ITAR
Información general
La región AWS GovCloud (Estados Unidos) respalda el cumplimiento del United States International Traffic in Arms Regulations (ITAR, Reglamento estadounidense sobre el tráfico internacional de armas). Como parte de la administración de un programa integral de conformidad con las disposiciones de la ITAR, las empresas sometidas a los reglamentos de exportación de la ITAR deben controlar las exportaciones no intencionadas mediante la restricción del acceso a datos protegidos a ciudadanos de EE.UU. y la limitación de la ubicación física de esos datos al territorio de EE.UU. AWS GovCloud (Estados Unidos) proporciona un entorno ubicado físicamente en EE.UU. y en el que el acceso por parte del personal de AWS se limita a ciudadanos de EE.UU., para permitir que las compañías que reúnan los requisitos exigidos transmitan, procesen y almacenen artículos y datos protegidos según las restricciones de ITAR. El entorno de AWS GovCloud (Estados Unidos) ha sido auditado por una entidad externa independiente a fin de validar que se aplican controles adecuados para respaldar los programas de conformidad de exportación de los clientes.
-
¿Qué es el ITAR?
El US International Traffic in Arms Regulations (ITAR, Reglamento estadounidense sobre el tráfico internacional de armas) controla la exportación de artículos de defensa y declara que ninguna persona que no sea de EE.UU. puede disponer de acceso físico o lógico a los artículos recogidos por el marco del ITAR.
Los materiales recogidos en la Lista de Municiones de Estados Unidos ITAR incluyen equipo, componentes, materiales, software e información técnica que solo pueden compartirse con personas de EE.UU. a menos que se disponga de una autorización o exención especial. Las personas estadounidenses son aquellos individuos que poseen una tarjeta de residencia permanente de EE.UU. o que son ciudadanos de EE.UU.
-
¿Cómo se aplican los requisitos del ITAR en la nube?
La conformidad con el ITAR en la nube se centra en garantizar que la información considerada datos técnicos no se distribuya de forma accidental a personas o naciones extranjeras. Para que los datos estén sujetos al ITAR, una carga de trabajo de TI o un tipo de dato debe considerarse una exportación de acuerdo con la Lista estadounidense de municiones (USML).
-
¿Cómo respalda AWS a los clientes sujetos a los reglamentos de exportación del ITAR?
AWS proporciona a los clientes la opción de almacenar sus datos en AWS GovCloud (EE.UU.), administrada únicamente por personas de EE.UU. en terreno estadounidense. AWS GovCloud (EE.UU.) es la región aislada de la nube de AWS en la que las cuentas solo se conceden a personas estadounidenses que trabajen para organizaciones estadounidenses.
Como AWS no puede ver ni conoce lo que los clientes cargan en su red, y por lo tanto no sabe si los datos están sujetos al reglamento del ITAR, todos los datos de clientes de la región GovCloud se tratan como si estuvieran sujetos al ITAR.
-
¿Cómo se garantiza a los clientes que AWS GovCloud (EE.UU.) cumple con los requisitos del ITAR?
No existe ninguna certificación formal del ITAR. AWS GovCloud (EE.UU.) se somete a auditorías periódicas de un asesor externo independiente (3PAO) del Programa de Administración de Autorización de Riesgo Federal (FedRAMP) y ha obtenido una autorización provisional para operar (P-ATO) de alto impacto del consejo Joint Authorization Board del FedRAMP. Los oficiales jefe de información (CIO) del Departamento de Defensa, Departamento de Seguridad Interior y Administración de Servicios Generales de EE.UU. representan al JAB.
-
¿Cómo se aplica el modelo de responsabilidad compartida cuando los clientes transmiten, procesan y almacenan datos sujetos a los reglamentos del ITAR en AWS?
AWS es responsable de la conformidad lógica y física de la infraestructura y los servicios principales ofrecidos en la nube. Los clientes son responsables de su propia infraestructura de TI, aplicaciones y sistemas on-premise. Como hemos mencionado anteriormente, la autorización provisional para operar (P-ATO) de nivel superior del Consejo Conjunto de Autorización (JAB) del FedRAMP demuestra los controles existentes en AWS GovCloud (EE.UU.) y garantiza que AWS respalda a los clientes que crean sistemas conformes con el ITAR en AWS. Esto facilita la administración de los clientes de sus propias obligaciones de conformidad en materia de seguridad al procesar y almacenar datos en AWS GovCloud (EE.UU). A continuación se indican varios ejemplos:
Proteja información confidencial: proteja datos no clasificados confidenciales con el cifrado del lado del servidor en Amazon S3; almacene y administre por su cuenta las claves de seguridad con AWS CloudHSM o use nuestro servicio de un clic AWS Key Management Service (KMS).
Mejore la visibilidad en la nube: audite el acceso y el uso de información confidencial en Amazon CloudTrail, nuestro servicio de registro de API, administrado y operado por personas estadounidenses.
Mejore la administración de identidades: limite el acceso a información confidencial por persona, horario, ubicación, y restrinja qué llamadas a la API pueden realizar los usuarios con la identidad federada, la rotación de claves sencilla y otras eficientes herramientas de pruebas de control del acceso disponibles.