Escrito por
Keeper Security
O termo “conformidade com o ITAR” é um equívoco. Ao contrário do FedRAMP e outros modelos de conformidade, não há processo formal de “Conformidade com o ITAR” ou “Certificação ITAR”. As organizações que se enquadram no ITAR precisam entender como os regulamentos se aplicam a elas e definir políticas e controles internos para proteger dados técnicos do ITAR.
Vamos examinar o que é o ITAR e como o conjunto de segurança cibernética do Keeper pode ajudar você a respeitá-lo.
O Regulamento Internacional sobre o Tráfego de Armas (ITAR) regula as importações e exportações dos EUA de artigos e serviços relacionados ao espaço e à defesa, conforme descrito na Lista de Equipamento Militar dos Estados Unidos (USML). Além de ônibus espaciais e torpedos, o USML também inclui o que o ITAR se refere como “dados técnicos”: coisas como planos, diagramas, fotos e outras documentações usadas para construir ônibus espaciais, torpedos e outros aparatos militares e espaciais.
Do ponto de vista de segurança cibernética e conformidade de TI, o ITAR exige que as empresas garantam que apenas “Indivíduos dos EUA” possam acessar dados técnicos. É importante notar que o termo “Indivíduos dos EUA”, segundo a definição do ITAR, se refere não apenas a pessoas que são cidadãos dos EUA ou residentes permanentes legais, mas também a qualquer organização incorporada para fazer negócios nos EUA, bem como a entidades governamentais federais, estaduais e locais.
Normalmente, a conformidade com o ITAR em relação a dados técnicos envolve garantir que todos os data centers estejam localizados nos EUA e sejam gerenciados exclusivamente por “Indivíduos dos EUA”. Além disso, as organizações devem garantir que apenas “Indivíduos dos EUA” possam acessar dados técnicos.
As organizações que vendem produtos ou serviços para o Departamento de Defesa dos Estados Unidos (DoD) – ou que vendem para empresas que o fazem – devem estar em conformidade com os regulamentos do ITAR. Isso significa que todas as organizações na cadeia de suprimentos do DoD devem estar em conformidade com o ITAR, de contratados principais para baixo (incluindo atacadistas, distribuidores e prestadores de serviços de TI).
Como um provedor de serviços de nuvem FedRAMP em processo (Nível de impacto moderado) e o primeiro e único gerenciador de senhas listado no marketplace FedRAMP, o Keeper está bem posicionado para ajudar as organizações a alcançar a conformidade com o ITAR.
O ambiente FedRAMP do Keeper, o Keeper Security Government Cloud (KSGC), está hospedado no AWS GovCloud, que usa apenas data centers nos EUA, acessíveis apenas por “Indivíduos dos EUA”. Todos os dados armazenados no AWS GovCloud são criptografados tanto em trânsito quanto em repouso.
Todos os engenheiros de software do Keeper e funcionários de DevOps que trabalham no KSGC são “Indivíduos dos EUA”, todo o código-fonte do KSGC é desenvolvido nos EUA e o acesso ao ambiente do KSGC é fortemente restrito aos funcionários do Keeper que são “Indivíduos dos EUA”.
Além disso, o KSGC tem equipes dedicadas de suporte e sucesso do cliente sediadas nos EUA, que foram treinadas para tratar os dados técnicos regidos pelo ITAR com segurança.
Além de dar aos administradores de TI controle completo sobre o uso de senhas dos funcionários, a renomada solução de gerenciamento de senhas do Keeper oferece controles de acesso granulares baseados em funções (RBAC), com acesso baseado em menor privilégio. Usando o Keeper, os administradores podem garantir que apenas “Indivíduos dos EUA” possam acessar dados técnicos do ITAR e que possam acessar apenas os dados aos quais estão autorizados.
O Keeper é um provedor de segurança “conhecimento zero”. “Conhecimento zero” é uma arquitetura de sistema que garante os mais altos níveis de segurança e privacidade, aderindo aos seguintes princípios:
1. Os dados são criptografados e descriptografados no nível do dispositivo (não no servidor)
2. O aplicativo nunca armazena dados de texto simples (legíveis por humanos)
3. O servidor nunca recebe dados em texto simples
4. Nenhum funcionário ou intermediário pode visualizar os dados não criptografados
5. As chaves para descriptografar e criptografar dados são derivadas da senha principal do usuário
6. A criptografia de várias camadas fornece controle de acesso no nível de usuário, grupo e administrador
7. O compartilhamento de dados usa criptografia de chave pública para distribuição segura de chaves
Os dados são criptografados no dispositivo do usuário antes de serem transmitidos e armazenados no cofre digital do Keeper. Quando os dados são sincronizados com outro dispositivo, os dados permanecem criptografados até serem descriptografados no outro dispositivo.
Os dados de registro do usuário permanecem criptografados o tempo todo depois de deixarem o dispositivo do usuário final, serem transmitidos pela Internet e serem armazenados no Keeper Vault. Isso significa que ninguém – nem mesmo os próprios funcionários do Keeper – pode descriptografar os dados que nossos usuários armazenam em seus cofres do Keeper. Os dados só podem ser descriptografados no dispositivo do usuário final com a senha principal.
O método de criptografia que o Keeper usa é um algoritmo conhecido e confiável chamado AES (Advanced Encryption Standard), com um comprimento de chave de 256 bits. O Keeper usa PBKDF2 com HMAC-SHA256 para converter a senha principal do usuário em uma chave de criptografia de 256 bits com um mínimo de 1.000 rodadas. Cada usuário tem uma chave RSA de 2048 bits para o compartilhamento seguro de dados de registro.
O Keeper permite que os administradores de TI apliquem segurança abrangente sobre as senhas de toda a organização, o que fornece suporte à verificação de usuário e dispositivo no centro do modelo de segurança “confiança zero”. Isso inclui o uso de senhas fortes e exclusivas para todas as contas e Autenticação multifatorial (MFA) em todas as contas compatíveis com isso.
O KSGC produz uma trilha de auditoria eletrônica rastreável de todas as ações realizadas ou dados inseridos no ambiente. Usando o módulo de Relatórios e alertas avançados (ARAM) do Keeper, os administradores de TI e segurança também podem receber notificações em tempo real de comportamentos incomuns ou potencialmente arriscados por email, SMS ou webhooks; alimentar automaticamente dados de eventos em tempo real para uma planilha externa ou solução SIEM; e criar relatórios personalizados e baseados em tempo para uso interno, auditorias de conformidade ou ambos.
Quer saber mais sobre como o Keeper Security Government Cloud pode ajudar sua organização a atender aos requisitos do ITAR? Acesse a página do produto KSGCM ou entre em contato com nossa equipe hoje.
Você também pode gostar de
Funcionários dos tribunais dos EUA precisam acessar dezenas de sistemas e aplicativos para concluir suas funções. Esses funcionários também podem ter acesso às informações de identificação pessoal (PII), que devem ser armazenadas e gerenciadas com segurança...
Selecionar idioma