Pracownicy sądów w USA muszą uzyskiwać dostęp do dziesiątek systemów i aplikacji, aby wypełniać swoje obowiązki. Pracownicy ci mogą również mieć dostęp do danych osobowych, które muszą być
Termin „zgodność z ITAR” jest błędny. W przeciwieństwie do FedRAMP i innych ram zgodności nie istnieje formalny proces „zgodności z ITAR” ani „certyfikacja ITAR”. Organizacje objęte ITAR muszą zrozumieć, w jaki sposób mają do nich zastosowanie przepisy i ustanowić wewnętrzne polityki i środki kontroli w celu ochrony danych technicznych ITAR.
Przeanalizujmy, na czym polega ITAR i w jaki sposób pakiet cyberbezpieczeństwa Keeper może pomóc w jego przestrzeganiu.
Czym jest zgodność z ITAR?
Według listy USML (United States Munitions List) rozporządzenie ITAR (International Traffic in Arms Regulation) reguluje import i eksport artykułów i usług związanych z przestrzenią kosmiczną i obronnością w USA. Poza wahadłowcami kosmicznymi i torpedami USML opisuje również to, co ITAR określa jako „dane techniczne”: np. plany, schematy, zdjęcia i inne dokumenty wykorzystywane do budowy promów kosmicznych, torped i innego sprzętu wojskowego i kosmicznego.
Z punktu widzenia cyberbezpieczeństwa i zgodności z przepisami ITAR wymaga od firm, aby zapewniły dostęp do danych technicznych tylko „osobom podlegającym rządowi USA”. Termin „osoby podlegające rządowi USA”, według definicji ITAR, odnosi się nie tylko do osób, które są obywatelami USA lub mają prawo stałego pobytu, ale także do każdej organizacji zarejestrowanej w celu prowadzenia działalności gospodarczej w USA, a także do podmiotów rządowych na poziomie federalnym, stanowym i lokalnym.
Zazwyczaj zgodność z ITAR w odniesieniu do danych technicznych obejmuje gwarancję, że wszystkie centra danych znajdują się w USA i są zarządzane wyłącznie przez osoby podlegające rządowi USA. Ponadto organizacje muszą zagwarantować, że tylko osoby podlegające rządowi USA mają dostęp do danych technicznych.
Które organizacje muszą spełniać wymogi ITAR?
Organizacje, które sprzedają produkty lub usługi Departamentowi Obrony Stanów Zjednoczonych (DoD) – lub sprzedają towary firmom, które to robią – muszą spełniać przepisy ITAR. Oznacza to, że każda organizacja w łańcuchu dostaw DoD musi spełniać wymogi ITAR, od głównych wykonawców w dół łańcucha, w tym hurtowników, dystrybutorów i dostawców usług IT.
Keeper Security Government Cloud (KSGC) jest zgodny z ITAR
Jako dostawca usług w chmurze FedRAMP (umiarkowany poziom wpływu) oraz pierwszy i jedyny menedżer haseł dostępny na rynku FedRAMP, Keeper oferuje organizacjom pomoc w osiągnięciu zgodności z ITAR.
Hostowany w AWS GovCloud
Środowisko Keeper Security Government Cloud (KSGC) jest hostowane w chmurze AWS GovCloud, która korzysta tylko z amerykańskich centrów danych, do których dostęp mają tylko osoby podlegające rządowi USA. Wszystkie dane przechowywane w AWS GovCloud są szyfrowane zarówno podczas przesyłania, jak i podczas przechowywania.
Platforma zlokalizowana w USA zaprojektowana, zarządzana i obsługiwana przez podlegające rządowi USA
Wszyscy inżynierowie oprogramowania Keeper i pracownicy DevOps pracujący przy KSGC są osobami podlegającymi rządowi USA, cały kod źródłowy KSGC jest opracowywany w USA, a dostęp do środowiska KSGC jest ściśle ograniczony do pracowników Keeper będących osobami podlegającymi rządowi USA.
Co więcej, KSGC powołało zespoły ds. sukcesu klienta i obsługi klienta zlokalizowane w USA, które zostały przeszkolone w zakresie bezpiecznego obchodzenia się z danymi technicznymi regulowanymi przez ITAR.
