- 2/5/2021
- 5 minute de citit
-
-
r
-
Despre EAR
Departamentul Comerțului din SUA aplică Reglementările privind Administrarea Exporturilor (EAR) prin intermediul Biroului pentru Industrie și Securitate (BIS). EAR reglementează în linii mari și impune controale asupra exportului și reexportului majorității bunurilor comerciale, a software-ului și a tehnologiei, inclusiv a articolelor „cu dublă utilizare” care pot fi utilizate atât în scopuri comerciale, cât și militare și a anumitor articole de apărare.
Orientarea BIS susține că, atunci când datele sau software-ul sunt încărcate în cloud sau transferate între nodurile de utilizator, clientul, nu furnizorul de cloud, este „exportatorul” care are responsabilitatea de a se asigura că transferurile, stocarea și accesul la aceste date sau software respectă EAR.
Potrivit BIS, exportul se referă la transferul de tehnologie sau de date tehnice protejate către o destinație străină sau la eliberarea acestora către o persoană străină în Statele Unite (denumit, de asemenea, export presupus). EAR reglementează în linii mari:
- Exporturile din Statele Unite.
- Reexporturile sau retransferurile de articole de origine americană și anumite articole de origine străină cu un conținut de origine americană mai mare decât o parte de minimis.
- Transferuri sau divulgări către persoane din alte țări.
Articolele care fac obiectul EAR pot fi găsite în Lista de control al comerțului (CCL), unde fiecărui articol i se atribuie un număr unic de clasificare a controlului exporturilor (ECCN). Articolele care nu sunt enumerate pe CCL sunt desemnate ca EAR99 și majoritatea produselor comerciale EAR99 nu vor necesita o licență pentru a fi exportate. Cu toate acestea, în funcție de destinație, de utilizatorul final sau de utilizarea finală a articolului, chiar și un articol EAR99 poate necesita o licență de export BIS.
Regula finală, publicată în iunie 2016, a clarificat faptul că cerințele de acordare a licențelor EAR nu se vor aplica, de asemenea, transmiterii și stocării de date tehnice și software neclasificate dacă acestea au fost criptate de la un capăt la altul utilizând module criptografice validate FIPS 140-2 și nu au fost stocate în mod intenționat într-o țară aflată sub embargo militar sau în Federația Rusă.
Microsoft și EAR
Tehnologiile, produsele și serviciile Microsoft fac obiectul reglementărilor americane privind administrarea exporturilor (EAR). Deși nu există o certificare de conformitate pentru EAR, Microsoft Azure, Microsoft Azure Government și Microsoft Office 365 Government (mediile GCCHigh și DoD) oferă caracteristici și instrumente importante pentru a ajuta clienții eligibili care fac obiectul EAR să gestioneze riscurile de control al exporturilor și să își îndeplinească cerințele de conformitate.
Departamentul Comerțului din SUA, care aplică EAR, a adoptat poziția conform căreia clienții, nu furnizorii de servicii cloud precum Microsoft, sunt considerați a fi exportatori ai datelor propriilor clienți. Deși cele mai multe date ale clienților nu sunt considerate „tehnologie” sau „date tehnice” care fac obiectul controalelor la export EAR, serviciile cloud din sfera de aplicare a Microsoft sunt structurate pentru a ajuta clienții să gestioneze și să reducă în mod semnificativ potențialele riscuri de control al exporturilor cu care se confruntă. Microsoft recomandă, în general, dar nu exclusiv, utilizarea serviciilor sale guvernamentale de cloud pentru clienții eligibili. Cu o planificare adecvată, clienții pot utiliza următoarele instrumente și propriile proceduri interne pentru a contribui la asigurarea conformității depline cu controalele la export din SUA.
- Controale privind localizarea datelor. Clienții au vizibilitate asupra locului în care sunt stocate datele lor și acces la instrumente solide pentru a restricționa stocarea acestora. Prin urmare, aceștia se pot asigura că datele lor sunt stocate în Statele Unite și pot minimiza transferul de tehnologie controlată sau de date tehnice în afara Statelor Unite. În plus, datele clienților nu sunt stocate într-o locație neconformă, în conformitate cu interdicțiile EAR privind locul în care datele sunt „stocate în mod intenționat”: niciun centru de date Azure nu este situat în niciuna dintre cele 25 de țări din Grupul D:5 sau în Federația Rusă.
