A diferença entre o Active Directory e o LDAP

O ITAR regula a fabricação, venda e distribuição de hardwares, dados e documentações militares, de defesa e espaciais. Aqui está uma lista dos requisitos e penalidades de conformidade do ITAR que você precisa saber.
Michael Buckbee
4 minuto de leitura
Ultima atualização 3 de Março de 2023

O International Traffic in Arms Regulations (ITAR) é o regulamento dos Estados Unidos que controla a fabricação, venda e distribuição de itens e serviços relacionados à defesa e ao espaço, conforme definido na United States Munitions List (USML).

Além de lançadores de foguetes, torpedos e outros equipamentos militares, a lista também descreve planos, diagramas, imagens e outras documentações usadas para produzir equipamentos militares controlados pelo ITAR. Esse material é referido pelo ITAR como “dados técnicos”.

Receba o guia essencial gratuito para conformidade e regulamentação de proteção de dados dos EUA.

O ITAR exige que o acesso a materiais físicos ou dados técnicos relacionados a tecnologias militares e de defesa seja restrito apenas a cidadãos dos EUA. Como uma empresa pode garantir que apenas cidadãos dos EUA acessem dados pela rede em conformidade com o ITAR? Limitar o acesso a materiais físicos é simples, mas, para dados digitais, as coisas ficam um pouco mais complicadas.

Quem deve cumprir a conformidade com o ITAR?

quem deve cumprir a conformidade com o ITAR?

Todas as empresas que gerenciam, fabricam, projetam, vendem ou distribuem itens listados na USML devem estar em conformidade com o ITAR. A Direção de Controles Comerciais de Defesa (DDTC) do Departamento de Estado dos Estados Unidos gerencia a lista de empresas que podem comercializar bens e serviços da USML, enquanto a criação de políticas voltadas para o cumprimento dos regulamentos do ITAR é de responsabilidade de cada empresa.

  • Atacadistas
  • Distribuidores
  • Fornecedores de softwares/hardwares de computador
  • Fornecedores terceirizados
  • Prestadores de serviços

Todas as empresas da cadeia de fornecimento precisam estar em conformidade com o ITAR. Se a empresa A vende uma peça para a empresa B e, em seguida, a empresa B vende a mesma peça a uma potência estrangeira, a empresa A também viola o ITAR.

Regulamentos do ITAR

Os regulamentos do ITAR são simples: somente cidadãos dos EUA podem ter acesso aos itens da lista USML.

As regras do ITAR representam um desafio para muitas empresas dos EUA. Uma empresa sediada nos EUA com operações no exterior está proibida de compartilhar dados técnicos do ITAR com funcionários locais, a menos que o Departamento de Estado autorize. O mesmo princípio se aplica quando empresas americanas trabalham com subcontratados de outros países.

O Departamento de Estado pode emitir isenções a essa regra, e já existem algumas isenções estabelecidas para fins específicos. Um exemplo são alguns países que atualmente têm contratos com os EUA que cumprem o ITAR, como a Austrália, o Canadá e o Reino Unido.

O governo dos EUA exige ter em vigor e implementar um programa de conformidade com o ITAR documentado, que deve incluir rastreamento, monitoramento e auditoria de dados técnicos. Com dados técnicos, também recomenda-se marcar cada página com um aviso ou marcador do ITAR para que os funcionários não compartilhem acidentalmente informações controladas com usuários não autorizados.

O ITAR existe para rastrear material confidencial militar e de defesa e manter esse material fora das mãos dos inimigos dos EUA. A não conformidade pode resultar em multas pesadas, além de danos significativos à marca e à reputação, sem mencionar a possível perda de negócios para um concorrente em conformidade.

Penalidades por violações de conformidade com o ITAR

Penalidades por violações de conformidade com o ITAR
As penalidades para infrações do ITAR são extremamente severas:

  • Sanções civis de até US$ 500 mil por violação
  • Multas penais de até US$ 1 milhão e/ou 10 anos de prisão por violação

Em abril de 2018, o Departamento de Estado multou a FLIR Systems, Inc em US$ 30 milhões em sanções civis pela transferência de dados da USML para funcionários de dupla nacionalidade. Parte da penalidade exige que a FLIR implemente melhores medidas de conformidade e contrate um funcionário externo para supervisionar seu acordo com o Departamento de Estado.

Em 2007, a ITT recebeu uma multa de US$ 100 milhões por exportar ilegalmente tecnologia de visão noturna. A ITT achou que poderia contornar as restrições, mas o governo não concordou com essa interpretação das regras.

Tipos de artigos de defesa

Existem 21 categorias de artigos de defesa na USML. Um artigo de defesa pode ser qualquer item dessa lista longa e extremamente específica.

