ITAR

Panoramica

La regione AWS GovCloud (Stati Uniti) supporta la conformità alla normativa ITAR (International Traffic in Arms Regulations) statunitense. Le aziende soggette alle norme ITAR sull'esportazione, come parte del loro programma di conformità alla normativa, devono controllare le esportazioni non intenzionali limitando l'accesso ai dati protetti ai cittadini americani e restringendo la distribuzione di dati ai soli Stati Uniti. La regione AWS GovCloud (Stati Uniti) fornisce un ambiente fisicamente localizzato negli Stati Uniti, in cui l'accesso del personale di AWS è limitato a cittadini americani, consentendo quindi alle aziende idonee di trasmettere, elaborare e archiviare articoli e dati protetti soggetti alle restrizioni delle norme ITAR. L'ambiente della regione AWS GovCloud (Stati Uniti) è stato sottoposto ad audit da terze parti indipendenti per verificare che siano implementati i controlli appropriati per supportare i programmi di esportazione dei clienti.

• Che cos'è la normativa ITAR?

  Le International Traffic in Arms Regulations (ITAR) sono norme che controllano l'esportazione di articoli per la difesa personale, in base alla quale nessun individuo di nazionalità o residenza non statunitense può disporre di accesso fisico o logico agli articoli immagazzinati nell'ambiente ITAR.

  I materiali coperti dalla United States Munitions List (USML) ITAR includono apparecchiature, componenti, materiali, software e informazioni tecniche che possono essere condivisi senza autorizzazioni speciali o deroghe solamente con cittadini o residenti statunitensi. Per cittadino o residente statunitense si intendono individui con cittadinanza statunitense o detentori di Green Card.
  

• In che modo si applicano i requisiti ITAR nel cloud?

  La conformità alle norme ITAR nel cloud consiste nell’accertare che le informazioni considerate dati tecnici non vengano involontariamente distribuite a persone o nazioni estere. Affinché i dati siano soggetti alle norme ITAR, è necessario che un carico di lavoro IT o un tipo di dati sia considerato esportazione secondo la US Munitions List (USML).
  

• In che modo AWS supporta i clienti soggetti alle norme ITAR per l'esportazione?

  AWS fornisce ai propri clienti un'opzione che permette di memorizzare i dati nella regione AWS GovCloud (Stati Uniti) gestita esclusivamente da cittadini o residenti statunitensi su suolo americano. AWS GovCloud (Stati Uniti) è una regione del cloud di Amazon isolata, in cui vengono concessi account esclusivamente a soggetti statunitensi che lavorano per aziende statunitensi.

  Poiché AWS non può controllare cosa carichino i clienti nella propria rete, né verificare se tali dati sono da considerare soggetti alle norme ITAR, tutti i dati dei clienti all'interno della regione GovCloud sono considerati soggetti alle norme ITAR.

• In che modo AWS GovCloud (Stati Uniti) garantisce ai clienti la conformità ai requisiti delle norme ITAR?

  Formalmente, non esiste alcuna certificazione per le norme ITAR. La regione AWS GovCloud (Stati Uniti) è sottoposta a controlli continui da parte di un ente valutatore terzo accreditato dal programma federale per la gestione di rischio e autorizzazioni o FedRAMP (Federal Risk Authorization Management Program) e ha ricevuto un'autorizzazione provvisoria del Joint Authorization Board (JAB P-ATO) per il livello di impatto High. Il JAB è rappresentato dai CIO del dipartimento della difesa, dipartimento di sicurezza interna e amministrazione dei servizi generali.

• In che modo si applica il modello di responsabilità condivisa di AWS quando i clienti trasmettono, elaborano o memorizzano i dati soggetti alle norme ITAR in AWS?

  AWS è responsabile della conformità logica e fisica dell'infrastruttura cloud e dei servizi offerti. I clienti sono responsabili dell'infrastruttura IT, delle applicazioni e dei sistemi locali. Come già menzionato, l'autorizzazione provvisoria (P-ATO) di livello High da parte del JAB per il programma FedRAMP di AWS GovCloud attesta i controlli in esecuzione all'interno della regione AWS GovCloud (Stati Uniti) per garantire il supporto ai clienti che necessitano di sistemi conformi alle norme ITAR in AWS. In questo modo è più semplice per il cliente gestire i propri requisiti di conformità elaborando e memorizzando i dati nella regione AWS GovCloud (Stati Uniti). Di seguito sono elencati alcuni esempi:

  Protezione di dati sensibili: proteggi file sensibili non riservati con la crittografia lato server in Amazon S3; memorizza e gestisci personalmente le chiavi di sicurezza con AWS CloudHSM, oppure usa con la massima semplicità AWS Key Management Service (KMS).

  Miglioramento della visibilità sul cloud: verifica l'accesso e l'utilizzo dei dati sensibili in Amazon CloudTrail, il servizio di accesso API gestito e operato da soggetti statunitensi.

  Potenziamento della gestione delle identità: limita l'accesso ai dati sensibili in base a utente, ora e posizione e restringi le chiamate API utilizzabili dagli utenti con federazione delle identità, rotazione delle chiavi di accesso e altri strumenti di testing di accesso.