- 2/5/2021
- 5 minut na przeczytanie
-
- r
O EAR
Regulacje eksportowe (EAR) są egzekwowane przez Departament Handlu USA za pośrednictwem Biura Przemysłu i Bezpieczeństwa (BIS). EAR szeroko reguluje i nakłada kontrole na eksport i reeksport większości towarów handlowych, oprogramowania i technologii, w tym produktów „podwójnego zastosowania”, które mogą być używane zarówno do celów handlowych, jak i wojskowych, oraz niektórych produktów obronnych.
Wskazówki BIS stwierdzają, że gdy dane lub oprogramowanie są przesyłane do chmury lub przekazywane między węzłami użytkownika, klient, a nie dostawca chmury, jest „eksporterem”, który jest odpowiedzialny za zapewnienie, aby przesyłanie, przechowywanie i dostęp do tych danych lub oprogramowania było zgodne z EAR.
Według BIS eksport odnosi się do przekazywania chronionej technologii lub danych technicznych do miejsca przeznaczenia za granicą lub ich udostępniania osobie zagranicznej w Stanach Zjednoczonych (określany również jako uznany eksport). EAR w szerokim zakresie reguluje:
- Wywóz ze Stanów Zjednoczonych.
- Reeksport lub ponowne przekazywanie produktów pochodzących z USA oraz niektórych produktów pochodzących z zagranicy, zawierających więcej niż minimalną część zawartości pochodzącej z USA.
- Przekazywanie lub ujawnianie osobom z innych krajów.
Przedmioty podlegające EAR można znaleźć na Liście Kontroli Handlowej (CCL), gdzie każdemu przedmiotowi przypisany jest unikalny Numer Klasyfikacyjny Kontroli Eksportu (ECCN). Pozycje niewymienione na liście CCL są oznaczone jako EAR99 i większość produktów handlowych objętych EAR99 nie wymaga licencji na eksport. Jednak w zależności od miejsca przeznaczenia, użytkownika końcowego lub końcowego zastosowania przedmiotu, nawet przedmiot EAR99 może wymagać licencji eksportowej BIS.
Przepis końcowy, opublikowany w czerwcu 2016 r., wyjaśnił, że wymagania licencyjne EAR nie miałyby również zastosowania do przesyłania i przechowywania jawnych danych technicznych i oprogramowania, jeśli zostały one zaszyfrowane end-to-end przy użyciu modułów kryptograficznych zatwierdzonych przez FIPS 140-2 i nie były celowo przechowywane w kraju objętym embargiem wojskowym lub w Federacji Rosyjskiej.
Microsoft i EAR
Technologie, produkty i usługi firmy Microsoft podlegają amerykańskim przepisom eksportowym (EAR). Chociaż nie ma certyfikatu zgodności z EAR, Microsoft Azure, Microsoft Azure Government i Microsoft Office 365 Government (środowiska GCCHigh i DoD) oferują ważne funkcje i narzędzia, aby pomóc uprawnionym klientom podlegającym EAR w zarządzaniu ryzykiem kontroli eksportu i spełnianiu wymogów zgodności.
Departament Handlu USA, który egzekwuje EAR, zajął stanowisko, że klienci, a nie dostawcy usług w chmurze, tacy jak Microsoft, są uważani za eksporterów własnych danych klientów. Chociaż większość danych klientów nie jest uważana za „technologię” lub „dane techniczne” podlegające kontroli eksportu EAR, usługi w chmurze Microsoftu objęte zakresem są skonstruowane tak, aby pomóc klientom w zarządzaniu i znacznym ograniczeniu potencjalnego ryzyka kontroli eksportu, na jakie są narażeni. Microsoft generalnie, ale nie wyłącznie, zaleca korzystanie ze swoich rządowych usług w chmurze uprawnionym klientom. Przy odpowiednim planowaniu klienci mogą korzystać z następujących narzędzi i własnych procedur wewnętrznych, aby zapewnić pełną zgodność z amerykańską kontrolą eksportu.
- Kontrole lokalizacji danych. Klienci mają wgląd w to, gdzie są przechowywane ich dane, oraz dostęp do solidnych narzędzi ograniczających ich przechowywanie. Mogą zatem zapewnić, że ich dane są przechowywane w Stanach Zjednoczonych i zminimalizować transfer kontrolowanej technologii lub danych technicznych poza Stany Zjednoczone. Ponadto dane klientów nie są przechowywane w lokalizacji niezgodnej z przepisami, zgodnie z zakazami EAR dotyczącymi miejsc, w których dane są „celowo przechowywane”: żadne centrum danych Azure nie znajduje się w żadnym z 25 krajów grupy D:5 ani w Federacji Rosyjskiej.
