Reglamento estadounidense sobre el tráfico internacional de armas (ITAR, International Traffic in Arms Regulations)

Información general

AWS GovCloud (EE. UU.) respalda la conformidad del Reglamento sobre el tráfico internacional de armas (ITAR) de los Estados Unidos. Como parte de la administración de un programa integral de conformidad con las disposiciones de la ITAR, las empresas que están sometidas a los reglamentos de exportación de la ITAR deben controlar las exportaciones no intencionadas mediante la restricción del acceso a solo las personas autorizadas. AWS GovCloud (EE. UU.) proporciona un entorno que está ubicado físicamente en EE. UU. y en el que el acceso por parte del personal de AWS se limita a ciudadanos de EE. UU., lo que permite a las compañías que reúnan los requisitos exigidos usar AWS para transmitir, procesar y almacenar artículos y datos protegidos según las restricciones de ITAR. El entorno de AWS GovCloud (EE. UU.) fue auditado por una organización evaluadora externa independiente (3PAO) a fin de validar que se aplican controles adecuados para respaldar los programas de conformidad de exportación de los clientes.

• ¿Qué es el ITAR?

  El Reglamento estadounidense sobre el tráfico internacional de armas (ITAR) controla los artículos relacionados con la defensa y afirma que ninguna persona que no sea de EE.UU. puede disponer de acceso físico o lógico a los artículos almacenados en el marco del ITAR.

  Los artículos que están cubiertos por la Lista de Municiones de los Estados Unidos (USML) del ITAR e incluyen equipos, componentes, materiales, software e información técnica que solo se pueden compartir con Personas de EE.UU., a menos que se cuente con una autorización o exención especial. Los estadounidenses son personas que cuentan con una tarjeta verde de los EE.UU. (Tarjeta de residencia permanente) o son ciudadanos estadounidenses.
  

• ¿Cómo se aplican los requisitos del ITAR en la nube?

  La conformidad con el ITAR en la nube se centra en garantizar que la información considerada datos técnicos no se divulgue de forma accidental a personas o naciones extranjeras sin la debida autorización.
  

• ¿Cómo respalda AWS a los clientes sujetos a los reglamentos de exportación del ITAR?

  AWS proporciona a los clientes la opción de almacenar sus datos en AWS GovCloud (EE. UU.), que es administrado únicamente por estadounidenses en lugares de Estados Unidos. AWS GovCloud (EE. UU.) es el entorno de la nube aislado de Amazon en el que solo se conceden cuentas a estadounidenses que trabajen para organizaciones de EE. UU.

  Dado que AWS no puede ver lo que los clientes cargan en nuestra red y, por lo tanto, no sabe si los datos están sujetos al reglamento del ITAR, todos los datos de clientes dentro de AWS GovCloud (EE.UU.) se consideran sujetos al ITAR.

• ¿Cómo se garantiza a los clientes que AWS GovCloud (EE.UU.) cumple con los requisitos del ITAR?

  No existe ninguna certificación formal del ITAR. La región AWS GovCloud (EE.UU.) es auditada continuamente por una organización evaluadora externa independiente (3PAO) acreditada por el Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP) y el Consejo Conjunto de Autorización (JAB) ha emitido en su favor una autorización provisional para operar (P-ATO) de alto nivel del FedRAMP. Los oficiales jefe de información (CIO) del Departamento de Defensa, Departamento de Seguridad Interior y Administración de Servicios Generales de EE.UU. representan al JAB. Para obtener más información, consulte Lograr un alto nivel de conformidad de FedRAMP en AWS GovCloud (EE.UU.).
  

• ¿Cómo se aplica la responsabilidad compartida de AWS cuando los clientes transmiten, procesan y almacenan datos de ITAR en AWS?

  AWS es responsable de la conformidad lógica y física de la infraestructura y los servicios principales que ofrecemos en la nube. Los clientes son responsables de su propia infraestructura de TI, aplicaciones y sistemas locales. La autorización provisional para operar (P-ATO) del FedRAMP de AWS GovCloud emitida por el Consejo Conjunto de Autorización (JAB) de alto nivel da fe de los controles establecidos en AWS GovCloud (EE.UU.). AWS brinda asistencia a los clientes que construyen sistemas conformes con ITAR en AWS. Los siguientes son algunos ejemplos de los servicios de AWS que ayudan a los clientes a administrar sus propias obligaciones de cumplimiento de las normas de seguridad:

  Proteja información confidencial: los clientes pueden proteger datos no clasificados confidenciales con el cifrado del lado del servidor en Amazon S3; almacene y administre las claves de seguridad con AWS CloudHSM o use nuestro servicio de un clic AWS Key Management Service (KMS).

  Mejore la visibilidad en la nube: los clientes pueden auditar el acceso y el uso de información confidencial en Amazon CloudTrail, nuestro servicio de registro de API, administrado y operado por estadounidenses.

  Fortalezca la administración de las identidades: los clientes pueden limitar el acceso a datos confidenciales por persona, tiempo y ubicación. Para restringir las llamadas a la API que los usuarios pueden realizar, puede usar la identidad federada, la rotación fácil de claves y otras potentes herramientas de prueba de control de acceso que están disponibles en AWS.