- 2/5/2021
- 5 perc olvasás
-
- r
Az EAR-ról
Az USA Kereskedelmi Minisztériuma az Ipari és Biztonsági Hivatalon (BIS) keresztül érvényesíti az Export Administration Regulations (EAR) előírásait. Az EAR széles körben szabályozza és ellenőrzi a legtöbb kereskedelmi áru, szoftver és technológia kivitelét és újrakivitelét, beleértve a kereskedelmi és katonai célokra egyaránt felhasználható “kettős felhasználású” termékeket és bizonyos védelmi termékeket.
A BIS iránymutatása szerint, amikor adatokat vagy szoftvereket töltenek fel a felhőbe vagy továbbítanak a felhasználói csomópontok között, az ügyfél, nem pedig a felhőszolgáltató az “exportőr”, aki felelős annak biztosításáért, hogy az adatok vagy szoftverek átadása, tárolása és az azokhoz való hozzáférés megfeleljen az EAR-nak.
A BIS szerint az export a védett technológia vagy műszaki adatok külföldi rendeltetési helyre történő továbbítására vagy az Egyesült Államokban külföldi személynek történő kiadására utal (más néven kváziexport). Az EAR széles körben szabályozza:
- Az Egyesült Államokból történő kivitelt.
- Az USA-ból származó termékek és bizonyos külföldi eredetű, de minimis résznél nagyobb mértékben USA-ból származó termékek újrakivitele vagy újbóli átadása.
- Más országbeli személyek részére történő átadás vagy átadás.
Az EAR hatálya alá tartozó tételek megtalálhatók a kereskedelmi ellenőrzési listán (CCL), ahol minden egyes tételhez egyedi exportellenőrzési besorolási számot (ECCN) rendelnek. A CCL-ben nem szereplő tételek EAR99-nek minősülnek, és a legtöbb EAR99 kereskedelmi termék kivitele nem igényel engedélyt. A rendeltetési helytől, a végfelhasználótól vagy a termék végső felhasználásától függően azonban még egy EAR99 termékhez is szükség lehet a BIS kiviteli engedélyére.
A 2016 júniusában közzétett végleges szabály egyértelművé tette, hogy az EAR engedélyezési követelményei nem vonatkoznak a nem minősített műszaki adatok és szoftverek továbbítására és tárolására sem, ha azokat végponttól végpontig FIPS 140-2 hitelesített kriptográfiai modulokkal titkosították, és azokat nem szándékosan katonai embargó alatt álló országban vagy az Orosz Föderációban tárolták.
Microsoft és az EAR
A Microsoft technológiái, termékei és szolgáltatásai az Egyesült Államok exportadminisztrációs szabályzatának (EAR) hatálya alá tartoznak. Bár az EAR-ra vonatkozóan nincs megfelelőségi tanúsítvány, a Microsoft Azure, a Microsoft Azure Government és a Microsoft Office 365 Government (GCCHigh és DoD környezetek) fontos funkciókat és eszközöket kínál, amelyek segítenek az EAR hatálya alá tartozó jogosult ügyfeleknek az exportellenőrzési kockázatok kezelésében és a megfelelőségi követelmények teljesítésében.
Az EAR-t végrehajtó amerikai Kereskedelmi Minisztérium azon az állásponton van, hogy az ügyfelek, és nem a felhőszolgáltatók, mint például a Microsoft, saját ügyféladataik exportőrének minősülnek. Bár a legtöbb ügyféladat nem minősül az EAR exportellenőrzés hatálya alá tartozó “technológiának” vagy “műszaki adatnak”, a Microsoft hatálya alá tartozó felhőszolgáltatások úgy vannak felépítve, hogy segítsenek az ügyfeleknek kezelni és jelentősen csökkenteni az őket érintő potenciális exportellenőrzési kockázatokat. A Microsoft általában, de nem kizárólagosan ajánlja kormányzati felhőszolgáltatásainak használatát a jogosult ügyfelek számára. Megfelelő tervezéssel az ügyfelek az alábbi eszközökkel és saját belső eljárásaikkal segíthetik az amerikai exportellenőrzéseknek való teljes körű megfelelést.
- Az adatok helyének ellenőrzése. Az ügyfelek rálátással rendelkeznek arra, hogy hol tárolják adataikat, és hozzáférnek a tárolás korlátozására szolgáló robusztus eszközökhöz. Ezért biztosíthatják, hogy adataikat az Egyesült Államokban tárolják, és minimalizálhatják az ellenőrzött technológia vagy műszaki adatok Egyesült Államokon kívüli továbbítását. Továbbá, az ügyfelek adatait nem tárolják nem megfelelő helyen, összhangban az EAR-nak az adatok “szándékos tárolásának” helyére vonatkozó tilalmaival: az Azure egyetlen adatközpontja sem található a 25 D:5 csoportba tartozó ország vagy az Orosz Föderáció egyikében sem.
