O que é conformidade com o ITAR? A quem se aplica?

Publicado em junho 21, 2022

O termo “conformidade com o ITAR” é um equívoco. Ao contrário do FedRAMP e outros modelos de conformidade, não há processo formal de “Conformidade com o ITAR” ou “Certificação ITAR”. As organizações que se enquadram no ITAR precisam entender como os regulamentos se aplicam a elas e definir políticas e controles internos para proteger dados técnicos do ITAR.

Vamos examinar o que é o ITAR e como o conjunto de segurança cibernética do Keeper pode ajudar você a respeitá-lo.

O que é conformidade com o ITAR?

O Regulamento Internacional sobre o Tráfego de Armas (ITAR) regula as importações e exportações dos EUA de artigos e serviços relacionados ao espaço e à defesa, conforme descrito na Lista de Equipamento Militar dos Estados Unidos (USML). Além de ônibus espaciais e torpedos, o USML também inclui o que o ITAR se refere como “dados técnicos”: coisas como planos, diagramas, fotos e outras documentações usadas para construir ônibus espaciais, torpedos e outros aparatos militares e espaciais.

Do ponto de vista de segurança cibernética e conformidade de TI, o ITAR exige que as empresas garantam que apenas “Indivíduos dos EUA” possam acessar dados técnicos. É importante notar que o termo “Indivíduos dos EUA”, segundo a definição do ITAR, se refere não apenas a pessoas que são cidadãos dos EUA ou residentes permanentes legais, mas também a qualquer organização incorporada para fazer negócios nos EUA, bem como a entidades governamentais federais, estaduais e locais.

Normalmente, a conformidade com o ITAR em relação a dados técnicos envolve garantir que todos os data centers estejam localizados nos EUA e sejam gerenciados exclusivamente por “Indivíduos dos EUA”. Além disso, as organizações devem garantir que apenas “Indivíduos dos EUA” possam acessar dados técnicos.

Quais organizações devem estar em conformidade com o ITAR?

As organizações que vendem produtos ou serviços para o Departamento de Defesa dos Estados Unidos (DoD) – ou que vendem para empresas que o fazem – devem estar em conformidade com os regulamentos do ITAR. Isso significa que todas as organizações na cadeia de suprimentos do DoD devem estar em conformidade com o ITAR, de contratados principais para baixo (incluindo atacadistas, distribuidores e prestadores de serviços de TI).

O Keeper Security Government Cloud (KSGC) está em conformidade com o ITAR

Como um provedor de serviços de nuvem FedRAMP em processo (Nível de impacto moderado) e o primeiro e único gerenciador de senhas listado no marketplace FedRAMP, o Keeper está bem posicionado para ajudar as organizações a alcançar a conformidade com o ITAR.

Hospedado no AWS GovCloud

O ambiente FedRAMP do Keeper, o Keeper Security Government Cloud (KSGC), está hospedado no AWS GovCloud, que usa apenas data centers nos EUA, acessíveis apenas por “Indivíduos dos EUA”. Todos os dados armazenados no AWS GovCloud são criptografados tanto em trânsito quanto em repouso.

Plataforma sediada nos EUA projetada por, gerenciada por e com suporte de “Indivíduos dos EUA”

Todos os engenheiros de software do Keeper e funcionários de DevOps que trabalham no KSGC são “Indivíduos dos EUA”, todo o código-fonte do KSGC é desenvolvido nos EUA e o acesso ao ambiente do KSGC é fortemente restrito aos funcionários do Keeper que são “Indivíduos dos EUA”.

Além disso, o KSGC tem equipes dedicadas de suporte e sucesso do cliente sediadas nos EUA, que foram treinadas para tratar os dados técnicos regidos pelo ITAR com segurança.