Szczegółowe środki kontroli uprawnień
Poza tym, że administratorzy IT mają pełną kontrolę nad wykorzystaniem haseł pracowniczych, najlepiej oceniane rozwiązanie Keeper do zarządzania hasłami oferuje szczegółowe kontrole dostępu oparte na rolach (RBAC) z dostępem na zasadzie niezbędnych minimalnych uprawnień. Korzystając z Keepera, administratorzy mogą zagwarantować, że tylko osoby podlegające rządowi USA mają dostęp do danych technicznych ITAR i że są to tylko takie dane, do których mają uprawniony dostęp.
Architektura zabezpieczeń Zero-Knowledge
Keeper jest dostawcą zabezpieczeń typu zero-knowledge. Zero Knowledge to architektura systemu, która gwarantuje najwyższy poziom bezpieczeństwa i prywatności przestrzegająca poniższych zasad:
1. Dane są szyfrowane i deszyfrowane na poziomie urządzenia (nie na serwerze)
2. Aplikacja nigdy nie przechowuje danych czystego tekstu (czytelnych dla ludzi)
3. Serwer nigdy nie otrzymuje danych w postaci zwykłego tekstu
4. Żaden pracownik ani osoba pośrednia nie może zobaczyć niezaszyfrowanych danych
5. Klucze do deszyfrowania i szyfrowania danych pochodzą z głównego hasła użytkownika
6. Szyfrowanie wielowarstwowe zapewnia kontrolę dostępu na poziomie użytkownika, grupy i administratora
7. Udostępnianie danych wykorzystuje kryptografię klucza publicznego do bezpiecznej dystrybucji klucza
Dane są szyfrowane na urządzeniu użytkownika przed ich przesłaniem i przechowywaniem w cyfrowym magazynie Keeper. Gdy dane są synchronizowane z innym urządzeniem, dane pozostają zaszyfrowane do momentu ich deszyfrowania na innym urządzeniu.
Dane rejestrowe użytkownika pozostają zaszyfrowane przez cały czas po opuszczeniu urządzenia użytkownika końcowego, przesłaniu przez Internet i gdy są przechowywane w magazynie Keeper. Oznacza to, że nikt – nawet pracownicy Keeper – nie mogą odszyfrować danych, które nasi użytkownicy przechowują w swoich magazynach Keeper. Dane można deszyfrować tylko na urządzeniu użytkownika końcowego za pomocą głównego hasła.
Metodą szyfrowania stosowaną przez Keeper jest dobrze znany, zaufany algorytm o nazwie AES (Advanced Encryption Standard) z kluczem 256-bitowym. Keeper korzysta z PBKDF2 z HMAC-SHA256 do konwersji głównego hasła użytkownika na klucz szyfrowania 256-bitowy z minimum 1000 rundami. Każdy użytkownik ma 2048-bitowy klucz RSA do bezpiecznego udostępniania danych rejestrowych.
Zasady dostępu Zero-Trust
Keeper umożliwia administratorom IT egzekwowanie kompleksowego zabezpieczenia haseł w całej organizacji, co obsługuje weryfikację użytkowników i urządzeń będącym kluczowym elementem modelu bezpieczeństwa zero-trust. Obejmuje to stosowanie silnych, unikalnych haseł dla każdego konta i uwierzytelnianie wieloskładnikowe (MFA) na wszystkich kontach, które je obsługują.
Solidne audyty zgodności i raportowanie
KSGC tworzy identyfikowalną, elektroniczną ścieżkę audytu wszystkich wykonywanych czynności lub danych wprowadzanych do środowiska. Korzystając z modułu Keeper w zakresie zaawansowanegp raportowania i alertów (ARAM) administratorzy systemów IT i ds. bezpieczeństwa mogą również otrzymywać powiadomienia e-mail, SMS lub webhooki w czasie rzeczywistym o nietypowych lub potencjalnie ryzykownych zachowaniach; automatycznie przesyłać dane zdarzeń w czasie rzeczywistym do zewnętrznego arkusza kalkulacyjnego lub rozwiązania SIEM; oraz tworzyć niestandardowe, oparte na czasie raporty do użytku wewnętrznego lub do celów audytu zgodności.
Chcesz dowiedzieć się więcej o tym, jak Keeper Security Government Cloud może pomóc Twojej organizacji w spełnieniu wymagań ITAR? Odwiedź stronę produktu KSGC lub skontaktuj się z naszym zespołem już dziś.