International Traffic in Arms Regulations (ITAR) Amerika Serikat

Gambaran Umum

AWS GovCloud (AS) mendukung kepatuhan terhadap International Traffic in Arms Regulations (ITAR) Amerika Serikat. Sebagai bagian dari pengelolaan program kepatuhan ITAR yang komprehensif, perusahaan yang tunduk pada peraturan ekspor ITAR harus mengontrol ekspor yang tidak dimaksudkan dengan hanya memberi akses kepada pihak yang berwenang. AWS GovCloud (AS) menyediakan lingkungan yang secara fisik berada di AS dan dengan akses oleh Personel AWS yang dibatasi sehingga hanya diperbolehkan bagi Warga Negara AS, dan dengan demikian memungkinkan perusahaan yang memenuhi syarat untuk mengirim, memproses, dan menyimpan artikel dan data yang dilindungi yang tunduk pada batasan ITAR, menggunakan AWS. Lingkungan AWS GovCloud (AS) telah diaudit oleh organisasi penilai pihak ketiga (3PAO) untuk memvalidasi bahwa kontrol yang sesuai sudah diterapkan guna mendukung program kepatuhan ekspor pelanggan.

• Apa itu ITAR?

  International Traffic in Arms Regulations (ITAR) mengendalikan ekspor barang terkait pertahanan dari AS, dan regulasi menyatakan bahwa warga negara non-AS dapat memiliki akses secara fisik atau logis ke barang yang disimpan dalam lingkungan ITAR.

  Barang yang tercakup dalam United States Munitions List (USML) ITAR meliputi perlengkapan, komponen, material, perangkat lunak, dan informasi teknis yang hanya dapat dibagikan dengan Penduduk AS, kecuali dalam otorisasi atau pengecualian khusus. Penduduk AS adalah individu yang memegang Green Card AS (Kartu Penduduk Permanen) atau warga negara AS.
  

• Bagaimana persyaratan ITAR berlaku di cloud?

  Kepatuhan ITAR di cloud berfokus dalam memastikan informasi yang dianggap sebagai  data teknis ITAR tidak dirilis ke penduduk negara asing atau negara asing secara tidak sengaja tanpa pengesahan yang tepat.
  

• Bagaimana AWS mendukung pelanggan yang tunduk pada undang-undang ekspor ITAR?

  AWS menyediakan pilihan kepada pelanggan untuk menyimpan data mereka di AWS GovCloud (AS), yang dikelola sepenuhnya oleh Warga Negara AS di lokasi AS. AWS GovCloud (AS) adalah lingkungan cloud terisolasi Amazon tempat akun hanya diberikan kepada Penduduk AS yang bekerja untuk organisasi AS.

  Karena AWS tidak memiliki kemampuan melihat apa pun yang pelanggan unggah ke jaringan kami, termasuk apakah data tersebut dianggap tunduk terhadap regulasi ITAR atau tidak, semua data pelanggan dalam AWS GovCloud (AS) diperlakukan sebagai data ITAR.

• Bagaimana AWS GovCloud (AS) memberikan jaminan kepada pelanggan bahwa AWS sudah memenuhi persyaratan ITAR?

  Tidak ada sertifikasi resmi dari ITAR. AWS GovCloud (AS) terus diaudit oleh organisasi penilai pihak ketiga (3PAO) yang memiliki akreditasi Federal Risk Authorization Management Program (FedRAMP) dan telah menerima Provisional Authority to Operate (P-ATO) FedRAMP dari Joint Authorization Board (JAB) di High Baseline. Chief Information Officers (CIO) dari Departemen Pertahanan, Departemen Keamanan Nasional, dan Badan Administrasi Umum Amerika Serikat mewakili JAB. Untuk informasi lebih lanjut, baca Mencapai Kepatuhan Tinggi FedRAMP dalam AWS GovCloud (AS).
  

• Bagaimana penerapan Berbagi Tanggung Jawab AWS saat pelanggan mengirimkan, memproses, dan menyimpan data ITAR di AWS?

  AWS bertanggung jawab untuk kepatuhan fisik dan logis dari infrastruktur cloud dan layanan inti yang kami tawarkan. Pelanggan bertanggung jawab atas sistem, aplikasi, dan infrastruktur IT di lokasi mereka sendiri. Provisional Authority to Operate (P-ATO) FedRAMP AWS GovCloud dari Joint Authorization Board (JAB) di High Baseline menegaskan kontrol diterapkan dalam AWS GovCloud (AS). AWS mendukung pelanggan yang membangun sistem kepatuhan ITAR dalam AWS. Berikut merupakan contoh layanan AWS yang membantu pelanggan mengelola kewajiban kepatuhan keamanan mereka sendiri:

  Penjagaan Data Sensitif: Pelanggan dapat melindungi data sensitif tanpa klasifikasi dengan enkripsi server-side di Amazon S3; menyimpan dan mengelola kunci keamanan dengan AWS CloudHSM, atau menggunakan klik tunggal AWS Key Management Service (KMS) kami.

  Peningkatan Visibilitas Cloud: Pelanggan dapat mengaudit akses dan penggunaan data sensitif dengan Amazon CloudTrail, layanan pencatatan log API kami, yang dikelola dan dioperasikan oleh Penduduk AS.

  Memperkuat Manajemen Identitas: Pelanggan dapat membatasi akses ke data sensitif berdasarkan individu, waktu, dan lokasi. Untuk membatasi panggilan API mana yang bisa dilakukan pengguna, Anda dapat menggunakan federasi identitas, rotasi kunci mudah, dan alat pengujian kontrol akses andal lainnya yang tersedia di AWS.