Controles de permissão granulares

Além de dar aos administradores de TI controle completo sobre o uso de senhas dos funcionários, a renomada solução de gerenciamento de senhas do Keeper oferece controles de acesso granulares baseados em funções (RBAC), com acesso baseado em menor privilégio. Usando o Keeper, os administradores podem garantir que apenas “Indivíduos dos EUA” possam acessar dados técnicos do ITAR e que possam acessar apenas os dados aos quais estão autorizados.

Arquitetura de segurança “conhecimento zero”

O Keeper é um provedor de segurança “conhecimento zero”. “Conhecimento zero” é uma arquitetura de sistema que garante os mais altos níveis de segurança e privacidade, aderindo aos seguintes princípios:

1. Os dados são criptografados e descriptografados no nível do dispositivo (não no servidor)
2. O aplicativo nunca armazena dados de texto simples (legíveis por humanos)
3. O servidor nunca recebe dados em texto simples
4. Nenhum funcionário ou intermediário pode visualizar os dados não criptografados
5. As chaves para descriptografar e criptografar dados são derivadas da senha principal do usuário
6. A criptografia de várias camadas fornece controle de acesso no nível de usuário, grupo e administrador
7. O compartilhamento de dados usa criptografia de chave pública para distribuição segura de chaves

Os dados são criptografados no dispositivo do usuário antes de serem transmitidos e armazenados no cofre digital do Keeper. Quando os dados são sincronizados com outro dispositivo, os dados permanecem criptografados até serem descriptografados no outro dispositivo.

Os dados de registro do usuário permanecem criptografados o tempo todo depois de deixarem o dispositivo do usuário final, serem transmitidos pela Internet e serem armazenados no Keeper Vault. Isso significa que ninguém – nem mesmo os próprios funcionários do Keeper – pode descriptografar os dados que nossos usuários armazenam em seus cofres do Keeper. Os dados só podem ser descriptografados no dispositivo do usuário final com a senha principal.

O método de criptografia que o Keeper usa é um algoritmo conhecido e confiável chamado AES (Advanced Encryption Standard), com um comprimento de chave de 256 bits. O Keeper usa PBKDF2 com HMAC-SHA256 para converter a senha principal do usuário em uma chave de criptografia de 256 bits com um mínimo de 1.000 rodadas. Cada usuário tem uma chave RSA de 2048 bits para o compartilhamento seguro de dados de registro.

Políticas de acesso “confiança zero”

O Keeper permite que os administradores de TI apliquem segurança abrangente sobre as senhas de toda a organização, o que fornece suporte à verificação de usuário e dispositivo no centro do modelo de segurança “confiança zero”. Isso inclui o uso de senhas fortes e exclusivas para todas as contas e Autenticação multifatorial (MFA) em todas as contas compatíveis com isso.

Auditoria e relatórios de conformidade robustos

O KSGC produz uma trilha de auditoria eletrônica rastreável de todas as ações realizadas ou dados inseridos no ambiente. Usando o módulo de Relatórios e alertas avançados (ARAM) do Keeper, os administradores de TI e segurança também podem receber notificações em tempo real de comportamentos incomuns ou potencialmente arriscados por email, SMS ou webhooks; alimentar automaticamente dados de eventos em tempo real para uma planilha externa ou solução SIEM; e criar relatórios personalizados e baseados em tempo para uso interno, auditorias de conformidade ou ambos.

Quer saber mais sobre como o Keeper Security Government Cloud pode ajudar sua organização a atender aos requisitos do ITAR? Acesse a página do produto KSGCM ou entre em contato com nossa equipe hoje.

Keeper Security

Por Keeper Security

O Keeper Security está transformando a maneira como pessoas e organizações em todo o mundo protegem suas senhas, segredos e informações confidenciais. A plataforma de segurança cibernética fácil de usar do Keeper é baseada em segurança de confiança zero e conhecimento zero para proteger cada usuário, em cada dispositivo. Com a confiança de milhões de pessoas e milhares de organizações, o Keeper é líder em gerenciamento de senhas, gerenciamento de segredos, acesso privilegiado, acesso remoto seguro e mensagens criptografadas.