- Szyfrowanie end-to-end. Korzystając z bezpiecznej przystani dla szyfrowania typu „end-to-end” w odniesieniu do fizycznych miejsc przechowywania określonych w EAR, usługi chmury obliczeniowej Microsoft objęte zakresem zapewniają funkcje szyfrowania, które mogą pomóc w ochronie przed ryzykiem związanym z kontrolą eksportu. Oferują one również klientom szeroki zakres opcji szyfrowania danych w tranzycie i w stanie spoczynku oraz elastyczność w wyborze opcji szyfrowania.
- Narzędzia i protokoły zapobiegające nieautoryzowanemu uznanemu eksportowi. Stosowanie szyfrowania pomaga również chronić przed potencjalnym domniemanym eksportem (lub domniemanym powrotnym eksportem) na mocy EAR, ponieważ nawet jeśli osoba spoza Stanów Zjednoczonych ma dostęp do zaszyfrowanych danych, nic nie zostaje ujawnione, jeśli nie może ona odczytać lub zrozumieć danych, gdy są one zaszyfrowane; nie dochodzi zatem do „uwolnienia” kontrolowanych danych.
Usługi chmurowe Microsoftu objęte zakresem
- Azure i Azure Government
- Office 365 Government (GCC-High i DoD)
- Intune
Jak wdrożyć
Przegląd amerykańskich kontroli eksportu i wskazówki dla klientów oceniających swoje zobowiązania w ramach EAR.
- Azure
- Office 365
Często zadawane pytania
Co powinienem zrobić, aby zachować zgodność z kontrolą eksportu podczas korzystania z usług w chmurze firmy Microsoft?
Według EAR, gdy dane są przesyłane do serwera w chmurze, takiego jak chmura firmy Microsoft, klient, który jest właścicielem danych – a nie dostawca usług w chmurze – jest uważany za eksportera. Z tego powodu właściciel danych – czyli klient Microsoft – musi dokładnie ocenić, w jaki sposób korzystanie z chmury Microsoft może wpłynąć na amerykańskie kontrole eksportu i ustalić, czy jakiekolwiek dane, których chce używać lub które chce przechowywać, mogą podlegać kontroli EAR, a jeśli tak, to jakie kontrole mają zastosowanie. Dowiedz się więcej o tym, jak usługi w chmurze Azure i Office 365 mogą pomóc klientom w zapewnieniu pełnej zgodności z amerykańską kontrolą eksportu.
Czy technologie, produkty i usługi firmy Microsoft podlegają kontroli EAR?
Większość technologii, produktów i usług firmy Microsoft:
- Nie podlegają przepisom EAR, a zatem nie znajdują się na liście kontroli handlu i nie mają numeru ECCN;
- Albo są produktami EAR99 lub 5D992 przeznaczonymi na rynek masowy, które kwalifikują się do samodzielnej klasyfikacji przez firmę Microsoft i mogą być eksportowane do krajów nieobjętych embargiem bez licencji jako niewymagające licencji (NLR).
Jednakże kilka produktów firmy Microsoft ma przypisany numer ECCN, który może, ale nie musi wymagać licencji. Aby określić odpowiedni typ licencji i kraje kwalifikujące się do eksportu, należy zapoznać się z EAR lub skorzystać z porady prawnej.
Jaka jest różnica między EAR a przepisami dotyczącymi międzynarodowego obrotu bronią (ITAR)?
Podstawową amerykańską regulacją eksportu o najszerszym zastosowaniu jest EAR, zarządzana przez Departament Handlu USA. EAR ma zastosowanie do produktów podwójnego zastosowania, które mają zarówno zastosowania komercyjne, jak i wojskowe, oraz do produktów o zastosowaniach czysto komercyjnych.
Stany Zjednoczone posiadają również odrębne i bardziej wyspecjalizowane przepisy dotyczące kontroli eksportu, takie jak ITAR, które regulują kwestie najbardziej wrażliwych produktów i technologii. Zarządzane przez Departament Stanu USA, nakładają one kontrolę na eksport, import czasowy, reeksport i transfer wielu produktów wojskowych, obronnych i wywiadowczych (znanych również jako „artykuły obronne”), w tym powiązanych danych technicznych.
.