Escrito por
Aranza Trevino
El término «conformidad con ITAR» es un término equivocado. A diferencia de FedRAMP y otros marcos de cumplimiento, no existe un proceso formal de “Conformidad con ITAR” o “Certificación ITAR”. Las organizaciones sujetas al ITAR deben comprender cómo se les aplica la normativa y establecer políticas y controles internos para proteger los datos técnicos de ITAR.
Examinemos en qué consiste ITAR y cómo la suite de seguridad cibernética de Keeper puede ayudarle a ajustarse a él.
El Reglamento sobre el tráfico internacional de armas (International Traffic in Arms Regulation, ITAR) regula las importaciones y exportaciones de artículos y servicios relacionados con el espacio y la defensa de los Estados Unidos, tal como se describe en la Lista de Municiones de los Estados Unidos (United States Munitions List, USML). Además de transbordadores espaciales y torpedos, el USML también incluye lo que ITAR denomina “datos técnicos”: cosas como planes, diagramas, fotos y otras documentaciones utilizadas para construir transbordadores espaciales, torpedos y otro hardware militar y espacial.
Desde el punto de vista de la seguridad cibernética y el cumplimiento de TI, ITAR exige a las empresas que garanticen que solo las «personas estadounidenses» puedan acceder a los datos técnicos. Es importante tener en cuenta que “personas estadounidenses”, tal como los define ITAR, se refiere no solo a las personas que son ciudadanos estadounidenses o residentes permanentes legales, sino también a cualquier organización que se constituya para hacer negocios en los Estados Unidos, así como a las entidades gubernamentales federales, estatales y locales.
Normalmente, la conformidad con ITAR en relación con los datos técnicos implica garantizar que todos los centros de datos estén ubicados en los Estados Unidos y sean gestionados únicamente por personas estadounidenses. Además, las organizaciones deben garantizar que solo las personas estadounidenses puedan acceder a los datos técnicos.
Las organizaciones que venden productos o servicios al Departamento de Defensa de los Estados Unidos (DoD) o que venden a empresas que lo hacen, deben cumplir con las regulaciones ITAR. Esto significa que todas las organizaciones de la cadena de suministro del DoD deben cumplir con ITAR, desde los contratistas principales hacia abajo, incluidos los mayoristas, distribuidores y proveedores de servicios de TI.
Como proveedor de servicios en la nube en proceso de FedRAMP (nivel de impacto moderado) y el primer y único gestor de contraseñas que cotiza en el mercado de FedRAMP, Keeper está perfectamente posicionado para ayudar a las organizaciones a lograr la conformidad con ITAR.
El entorno FedRAMP de Keeper, Keeper Security Government Cloud (KSGC), está alojado en AWS GovCloud, que utiliza solo centros de datos basados en los Estados Unidos a los que solo pueden acceder personas estadounidenses. Todos los datos almacenados en AWS GovCloud están cifrados tanto en tránsito como en reposo.
Todos los ingenieros de software de Keeper y el personal de DevOps que trabajan en KSGC son personas estadounidenses, todo el código fuente de KSGC se desarrolla en los Estados Unidos y el acceso al entorno KSGC está estrictamente restringido al personal de Keeper, todos personas estadounidenses.
Además, KSGC cuenta con equipos de éxito y atención al cliente dedicados, con sede en los Estados Unidos, que han recibido formación en el manejo seguro de los datos técnicos sujetos a ITAR.
Además de brindar a los administradores de TI un control completo sobre el uso de contraseñas por parte de los empleados, la prestigiosa solución de gestión de contraseñas de Keeper ofrece controles granulares de acceso basados en roles (RBAC) con acceso de mínimo privilegio. Al utilizar Keeper, los administradores pueden garantizar que solo las personas estadounidenses puedan acceder a los datos técnicos de ITAR y que solo quienes están autorizados puedan acceder a los datos.
Keeper es un proveedor de seguridad zero-knowledge. Zero Knowledge es una arquitectura de sistema que garantiza los más altos niveles de seguridad y privacidad mediante la adhesión a los siguientes principios:
1. Los datos se cifran y descifran en el dispositivo (no en el servidor)
2. La aplicación nunca almacena datos en texto plano (legible por humanos)
3. El servidor nunca recibe datos en texto plano
4. Ningún empleado o intermediario puede ver los datos no cifrados
5. Las claves para descifrar y cifrar datos se derivan de la contraseña principal del usuario
6. El cifrado multicapa proporciona control de acceso para usuarios, grupos y administradores
7. El intercambio de datos utiliza criptografía de claves públicas para distribución de claves segura
Los datos se cifran en el dispositivo del usuario antes de transmitirse y almacenarse en el cofre digital de Keeper. Cuando los datos se sincronizan con otro dispositivo, los datos permanecen cifrados hasta que se descifran en el otro dispositivo.
Los datos de registro del usuario permanecen cifrados en todo momento, desde que salen del dispositivo del usuario final, y cuando se transmiten a través de Internet y almacenan en Keeper Vault. Esto significa que nadie, ni siquiera los propios empleados de Keeper, puede descifrar los datos que nuestros usuarios almacenan en sus cofres de Keeper. Los datos solo se pueden descifrar en el dispositivo del usuario final con la contraseña maestra.
El método de cifrado que utiliza Keeper es un algoritmo conocido y confiable llamado AES (Advanced Encryption Standard) con una longitud de clave de 256 bits. Keeper utiliza PBKDF2 con HMAC-SHA256 para convertir la contraseña maestra del usuario en una clave de cifrado de 256 bits con un mínimo de 1000 rondas. Cada usuario tiene una clave RSA de 2048 bits para el intercambio seguro de datos de registro.
Keeper permite a los administradores de TI aplicar una seguridad integral de contraseñas en toda la organización, lo que admite la verificación de usuarios y dispositivos en el núcleo del modelo de seguridad zero-trust. Esto incluye el uso de contraseñas seguras y exclusivas para cada cuenta y la autenticación multifactor (MFA de las siglas en inglés) en todas las cuentas que lo admitan.
KSGC produce un rastro de auditoría electrónico rastreable de todas las acciones realizadas o los datos ingresados dentro del entorno. Utilizar el Módulo de informes y alertas avanzados (ARAM) de Keeper Los administradores de módulos, TI y seguridad también pueden recibir notificaciones por correo electrónico, SMS o webhooks, en tiempo real, de los comportamientos inusuales o potencialmente peligrosos; alimentar automáticamente los datos de eventos en tiempo real en una hoja de cálculo externa o una solución SIEM; y crear informes personalizados basados en el tiempo para uso interno, auditorías de cumplimiento o ambos.
¿Desea obtener más información sobre cómo Keeper Security Government Cloud puede ayudar a su organización a cumplir con los requisitos de ITAR? Visite la página del producto KSGC o póngase en contacto con nuestro equipo hoy mismo.
También le puede interesar
Los empleados de los tribunales de los Estados Unidos deben acceder a docenas de sistemas y aplicaciones para completar sus funciones. Estos empleados también pueden tener acceso a la información de identificación personal (PII), que debe...
Seleccione Idioma