Data zákazníků navíc nejsou uložena na nevyhovujícím místě, což je v souladu se zákazy EAR týkajícími se místa, kde jsou data „záměrně uložena“: žádné datové centrum Azure se nenachází v žádné z 25 zemí skupiny D:5 ani v Ruské federaci.
- Šifrování end-to-end. Využitím bezpečného přístavu koncového šifrování pro místa fyzického ukládání dat uvedeného v EAR poskytují cloudové služby společnosti Microsoft v oblasti působnosti funkce šifrování, které mohou pomoci chránit před riziky kontroly vývozu. Nabízejí také zákazníkům širokou škálu možností šifrování dat při přenosu a v klidovém stavu a flexibilitu při výběru mezi možnostmi šifrování.
- Nástroje a protokoly pro prevenci neoprávněného uvažovaného vývozu. Použití šifrování také pomáhá chránit před potenciálním domnělým vývozem (nebo domnělým zpětným vývozem) podle nařízení EAR, protože i když má k zašifrovaným datům přístup osoba mimo USA, nic se neprozradí, pokud nemůže data přečíst nebo jim porozumět, dokud jsou zašifrovaná; nedochází tedy k „uvolnění“ kontrolovaných dat.
Cloudové služby společnosti Microsoft v působnosti
- Azure a Azure Government
- Office 365 Government (GCC-High a DoD)
- Intune
Jak implementovat
Přehled kontrol vývozu do USA a pokyny pro zákazníky, kteří posuzují své povinnosti podle EAR.
- Azure
- Office 365
Často kladené otázky
Co mám dělat, abych při používání cloudových služeb společnosti Microsoft dodržel/a vývozní kontroly?
Podle nařízení EAR se při nahrávání dat na cloudový server, jako je cloud společnosti Microsoft, za vývozce považuje zákazník, který data vlastní – nikoli poskytovatel cloudových služeb. Z tohoto důvodu musí vlastník dat – tedy zákazník společnosti Microsoft – pečlivě posoudit, jak může jeho používání cloudu společnosti Microsoft ovlivnit kontrolu vývozu do USA, a určit, zda některá data, která tam chce používat nebo ukládat, mohou podléhat kontrole EAR, a pokud ano, jaká kontrola se na ně vztahuje. Přečtěte si více o tom, jak mohou cloudové služby Azure a Office 365 pomoci zákazníkům zajistit plný soulad s vývozními kontrolami USA.
Podléhají technologie, produkty a služby společnosti Microsoft nařízení EAR?
Většina technologií, produktů a služeb společnosti Microsoft buď:
- Nepodléhají EAR, a proto nejsou uvedeny na obchodním kontrolním seznamu a nemají ECCN;
- nebo jsou EAR99 nebo 5D992 Mass Market způsobilé pro vlastní klasifikaci společnosti Microsoft a mohou být vyváženy do zemí, na které není uvaleno embargo, bez licence jako No License Required (NLR).
To znamená, že několika produktům společnosti Microsoft bylo přiděleno ECCN, které mohou, ale nemusí vyžadovat licenci. Pro určení vhodného typu licence a zemí způsobilých pro účely vývozu se poraďte s EAR nebo právním poradcem.
Jaký je rozdíl mezi EAR a ITAR (International Traffic in Arms Regulations)?
Primární americkou vývozní kontrolou s nejširší působností je EAR, kterou spravuje americké ministerstvo obchodu. EAR se vztahuje na zboží dvojího užití, které má komerční i vojenské využití, a na zboží s čistě komerčním využitím.
V USA existují také samostatné a specializovanější předpisy pro kontrolu vývozu, jako je ITAR, které upravují nejcitlivější zboží a technologie. Tyto předpisy, které spravuje ministerstvo zahraničí USA, zavádějí kontrolu vývozu, dočasného dovozu, zpětného vývozu a transferu mnoha vojenských, obranných a zpravodajských položek (známých také jako „obranné výrobky“), včetně souvisejících technických údajů.
.