    1. Armas de fogo, fuzis de assalto e rifles de combate
    2. Pistolas e armas
    3. Munições/artilharias
    4. Veículos de lançamento, mísseis guiados, mísseis balísticos, foguetes, torpedos, bombas e minas
    5. Materiais explosivos e energéticos, propulsores, agentes incendiários e seus componentes
    6. Navios de guerra de superfície e equipamentos navais especiais
    7. Veículos terrestres
    8. Aeronaves e artigos relacionados
    9. Equipamentos de treinamento militar
    10. Equipamentos de proteção individual
    11. Aparelhos eletrônicos militares
    12. Equipamentos de controle de incêndio, laser, imagem e orientação
    13. Materiais e artigos diversos
    14. Agentes toxicológicos, incluindo agentes químicos, agentes biológicos e equipamentos associados
    15. Veículos espaciais e artigos relacionados
    16. Armas nucleares e artigos relacionados
    17. Artigos confidenciais, dados técnicos e serviços de defesa não indicados de outra forma
    18. Armas de energia dirigida
    19. Motores de turbina a gás e equipamentos associados
    20. Submarinos e artigos relacionados
    21. Artigos, dados técnicos e serviços de defesa não indicados de outra forma

Como proteger os dados sujeitos ao ITAR

Dadas as penalidades associadas ao ITAR, recomendamos proteger os dados digitais com o maior número possível de camadas de segurança. Como o ITAR é um regulamento federal dos EUA, sua própria orientação para segurança de dados é uma ótima referência para começar. O NIST SP 800-53 define os padrões e diretrizes que as agências federais devem seguir, e qualquer empresa que gerencie materiais regulamentados pelo ITAR deve usar o NIST SP 800-53 como referência para seus próprios padrões de segurança. Siga estes princípios básicos para proteger seus dados sujeitos ao ITAR:

  • Descubra e classifique dados confidenciais
    Identifique e proteja todos os dados confidenciais
    Classifique os dados de acordo com as políticas da empresa
  • Mapeie dados e permissões
    Identifique permissões de usuários, grupos, pastas e arquivos
    Determine quem pode acessar quais dados
  • Gerencie o controle de acesso
    Identifique e desative usuários obsoletos
    Gerencie associações de usuários e grupos
    Remova grupos de acesso global
    Implemente um modelo de privilégio mínimo
  • Monitore dados, atividade de arquivos e comportamento do usuário
    Controle e faça relatórios de atividades de arquivos e eventos
    Monitore ameaças internas, malware, configurações incorretas e violações de segurança
    Detecte e corrija vulnerabilidades de segurança

Perguntas frequentes sobre conformidade com ITAR

  1. Como a Varonis pode me ajudar a encontrar todos os meus dados sujeitos ao ITAR?
    O Data Classification Engine identifica e classifica os dados regulamentados em seus principais repositórios de dados, tanto on-premises quanto na nuvem. Você pode configurar regras para identificar dados ITAR e até mesmo aplicar etiquetas personalizadas, sinalizadores e notas aos dados regulamentados.
  2. Quem pode acessar esses dados sujeitos ao ITAR?
    O Varonis DatAdvantage escaneia seus sistemas de arquivos para analisar as permissões de todos os seus dados, incluindo os dados sujeitos ao ITAR. Entender quem pode acessar esses dados é o primeiro passo para protegê-los contra acesso ilegal. Com o DatAdvantage, essas informações ficam graficamente visíveis em uma interface de usuário transparente e fácil de usar ou como um relatório exportável.
  3. Como saber se alguém acessou meus dados sujeitos ao ITAR?
    O Varonis DatAlert monitora e aciona alertas quando os dados ou uma pasta de dados sujeitos ao ITAR são acessados. Você pode detectar, sinalizar e investigar qualquer comportamento suspeito ou atividade incomum em seus dados sujeitos ao ITAR e manter uma trilha de auditoria completa para ajudar a cumprir os regulamentos do ITAR.
  4. Como gerenciar o acesso aos dados sujeitos ao ITAR?
    O Automation Engine repara e mantém automaticamente as permissões do sistema de arquivos, mantendo os dados sujeitos ao ITAR bloqueados e ajudando a obter um modelo de privilégio mínimo. O Varonis DataPrivilege ajuda a simplificar a governança de acesso, aplicar automaticamente políticas de segurança e demonstrar conformidade com auditores governamentais.

Quer saber mais sobre como gerenciar seus dados sujeitos ao ITAR para atender aos requisitos de conformidade? Obtenha uma demonstração individual com uma pessoa da equipe de engenharia de segurança para ver como a Varonis pode ajudar.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

conheça-a-diferença-entre-governança-de-ti-e-governança-de-dados
Conheça a diferença entre governança de TI e governança de dados
Conheça a importância de governança de TI e governança de dados estarem sempre alinhados para proporcionar melhores resultados de negócios para as empresas.
diferenças-entre-segurança-cibernética-e-resiliência-cibernética
Diferenças entre segurança cibernética e resiliência cibernética
Implementar uma estratégia de resiliência cibernética e segurança cibernética integradas garante reduzir riscos e a rápida recuperação de incidentes.
tendências-globais-de-ameaças-e-o-futuro-da-resposta-a-incidentes
Tendências globais de ameaças e o futuro da resposta a incidentes
Com os casos de ataques cibernéticos cada vez mais complexos, a resposta a incidentes precisa agir de maneira proativa para reduzir riscos
o-que-é-o-oauth?-definição-e-como-funciona
O que é o OAuth? Definição e como funciona
O OAuth (Open Authentication) é um protocolo ou uma estrutura de autorização de padrão aberto que fornece aos aplicativos a capacidade de “acesso designado seguro”. É uma forma de os usuários concederem acesso a sites ou aplicativos às suas informações sem revelar nenhuma senha.