- Criptare end-to-end. Profitând de sfera de siguranță privind criptarea end-to-end pentru locațiile de stocare fizică specificată în EAR, serviciile cloud Microsoft care intră în sfera de aplicare oferă caracteristici de criptare care pot contribui la protecția împotriva riscurilor legate de controlul exporturilor. De asemenea, acestea oferă clienților o gamă largă de opțiuni de criptare a datelor în tranzit și în repaus, precum și flexibilitatea de a alege între opțiunile de criptare.
- Instrumente și protocoale pentru a preveni exportul presupus neautorizat. Utilizarea criptării ajută, de asemenea, la protejarea împotriva unui potențial export prezumat (sau reexport prezumat) în conformitate cu EAR, deoarece, chiar dacă o persoană din afara SUA are acces la datele criptate, nimic nu este dezvăluit dacă nu poate citi sau înțelege datele în timp ce acestea sunt criptate; astfel, nu există o „eliberare” a datelor controlate.
Servicii cloud Microsoft în domeniul de aplicare
- Azure și Azure Government
- Office 365 Government (GCC-High și DoD)
- Intune
Cum se implementează
Vizualizare generală a controalelor la export din SUA și îndrumări pentru clienții care își evaluează obligațiile în temeiul EAR.
- Azure
- Office 365
Întrebări frecvente
Ce ar trebui să fac pentru a respecta controalele la export atunci când folosesc serviciile Microsoft cloud?
În conformitate cu EAR, atunci când datele sunt încărcate pe un server cloud, cum ar fi Microsoft cloud, clientul care deține datele – nu furnizorul de servicii cloud – este considerat exportatorul. Din acest motiv, proprietarul datelor – adică clientul Microsoft – trebuie să evalueze cu atenție modul în care utilizarea de către acesta a cloud-ului Microsoft poate implica controale la export în SUA și să stabilească dacă oricare dintre datele pe care dorește să le utilizeze sau să le stocheze acolo pot face obiectul controalelor EAR și, în caz afirmativ, ce controale se aplică. Aflați mai multe despre modul în care serviciile cloud Azure și Office 365 pot ajuta clienții să se asigure că respectă pe deplin controalele la export din SUA.
Sunt tehnologiile, produsele și serviciile Microsoft supuse EAR?
Majoritatea tehnologiilor, produselor și serviciilor Microsoft fie:
- Nu fac obiectul EAR și, prin urmare, nu se află pe lista de control al comerțului și nu au ECCN;
- Sau sunt EAR99 sau 5D992 Mass Market-eligibile pentru autoclasificare de către Microsoft și pot fi exportate în țări care nu sunt supuse embargoului fără licență ca No License Required (NLR).
Acestea fiind spuse, câtorva produse Microsoft li s-a atribuit un ECCN care poate necesita sau nu o licență. Consultați EAR sau un consilier juridic pentru a determina tipul de licență adecvat și țările eligibile în scopul exportului.
Care este diferența dintre EAR și International Traffic in Arms Regulations (ITAR)?
Controalele primare ale exporturilor din SUA cu cea mai largă aplicare sunt EAR, administrate de Departamentul de Comerț al SUA. EAR se aplică articolelor cu dublă utilizare care au atât aplicații comerciale, cât și militare, precum și articolelor cu aplicații pur comerciale.
Statele Unite au, de asemenea, reglementări separate și mai specializate privind controlul exporturilor, cum ar fi ITAR, care reglementează cele mai sensibile articole și tehnologii. Administrate de Departamentul de Stat al SUA, acestea impun controale asupra exportului, importului temporar, reexportului și transferului a numeroase articole militare, de apărare și de informații (cunoscute și sub denumirea de „articole de apărare”), inclusiv datele tehnice aferente.
.