- 2/5/2021
- 5 minutos para ler
-
- r
Sobre a EAR
O Departamento de Comércio dos EUA aplica o Export Administration Regulations (EAR) através do Bureau of Industry and Security (BIS). A AER rege e impõe controles sobre a exportação e reexportação da maioria dos bens comerciais, software e tecnologia, incluindo itens de “dupla utilização” que podem ser usados tanto para fins comerciais como militares e certos itens de defesa.
A orientação do BIS sustenta que, quando dados ou software são carregados na nuvem ou transferidos entre nós do usuário, o cliente, não o fornecedor da nuvem, é o “exportador” que tem a responsabilidade de garantir que as transferências, armazenamento e acesso a esses dados ou software estejam em conformidade com a EAR.
De acordo com o BIS, exportação refere-se à transferência de tecnologia protegida ou dados técnicos para um destino estrangeiro ou sua liberação para uma pessoa estrangeira nos Estados Unidos (também referido como uma exportação considerada). A AER rege amplamente:
- Exportações dos Estados Unidos.
- Reexportações ou retransferências de itens de origem americana e certos itens de origem estrangeira com mais do que uma porção de minimis de conteúdo de origem americana.
- Transferências ou divulgações a pessoas de outros países.
Itens sujeitos à EAR podem ser encontrados na Lista de Controle de Comércio (CCL) onde cada item é atribuído um Número de Classificação de Controle de Exportação (ECCN) único. Os itens não listados na CCL são designados como EAR99 e a maioria dos produtos comerciais EAR99 não necessitarão de uma licença para serem exportados. Entretanto, dependendo do destino, usuário final ou uso final do item, mesmo um item EAR99 pode requerer uma licença de exportação BIS.
A regra final, publicada em junho de 2016, esclareceu que os requisitos de licenciamento EAR também não se aplicariam à transmissão e armazenamento de dados técnicos e software não classificados se eles fossem criptografados de ponta a ponta usando módulos criptográficos validados FIPS 140-2 e não fossem armazenados intencionalmente em um país com embargo militar ou na Federação Russa.
Microsoft e a EAR
As tecnologias, produtos e serviços da Microsoft estão sujeitos à Regulamentação da Administração de Exportação dos EUA (EAR). Embora não haja certificação de conformidade para o EAR, Microsoft Azure, Microsoft Azure Government e Microsoft Office 365 Government (ambientes GCCHigh e DoD) oferecem recursos e ferramentas importantes para ajudar os clientes elegíveis sujeitos ao EAR a gerenciar riscos de controle de exportação e cumprir seus requisitos de conformidade.
O Departamento de Comércio dos EUA, que aplica o EAR, assumiu a posição de que os clientes, e não fornecedores de serviços em nuvem como a Microsoft, são considerados exportadores de seus próprios dados de clientes. Enquanto a maioria dos dados dos clientes não é considerada “tecnologia” ou “dados técnicos” sujeitos aos controles de exportação EAR, os serviços em nuvem da Microsoft são estruturados para ajudar os clientes a gerenciar e mitigar significativamente os riscos potenciais de controle de exportação que eles enfrentam. A Microsoft geralmente, mas não exclusivamente, recomenda o uso de seus serviços em nuvem do governo para clientes elegíveis. Com planejamento apropriado, os clientes podem usar as seguintes ferramentas e seus próprios procedimentos internos para ajudar a garantir a total conformidade com os controles de exportação dos EUA.
- Controles de localização de dados. Os clientes têm visibilidade sobre onde seus dados são armazenados e acesso a ferramentas robustas para restringir seu armazenamento. Eles podem, portanto, garantir que seus dados sejam armazenados nos Estados Unidos e minimizar a transferência de tecnologia controlada ou dados técnicos fora dos Estados Unidos. Além disso, os dados dos clientes não são armazenados em um local não-conforme, consistente com as proibições EAR sobre onde os dados são “intencionalmente armazenados”: nenhum centro de dados Azure está localizado em qualquer um dos 25 países do Grupo D:5 ou da Federação Russa.
- Encriptação de ponta a ponta. Aproveitando o porto seguro de criptografia de ponta a ponta para locais de armazenamento físico especificados na EAR, os serviços em nuvem da Microsoft no escopo fornecem recursos de criptografia que podem ajudar a proteger contra riscos de controle de exportação. Eles também oferecem aos clientes uma ampla gama de opções para criptografia de dados em trânsito e em repouso, e a flexibilidade de escolher entre opções de criptografia.
- Ferramentas e protocolos para impedir a exportação não autorizada. O uso da criptografia também ajuda a proteger contra uma potencial exportação considerada (ou reexportação considerada) sob a EAR, porque mesmo que uma pessoa não americana tenha acesso aos dados criptografados, nada é revelado se ela não puder ler ou entender os dados enquanto eles estão criptografados; assim, não há “liberação” de dados controlados.
Microsoft in-scope cloud services
- Azure and Azure Government
- Office 365 Government (GCC-High and DoD)
- Intune
Como implementar
Overvisão dos controlos de exportação dos EUA e orientação para os clientes que avaliam as suas obrigações ao abrigo da AER.
- Azure
- Office 365
Perguntas frequentes
O que devo fazer para cumprir com os controles de exportação ao usar os serviços em nuvem da Microsoft?
Onde, quando os dados são carregados em um servidor em nuvem como a nuvem da Microsoft, o cliente que possui os dados – não o provedor de serviços em nuvem – é considerado o exportador. Por esse motivo, o proprietário dos dados – ou seja, o cliente Microsoft – deve avaliar cuidadosamente como o seu uso da nuvem da Microsoft pode implicar controles de exportação dos EUA e determinar se algum dos dados que eles querem usar ou armazenar lá pode estar sujeito a controles EAR, e se assim for, quais controles se aplicam. Saiba mais sobre como os serviços em nuvem do Azure e Office 365 podem ajudar os clientes a garantir sua total conformidade com os controles de exportação dos EUA.
As tecnologias, produtos e serviços da Microsoft estão sujeitos aos controles EAR?
A maioria das tecnologias, produtos e serviços da Microsoft:
- Não estão sujeitos à EAR e, portanto, não estão na Lista de Controle de Comércio e não têm ECCN;
- Or são EAR99 ou 5D992 Mass Market-eligíveis para auto-classificação pela Microsoft e podem ser exportados para países não embargados sem uma licença como No License Required (NLR).
Dito isto, alguns produtos Microsoft receberam uma ECCN que pode ou não requerer uma licença. Consulte a EAR ou o consultor jurídico para determinar o tipo de licença apropriado e os países elegíveis para fins de exportação.
Qual é a diferença entre a EAR e o International Traffic in Arms Regulations (ITAR)?
Os principais controles de exportação dos EUA com a aplicação mais ampla são a EAR, administrada pelo Departamento de Comércio dos EUA. O EAR é aplicável a itens de dupla utilização que têm aplicações comerciais e militares, e a itens com aplicações puramente comerciais.
Os Estados Unidos também têm regulamentações de controle de exportação separadas e mais especializadas, como o ITAR, que rege os itens e tecnologia mais sensíveis. Administrados pelo Departamento de Estado dos EUA, eles impõem controles sobre a exportação, importação temporária, reexportação e transferência de muitos itens militares, de defesa e de inteligência (também conhecidos como “artigos de defesa”), incluindo dados técnicos relacionados.