- Végponttól végpontig terjedő titkosítás. Az EAR-ban meghatározott, a fizikai tárolási helyekre vonatkozó végponttól végpontig terjedő titkosítás biztonságos kikötőjének kihasználásával a Microsoft hatálya alá tartozó felhőszolgáltatások olyan titkosítási funkciókat biztosítanak, amelyek segíthetnek az exportellenőrzési kockázatok elleni védelemben. Emellett az ügyfeleknek számos lehetőséget kínálnak az adatok szállítás közbeni és nyugalmi titkosítására, valamint a titkosítási lehetőségek közötti rugalmas választási lehetőséget.
- Eszközök és protokollok a jogosulatlannak vélt export megakadályozására. A titkosítás használata segít az EAR szerinti potenciális kváziexport (vagy kvázi reexport) elleni védelemben is, mivel még ha egy nem amerikai személy hozzáfér a titkosított adatokhoz, akkor sem derül ki semmi, ha nem tudja elolvasni vagy megérteni az adatokat, amíg azok titkosítva vannak; így nem történik meg az ellenőrzött adatok “kiadása”.
Microsoft hatálya alá tartozó felhőszolgáltatások
- Azure és Azure Government
- Office 365 Government (GCC-High és DoD)
- Intune
How to implement
Áttekintés az amerikai exportellenőrzésekről és iránymutatás az EAR szerinti kötelezettségeiket felmérő ügyfelek számára.
- Azure
- Office 365
Gyakran ismételt kérdések
Mit kell tennem az exportellenőrzések betartása érdekében a Microsoft felhőszolgáltatások használata esetén?
Az EAR értelmében, amikor az adatokat egy felhőszerverre, például a Microsoft felhőjére töltik fel, az ügyfél, aki az adatok tulajdonosa – nem a felhőszolgáltató – tekinthető exportőrnek. Emiatt az adatok tulajdonosának – azaz a Microsoft-ügyfélnek – gondosan fel kell mérnie, hogy a Microsoft felhőjének használata milyen hatással lehet az amerikai exportellenőrzésekre, és meg kell határoznia, hogy az ott használni vagy tárolni kívánt adatok az EAR ellenőrzése alá tartozhatnak-e, és ha igen, milyen ellenőrzéseket kell alkalmazni. Tudjon meg többet arról, hogy az Azure és az Office 365 felhőszolgáltatások hogyan segíthetnek az ügyfeleknek abban, hogy teljes mértékben megfeleljenek az amerikai exportellenőrzéseknek.
A Microsoft technológiái, termékei és szolgáltatásai az EAR hatálya alá tartoznak?
A legtöbb Microsoft technológia, termék és szolgáltatás vagy:
- nem tartozik az EAR hatálya alá, így nem szerepel a kereskedelmi ellenőrzési listán, és nincs ECCN-je;
- vagy az EAR99 vagy 5D992 tömegpiacra alkalmas, a Microsoft általi önbesorolásra, és engedély nélkül, No License Required (NLR) néven exportálható a nem embargós országokba.
Ezzel együtt néhány Microsoft-termékhez olyan ECCN-t rendeltek, amelyhez engedély szükséges vagy nem szükséges. A megfelelő engedélytípus és az exportra jogosult országok meghatározásához forduljon az EAR-hoz vagy jogi tanácsadójához.
Mi a különbség az EAR és a Nemzetközi Fegyverkereskedelmi Szabályzat (ITAR) között?
A legszélesebb körűen alkalmazandó elsődleges amerikai exportellenőrzés az EAR, amelyet az Egyesült Államok Kereskedelmi Minisztériuma kezel. Az EAR a kettős felhasználású, kereskedelmi és katonai célú termékekre, valamint a tisztán kereskedelmi célú termékekre vonatkozik.
Az Egyesült Államoknak vannak külön, speciálisabb exportellenőrzési szabályai is, például az ITAR, amely a legérzékenyebb termékekre és technológiákra vonatkozik. Az Egyesült Államok Külügyminisztériuma által kezelt szabályozás számos katonai, védelmi és hírszerzési cikk (más néven “védelmi cikkek”) kivitelét, ideiglenes behozatalát, újrakivitelét és átadását ellenőrzi, beleértve a kapcsolódó műszaki adatokat is.