US International Traffic in Arms Regulations (ITAR)

Panoramica

itar-sized

La regione AWS GovCloud (US) sostiene la conformità con le International Traffic in Arms Regulations (ITAR) degli Stati Uniti. Le aziende soggette alle norme ITAR sull'esportazione, come parte del loro programma di conformità alla normativa, devono controllare le esportazioni non intenzionali limitando l'accesso ai dati protetti ai cittadini americani e restringendo la distribuzione fisica di dati protetti ai soli Stati Uniti. La regione AWS GovCloud (US) fornisce un ambiente fisicamente localizzato negli Stati Uniti, e l'accesso del personale di AWS è limitato a cittadini americani, consentendo quindi alle aziende idonee di utilizzare WAS per trasmettere, elaborare e archiviare articoli e dati protetti soggetti alle restrizioni delle norme ITAR. L'ambiente AWS GovCloud (US) è stato sottoposto ad audit da un'entità di controllo di terze parti indipendente (3PAO) per verificare che siano implementati i controlli appropriati per supportare i programmi di conformità di esportazione dei clienti.

  • Cos'è la normativa ITAR?

    Le International Traffic in Arms Regulations (ITAR) sono norme che controllano l'esportazione di articoli relativi alla difesa dagli Stati Uniti e secondo le quali nessun individuo non statunitense può disporre di accesso fisico o logico agli articoli archiviati nell'ambiente ITAR.

    Gli articoli coperti dall'ITAR United States Munitions List (USML) includono apparecchiature, componenti, materiali, software e informazioni tecniche che possono essere condivise solo con Soggetti statunitensi, salvo in caso di autorizzazione o esenzione speciali. I Soggetti statunitensi sono persone fisiche titolari di Carta Verde statunitense (Carta di Residenza Permanente) o cittadini statunitensi.

  • In che modo si applicano i requisiti ITAR nel cloud?

    La conformità alle norme ITAR nel cloud consiste nell’accertare che le informazioni considerate dati tecnici non vengano involontariamente distribuite a individui o nazioni estere. Perché i dati siano soggetti alle norme ITAR, un carico di lavoro IT o tipo di dati devono essere considerati esportazione secondo la US Munitions List (USML).

  • In che modo AWS supporta i clienti soggetti alle norme ITAR per l'esportazione?

    AWS fornisce ai propri clienti un'opzione che permette di archiviare i dati nella regione AWS GovCloud (US), gestita esclusivamente da Soggetti statunitensi in locazioni su suolo americano. AWS GovCloud (US) è un ambiente del cloud di Amazon isolato, in cui vengono accettati account esclusivamente a Soggetti statunitensi che lavorano per aziende statunitensi.

    Poiché AWS non può controllare cosa carichino i clienti nella propria rete, né verificare se tali dati siano da considerare soggetti alle norme ITAR, tutti i dati dei clienti all'interno della regione GovCloud sono considerati soggetti alle norme ITAR. 

  • In che modo AWS GovCloud (US) garantisce ai clienti la conformità ai requisiti alle norme ITAR?

    Formalmente, non esiste alcuna certificazione per le norme ITAR. AWS GovCloud (US) è continuamente sottoposto ad audit da parte di un'entità di controllo di terze parti indipendente accreditata (3PAO) del Federal Risk Authorization Management Program (FedRAMP) e ha ricevuto un'autorizzazione operativa provvisoria FedRAMP (P-ATO) dal Joint Authorization Board (JAB) allo standard elevato. Il JAB è rappresentato dai Chief Information Officers (CIO) del dipartimento della difesa, del dipartimento di sicurezza interna e dell’amministrazione dei servizi generali degli Stati Uniti. Per ulteriori informazioni, consultare Raggiungere la conformità elevata FedRAMP nella regione AWS GovCloud (US).

  • Come si applica la responsabilità condivisa di AWS quando i clienti trasmettono, elaborano e archiviano dati ITAR in AWS?

    AWS è responsabile per la conformità logica e fisica dell'infrastruttura cloud e dei servizi principali offerti. I clienti sono responsabili per infrastruttura IT, applicazioni e sistemi locali. L'autorizzazione operativa provvisoria FedRAMP (P-ATO) di AWS GovCloud dal Joint Authorization Board (JAB) allo standard elevato attesta i controlli in atto all'interno di AWS GovCloud (US). AWS supporta i clienti che stanno progettando sistemi conformi alle norme ITAR in AWS. Di seguito sono riportati alcuni esempi di servizi AWS che aiutano i clienti a gestire i propri obblighi di conformità alla sicurezza:

    Proteggere i dati sensibili: i clienti possono proteggere i file sensibili non riservati con la crittografia lato server in Amazon S3, archiviare e gestire le chiavi di sicurezza con AWS CloudHSM, oppure usare semplicemente AWS Key Management Service (KMS).

    Migliorare la visibilità sul cloud: i clienti possono verificare l'accesso e l'utilizzo dei dati sensibili con Amazon CloudTrail, il servizio di registrazione API gestito e operato da Soggetti statunitensi.

    Rafforzare la gestione dell'identità: i clienti possono limitare l'accesso ai dati sensibili per individuo, orario e posizione. Per limitare le chiamate API che gli utenti sono in grado di effettuare, è possibile utilizzare la federazione delle identità, la rotazione facile delle chiavi e altri efficaci strumenti di verifica per il controllo degli accessi disponibili in AWS.

compliance-contactus-icon
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »