US International Traffic in Arms Regulations (ITAR)

Panoramica

AWS GovCloud (Stati Uniti) supporta la conformità con le United States International Traffic in Arms Regulations (ITAR). Le aziende soggette alle norme ITAR sull'esportazione, nell’ambito della gestione di un esaustivo programma di conformità alla normativa ITAR, devono controllare le esportazioni non intenzionali limitando l'accesso alle sole persone autorizzate. AWS GovCloud (Stati Uniti) fornisce un ambiente fisicamente localizzato negli Stati Uniti il cui accesso da parte del personale di AWS è limitato a cittadini statunitensi, consentendo quindi alle aziende idonee di utilizzare AWS per trasmettere, elaborare e archiviare articoli e dati protetti soggetti alle restrizioni delle norme ITAR. L'ambiente AWS GovCloud (Stati Uniti) è stato sottoposto ad audit da un'entità di valutazione di terzi indipendente (3PAO) al fine di convalidare la presenza dei controlli appropriati per supportare i programmi di conformità dell’esportazione dei clienti.

• Che cos'è la normativa ITAR?

  Le International Traffic in Arms Regulations (ITAR) sono norme che controllano l'esportazione di articoli relativi alla difesa dagli Stati Uniti e secondo le quali nessuna persona non statunitense può disporre di accesso fisico o logico agli articoli archiviati nell'ambiente ITAR.

  Gli articoli coperti dall'ITAR United States Munitions List (USML) includono apparecchiature, componenti, materiali, software e informazioni tecniche che possono essere condivisi solo con statunitensi, salvo in caso di autorizzazione o esenzione speciali. Sono considerate statunitensi le persone fisiche titolari di Carta Verde statunitense (Carta di Residenza Permanente) nonché le persone di cittadinanza statunitense.
  

• In che modo si applicano i requisiti ITAR nel cloud?

  La conformità alle norme ITAR nel cloud consiste nell’accertare che le informazioni considerate  dati tecnici ITAR non vengano involontariamente distribuite a persone o nazioni estere senza l’apposita autorizzazione.
  

• In che modo AWS supporta i clienti soggetti alle norme ITAR per l'esportazione?

  AWS fornisce ai propri clienti un'opzione che permette di archiviare i dati nella regione AWS GovCloud (Stati Uniti), gestita esclusivamente da cittadini statunitensi in località sul territorio americano. AWS GovCloud (Stati Uniti) è un ambiente del cloud di Amazon isolato, in cui vengono accordati account esclusivamente a statunitensi che lavorano per organizzazioni statunitensi.

  Poiché AWS non ha alcuna visibilità su ciò che i clienti caricano nella propria rete, né può verificare se tali dati siano da considerare soggetti alle norme ITAR, tutti i dati dei clienti all'interno di AWS GovCloud (US) sono trattati come dati ITAR.

• In che modo AWS GovCloud (US) garantisce ai clienti la conformità ai requisiti delle norme ITAR?

  Formalmente, non esiste alcuna certificazione per le norme ITAR. AWS GovCloud (US) è continuamente sottoposto ad audit da parte di un'entità di controllo di terzi indipendente (3PAO) accreditata del Federal Risk Authorization Management Program (FedRAMP) e ha ricevuto un'autorizzazione provvisoria a operare FedRAMP (P-ATO) dal Joint Authorization Board (JAB) classificata nello Standard elevato. Il JAB è composto dai Chief Information Officers (CIO) del Dipartimento della difesa, del Dipartimento di sicurezza interna e dell’Amministrazione dei servizi generali degli Stati Uniti. Per ulteriori informazioni, consulta Ottenimento della conformità elevata FedRAMP in AWS GovCloud (US).
  

• Come si applica la responsabilità condivisa di AWS quando i clienti trasmettono, elaborano e archiviano dati ITAR in AWS?

  AWS è responsabile della conformità logica e fisica dell'infrastruttura cloud e dei servizi principali offerti. I clienti sono responsabili per infrastruttura IT, applicazioni e sistemi nelle proprie sedi. L'autorizzazione provvisoria a operare FedRAMP (P-ATO) di AWS GovCloud da parte del Joint Authorization Board (JAB) allo standard elevato attesta i controlli in atto all'interno di AWS GovCloud (US). AWS supporta i clienti che hanno in corso la costruzione di sistemi conformi alle norme ITAR in AWS. Di seguito sono riportati alcuni esempi di servizi AWS che aiutano i clienti a gestire i propri obblighi di conformità alla sicurezza.

  Protezione dei dati sensibili: i clienti possono proteggere i dati sensibili non riservati con la crittografia lato server in Amazon S3, archiviare e gestire le chiavi di sicurezza con AWS CloudHSM, oppure usare semplicemente AWS Key Management Service (KMS).

  Miglioramento della visibilità sul cloud: i clienti possono esaminare l'accesso e l'utilizzo dei dati sensibili con Amazon CloudTrail, il servizio di registrazione API gestito e azionato da statunitensi.

  Irrobustimento della gestione dell'identità: i clienti possono limitare l'accesso ai dati sensibili in base alla persona, all’orario e alla località. Per limitare le chiamate API che gli utenti sono in grado di effettuare, è possibile utilizzare la federazione delle identità, la rotazione facile delle chiavi e altri efficaci strumenti di verifica per il controllo degli accessi disponibili in AWS.