Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais
Blog Segurança de Dados

A diferença entre o Active Directory e o LDAP

O ITAR regula a fabricação, venda e distribuição de hardwares, dados e documentações militares, de defesa e espaciais. Aqui está uma lista dos requisitos e penalidades de conformidade do ITAR que você precisa saber.
Michael Buckbee
4 minuto de leitura
Ultima atualização 3 de Março de 2023

Conteúdo

    O International Traffic in Arms Regulations (ITAR) é o regulamento dos Estados Unidos que controla a fabricação, venda e distribuição de itens e serviços relacionados à defesa e ao espaço, conforme definido na United States Munitions List (USML).

    Além de lançadores de foguetes, torpedos e outros equipamentos militares, a lista também descreve planos, diagramas, imagens e outras documentações usadas para produzir equipamentos militares controlados pelo ITAR. Esse material é referido pelo ITAR como “dados técnicos”.

    Receba o guia essencial gratuito para conformidade e regulamentação de proteção de dados dos EUA.

    O ITAR exige que o acesso a materiais físicos ou dados técnicos relacionados a tecnologias militares e de defesa seja restrito apenas a cidadãos dos EUA. Como uma empresa pode garantir que apenas cidadãos dos EUA acessem dados pela rede em conformidade com o ITAR? Limitar o acesso a materiais físicos é simples, mas, para dados digitais, as coisas ficam um pouco mais complicadas.

    Quem deve cumprir a conformidade com o ITAR?

    quem deve cumprir a conformidade com o ITAR?

    Todas as empresas que gerenciam, fabricam, projetam, vendem ou distribuem itens listados na USML devem estar em conformidade com o ITAR. A Direção de Controles Comerciais de Defesa (DDTC) do Departamento de Estado dos Estados Unidos gerencia a lista de empresas que podem comercializar bens e serviços da USML, enquanto a criação de políticas voltadas para o cumprimento dos regulamentos do ITAR é de responsabilidade de cada empresa.

    • Atacadistas
    • Distribuidores
    • Fornecedores de softwares/hardwares de computador
    • Fornecedores terceirizados
    • Prestadores de serviços

    Todas as empresas da cadeia de fornecimento precisam estar em conformidade com o ITAR. Se a empresa A vende uma peça para a empresa B e, em seguida, a empresa B vende a mesma peça a uma potência estrangeira, a empresa A também viola o ITAR.

    Regulamentos do ITAR

    Os regulamentos do ITAR são simples: somente cidadãos dos EUA podem ter acesso aos itens da lista USML.

    As regras do ITAR representam um desafio para muitas empresas dos EUA. Uma empresa sediada nos EUA com operações no exterior está proibida de compartilhar dados técnicos do ITAR com funcionários locais, a menos que o Departamento de Estado autorize. O mesmo princípio se aplica quando empresas americanas trabalham com subcontratados de outros países.

    O Departamento de Estado pode emitir isenções a essa regra, e já existem algumas isenções estabelecidas para fins específicos. Um exemplo são alguns países que atualmente têm contratos com os EUA que cumprem o ITAR, como a Austrália, o Canadá e o Reino Unido.

    O governo dos EUA exige ter em vigor e implementar um programa de conformidade com o ITAR documentado, que deve incluir rastreamento, monitoramento e auditoria de dados técnicos. Com dados técnicos, também recomenda-se marcar cada página com um aviso ou marcador do ITAR para que os funcionários não compartilhem acidentalmente informações controladas com usuários não autorizados.

    O ITAR existe para rastrear material confidencial militar e de defesa e manter esse material fora das mãos dos inimigos dos EUA. A não conformidade pode resultar em multas pesadas, além de danos significativos à marca e à reputação, sem mencionar a possível perda de negócios para um concorrente em conformidade.

    Penalidades por violações de conformidade com o ITAR

    Penalidades por violações de conformidade com o ITAR
    As penalidades para infrações do ITAR são extremamente severas:

    • Sanções civis de até US$ 500 mil por violação
    • Multas penais de até US$ 1 milhão e/ou 10 anos de prisão por violação

    Em abril de 2018, o Departamento de Estado multou a FLIR Systems, Inc em US$ 30 milhões em sanções civis pela transferência de dados da USML para funcionários de dupla nacionalidade. Parte da penalidade exige que a FLIR implemente melhores medidas de conformidade e contrate um funcionário externo para supervisionar seu acordo com o Departamento de Estado.

    Em 2007, a ITT recebeu uma multa de US$ 100 milhões por exportar ilegalmente tecnologia de visão noturna. A ITT achou que poderia contornar as restrições, mas o governo não concordou com essa interpretação das regras.

    Tipos de artigos de defesa

    Existem 21 categorias de artigos de defesa na USML. Um artigo de defesa pode ser qualquer item dessa lista longa e extremamente específica.

      1. Armas de fogo, fuzis de assalto e rifles de combate
      2. Pistolas e armas
      3. Munições/artilharias
      4. Veículos de lançamento, mísseis guiados, mísseis balísticos, foguetes, torpedos, bombas e minas
      5. Materiais explosivos e energéticos, propulsores, agentes incendiários e seus componentes
      6. Navios de guerra de superfície e equipamentos navais especiais
      7. Veículos terrestres
      8. Aeronaves e artigos relacionados
      9. Equipamentos de treinamento militar
      10. Equipamentos de proteção individual
      11. Aparelhos eletrônicos militares
      12. Equipamentos de controle de incêndio, laser, imagem e orientação
      13. Materiais e artigos diversos
      14. Agentes toxicológicos, incluindo agentes químicos, agentes biológicos e equipamentos associados
      15. Veículos espaciais e artigos relacionados
      16. Armas nucleares e artigos relacionados
      17. Artigos confidenciais, dados técnicos e serviços de defesa não indicados de outra forma
      18. Armas de energia dirigida
      19. Motores de turbina a gás e equipamentos associados
      20. Submarinos e artigos relacionados
      21. Artigos, dados técnicos e serviços de defesa não indicados de outra forma

    Como proteger os dados sujeitos ao ITAR

    Dadas as penalidades associadas ao ITAR, recomendamos proteger os dados digitais com o maior número possível de camadas de segurança. Como o ITAR é um regulamento federal dos EUA, sua própria orientação para segurança de dados é uma ótima referência para começar. O NIST SP 800-53 define os padrões e diretrizes que as agências federais devem seguir, e qualquer empresa que gerencie materiais regulamentados pelo ITAR deve usar o NIST SP 800-53 como referência para seus próprios padrões de segurança. Siga estes princípios básicos para proteger seus dados sujeitos ao ITAR:

    • Descubra e classifique dados confidenciais
      Identifique e proteja todos os dados confidenciais
      Classifique os dados de acordo com as políticas da empresa
    • Mapeie dados e permissões
      Identifique permissões de usuários, grupos, pastas e arquivos
      Determine quem pode acessar quais dados
    • Gerencie o controle de acesso
      Identifique e desative usuários obsoletos
      Gerencie associações de usuários e grupos
      Remova grupos de acesso global
      Implemente um modelo de privilégio mínimo
    • Monitore dados, atividade de arquivos e comportamento do usuário
      Controle e faça relatórios de atividades de arquivos e eventos
      Monitore ameaças internas, malware, configurações incorretas e violações de segurança
      Detecte e corrija vulnerabilidades de segurança

    Perguntas frequentes sobre conformidade com ITAR

    1. Como a Varonis pode me ajudar a encontrar todos os meus dados sujeitos ao ITAR?
      O Data Classification Engine identifica e classifica os dados regulamentados em seus principais repositórios de dados, tanto on-premises quanto na nuvem. Você pode configurar regras para identificar dados ITAR e até mesmo aplicar etiquetas personalizadas, sinalizadores e notas aos dados regulamentados.
    2. Quem pode acessar esses dados sujeitos ao ITAR?
      O Varonis DatAdvantage escaneia seus sistemas de arquivos para analisar as permissões de todos os seus dados, incluindo os dados sujeitos ao ITAR. Entender quem pode acessar esses dados é o primeiro passo para protegê-los contra acesso ilegal. Com o DatAdvantage, essas informações ficam graficamente visíveis em uma interface de usuário transparente e fácil de usar ou como um relatório exportável.
    3. Como saber se alguém acessou meus dados sujeitos ao ITAR?
      O Varonis DatAlert monitora e aciona alertas quando os dados ou uma pasta de dados sujeitos ao ITAR são acessados. Você pode detectar, sinalizar e investigar qualquer comportamento suspeito ou atividade incomum em seus dados sujeitos ao ITAR e manter uma trilha de auditoria completa para ajudar a cumprir os regulamentos do ITAR.
    4. Como gerenciar o acesso aos dados sujeitos ao ITAR?
      O Automation Engine repara e mantém automaticamente as permissões do sistema de arquivos, mantendo os dados sujeitos ao ITAR bloqueados e ajudando a obter um modelo de privilégio mínimo. O Varonis DataPrivilege ajuda a simplificar a governança de acesso, aplicar automaticamente políticas de segurança e demonstrar conformidade com auditores governamentais.

    Quer saber mais sobre como gerenciar seus dados sujeitos ao ITAR para atender aos requisitos de conformidade? Obtenha uma demonstração individual com uma pessoa da equipe de engenharia de segurança para ver como a Varonis pode ajudar.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael trabalhou como administrador de sistemas e desenvolvedor de software em startups no Vale do Silício, na Marinha dos Estados Unidos e em todos vários setores nesse meio.

    Try Varonis free.
    Get a detailed data risk report based on your company’s data.
    Deploys in minutes.
    Get started View sample
    Keep reading
    por-trás-do-rebranding-da-varonis
    Por trás do rebranding da Varonis
    por-trás-do-rebranding-da-varonis
    Courtney Bernard
    20 de Fevereiro de 2024
    Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    O que é uma avaliação de risco de dados e por que você deve fazer
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    Lexi Croisdale
    12 de Janeiro de 2024
    A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Shane Waterford
    19 de Dezembro de 2023
    Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Guia de migração de dados: sucesso estratégico e práticas recomendadas
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Michael Buckbee
    15 de Dezembro de 2023
    A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento