Scritto da
Keeper Security
Il termine “conformità ITAR” è improprio. A differenza del programma FedRAMP e di altri quadri normativi di conformità, non esiste una procedura formale di “conformità ITAR” o di “certificazione ITAR”. Le organizzazioni soggette all’ITAR sono tenute a comprendere come si applica a loro la normativa e a predisporre politiche e controlli interni finalizzati a proteggere i dati tecnici ITAR.
Vediamo in dettaglio in cosa consiste l’ITAR e in che modo la suite per la sicurezza informatica di Keeper può agevolarne la conformità.
L’International Traffic in Arms Regulation (ITAR) è il regolamento che disciplina le importazioni e le esportazioni statunitensi di articoli e servizi spaziali e di difesa secondo le definizioni della United States Munitions List (USML). Oltre a navette spaziali e siluri, l’USLM comprende quelli che l’ITAR definisce come “dati tecnici”, vale a dire piani, diagrammi, fotografie e altra documentazione utilizzata per realizzare le navette spaziali, i siluri e altro equipaggiamento militare e spaziale.
Dal punto di vista della sicurezza informatica e della conformità IT, l’ITAR impone alle aziende di assicurarsi che l’accesso ai dati tecnici sia consentito solo a “persone degli Stati Uniti”. Vale la pena notare che l’espressione “persone degli Stati Uniti”, secondo la definizione dell’ITAR, non si riferisce solo ai cittadini statunitensi o ai residenti legali permanenti nel paese, ma anche a tutte le organizzazioni costituite per svolgere attività commerciali negli Stati Uniti, nonché agli enti governativi federali, statali e locali.
Tipicamente, per quanto riguarda i dati tecnici, la conformità ITAR prevede che tutti i centri dati siano situati negli Stati Uniti e gestiti esclusivamente da persone degli Stati Uniti. Inoltre, le organizzazioni devono assicurarsi che l’accesso ai dati tecnici sia consentito esclusivamente a persone degli Stati Uniti.
Devono essere conformi alle normative ITAR le organizzazioni che vendono prodotti o servizi al Dipartimento della Difesa degli Stati Uniti (DoD) direttamente o attraverso altre aziende. Pertanto, tutte le organizzazioni appartenenti alla supply chain del Dipartimento della Difesa devono essere conformi all’ITAR, dai contraenti primari in giù, compresi i grossisti, i distributori e i fornitori di servizi IT.
In quanto fornitore di servizi cloud in via di autorizzazione FedRAMP (livello d’impatto moderato) e primo e unico Password Manager incluso nel marketplace del programma, Keeper si trova nella posizione ideale per aiutare le organizzazioni a conseguire la conformità ITAR.
L’ambiente FedRAMP di Keeper, Keeper Security Government Cloud (KSGC), è ospitato su AWS GovCloud, che utilizza unicamente centri dati situati negli Stati Uniti e accessibili solo da persone degli Stati Uniti. Tutti i dati archiviati in AWS GovCloud vengono crittografati sia in transito che a riposo.
Tutti gli ingegneri del software e i membri del personale DevOps di Keeper che lavorano su KSGC sono persone degli Stati Uniti, tutto il codice sorgente KSGC viene sviluppato negli Stati Uniti e l’accesso all’ambiente KSGC è strettamente limitato ai membri del personale di Keeper che sono persone degli Stati Uniti.
Inoltre, KSGC dispone di team di soddisfazione e assistenza clienti dedicati situati negli Stati Uniti, che hanno ricevuto un’apposita formazione sulla gestione sicura dei dati tecnici disciplinati dall’ITAR.
Oltre a offrire agli amministratori IT il controllo completo sull’utilizzo delle password da parte dei dipendenti, l’apprezzatissima soluzione di gestione delle password di Keeper offre controlli degli accessi basati sui ruoli (RBAC) molto dettagliati, con l’accesso con privilegi minimi. Con Keeper, gli amministratori possono assicurarsi che solo le persone degli Stati Uniti possano accedere ai dati tecnici ITAR, e unicamente a quelli per i quali dispongono di un’autorizzazione.
Keeper è un fornitore di servizi di sicurezza zero-knowledge. l’architettura zero-knowledge è un’architettura di sistema che garantisce i massimi livelli di sicurezza e privacy attraverso il rispetto dei seguenti principi:
1. I dati vengono crittografati e decrittografati a livello di dispositivo (e non sul server)
2. L’applicazione non memorizza mai i dati in formato di testo semplice (esplicitamente leggibile)
3. Il server non riceve mai dati in formato di testo semplice
4. Nessun dipendente o intermediario può visualizzare i dati non crittografati
5. Le chiavi per decrittografare e crittografare i dati sono derivate dalla password principale dell’utente
6. La crittografia multilivello fornisce il controllo degli accessi a livello di utente, gruppo e amministratore.
7. La condivisione dei dati utilizza la crittografia a chiave pubblica per la distribuzione sicura delle chiavi
I dati vengono crittografati sul dispositivo dell’utente prima di essere trasmessi alla cassaforte digitale di Keeper, dove vengono archiviati. Quando i dati vengono sincronizzati su un altro dispositivo, rimangono crittografati finché non sono decrittografati sull’altro dispositivo.
I dati del record utente rimangono crittografati per tutto il tempo che trascorre da quando lasciano il dispositivo dell’utente finale per poi venire trasmessi su Internet e infine archiviati nella cassaforte di Keeper. Pertanto, nessuno, nemmeno i dipendenti di Keeper, può decrittografare i dati archiviati dai nostri utenti nelle rispettive casseforti di Keeper. I dati possono essere decrittografati sul dispositivo dell’utente finale solo utilizzando la password principale.
Il metodo di crittografia utilizzato da Keeper è un algoritmo noto e affidabile chiamato AES (Advanced Encryption Standard) con una chiave a 256 bit. Keeper utilizza la funzione PBKDF2 con HMAC-SHA256 per convertire la password principale dell’utente in una chiave di crittografia a 256 bit con un minimo di 1.000 round. Ogni utente dispone di una chiave RSA a 2048 bit per la condivisione sicura dei dati relativi alle voci.
Keeper consente agli amministratori IT di applicare a livello dell’intera organizzazione la sicurezza delle password completa, che supporta la verifica degli utenti e dei dispositivi che costituisce il nucleo del modello di sicurezza zero-trust. È incluso l’uso di password univoche efficaci per ogni account e l’autenticazione a più fattori (MFA) su tutti gli account che la supportano.
KSGC produce un audit trail elettronico tracciabile di tutte le azioni eseguite o dei dati inseriti all’interno dell’ambiente. Utilizzando il modulo di segnalazione e avvisi avanzati (ARAM) di Keeper, gli amministratori IT e della sicurezza possono anche ricevere e-mail, SMS o notifiche webhook in tempo reale in caso di comportamenti insoliti o potenzialmente rischiosi, inserire automaticamente e in tempo reale i dati degli eventi in un foglio di calcolo esterno o in una soluzione SIEM, e creare report personalizzati temporanei per uso interno, verifiche di conformità o entrambi.
Vuoi saperne di più su come Keeper Security Government Cloud può aiutare la tua organizzazione a soddisfare i requisiti ITAR? Visita la pagina del prodotto KSGC o contatta il nostro team oggi stesso.
Potrebbe piacerti anche
I dipendenti dei tribunali degli Stati Uniti devono accedere a decine di sistemi e applicazioni per completare le loro funzioni. Questi dipendenti potrebbero anche accedere alle informazioni di identificazione personale (PII), che devono essere archiviate in...
Scegli la lingua