需要处理的一些比较棘手的导出遵从性问题是与计算技术相关的问题, 软件和数据.
出口管制对某些类型的技术数据和软件要求许可证或许可证例外, 包括加密等计算技术[参见相关文章: 许可证例外ENC和加密的复杂性].
云计算的发展, 以及相关的软件即服务(SaaS)概念, 对这些规则如何适用提出了新的问题, 与此同时,这些规定也适用于那些可能甚至没有意识到自己有出口问题的公司.
造成困惑的原因主要围绕两个问题:
- 即使是简单的云计算事件——比如在远程办公的同事之间共享电子表格——也依赖于多层相互依赖的技术. 共享电子表格需要软件(比如Excel或Google Sheets), cloud services (Microsoft Azure) and user data; who has possession of it at any given moment is rarely clear.
- 云计算是无国界的. 云存储旨在确保不间断地访问信息, 这需要能够在位于世界各地的服务器之间移动和存储数据.
据TechCrunch报道, 到2022年,全球三分之二的云计算活动仅由三个实体的云基础设施提供支持:, 微软Azure和谷歌云平台(GCP)——它们都在全球维护互联的数据中心. 据报道,AWS在20多个国家拥有数据中心,其中仅中国就有6个 Dgitl Infra该公司服务于全球数字基础设施行业.
所以即使你的公司只在美国经营, 如果没有适当的出口管制授权,您的出口管制软件或技术可能会在不属于它的外国地区被访问. 如果你在其他国家有合作伙伴负责销售, 分布, 制造或售后服务, 获取受出口控制的数据或技术可能很困难.
你应该担心吗?? 你可以采取什么措施来防止无意中输出受控制的软件, 技术或数据?
So far, 工业和安全局(BIS)和国防贸易管制局(DDTC)都没有, 分别由哪两个机构负责管理《英雄联盟外围下注》和《LOL外围下注》, 是否通过法规在很大程度上解决了这个问题.
但国际清算银行已经就此事发表了一些咨询意见, 其摘要载于相关文章: 在云中发生的事情将留在云中. 答案取决于您在云中的角色.
云服务提供商
对于主要的U.S.基于美国的云基础设施提供商——像AWS和GCP这样的巨头——提供“计算能力”本身不受EAR的约束, 根据BIS指南.
这种观点认为云服务提供商像电话和移动通信运营商:像Verizon或AT这样的运营商&我不能为你在网络上的电话交谈中所说的话负责.
国际清算银行的观点是有界限的. 如果云提供商允许“外国人”访问其操作技术,例如 不公开的技术数据和支持信息 -实际上可能成为受EAR管制的出口产品.
此外,云服务受到与任何其他美国法律相同的限制.S. 向个人提供物品的实体, 受制裁的实体和国家, 比如伊朗和朝鲜.
SaaS提供商
软件即服务公司使用云来分发企业日常使用的软件功能, 这些问题超出了数据的存储和检索.
这些公司的例子包括Slack(团队协作)、Salesforce.com(客户关系管理)和Autodesk (CAD/CAM), 这只是现存的数千个中的几个. 在今天结束之前,您很可能会使用几个SaaS产品.
在云计算和SaaS之前, 这样的软件可以通过cd或下载提供, 在很多情况下,哪种出口是受控制的. 但这些设备往往安装在个人电脑上, 或通过公司局域网提供, 哪些相对容易保护.
但当CAD/CAM软件, 举个例子, 是通过云提供的吗, 用户将使用可能位于世界任何地方的计算机服务器创建自己的产品和制造系统的模拟. 其中一些可能是敏感物品, 比如核动力部件或美国海军的导航系统.S. military.
在这种情况下, 问题不仅仅在于他们是否在出口软件, 但它们储存着高度受控技术的细节.
自2016年起,《LOL外围下注》的相关条文(Section 120.54)及EAR (Section 734.18)已更新为,如符合下列条件,技术资料和软件不被视为出口:
- 这是不保密的
- 它通过端到端加密(其含义由法规定义)进行保护。
- 它的保护方式符合联邦信息 处理标准出版物140-2 或其等价物;
- 它不是储存在一个有武器禁运的国家.e. 中确定 ITAR 126.1D组国家:5英寸 补充不. EAR第1部分至740部分.)
Ultimately, 这意味着SaaS提供商必须确保自己的技术不被输出, 但就像云服务提供商一样, 他们不太可能对用户放在他们网络上的内容负责.
Meanwhile, 云服务的用户必须采取行动, 包括端到端加密的使用, 以确保他们的行为在ITAR或EAR下不被视为出口(可能需要许可证). 如果该活动不是导出, it logically follows that no license would be required; this is the main advantage of these exclusions from regulation.
云平台和SaaS系统的最终用户
与责任有限的云服务和SaaS提供商, 流经这些系统的信息安全的最终责任落在最终用户身上. 适用于云和SaaS实体的相同法规也适用于其他业务: Section 120.54 ,以及 Section 734.18 of the EAR.
最终用户的主要关注点是:
- 确定他们自己的信息是否受法规的约束——不管这些信息是如何存储和传输的[参见相关帖子: EAR和ITAR基础-开始正确的方式];
- 像管理其他产品一样,有效和彻底地管理出口合规, 服务或技术——包括谁访问受控软件的责任, 美国境外的数据或技术;
- 如果他们打算依赖适用的ITAR/EAR排除,则确保数据被适当加密.
基于行业对这些问题的关注, 许多云提供商现在提供他们所谓的符合政府要求的云服务. These premium offerings may include things like encryption capabilities that meet the above-referenced federal standard; exclusive storage on servers based in the United States; and operating teams comprised only of U.S. citizens.
For example, AWS产品, 叫做美国云政府, claims its solutions “comply with FedRAMP High baseline; the DOJ’s Criminal Justice Information Systems (CJIS) Security Policy; U.S. International Traffic in Arms Regulations (ITAR); Export Administration Regulations (EAR); Department of Defense (DoD) 云计算 Security Requirements Guide (SRG) for Impact Levels 2, 4 and 5; FIPS 140-2; IRS-1075; and other compliance regimes.”
虽然这些服务可能提供价值,但它们也被广泛误解.
出口条例规定了出口商的义务, 但他们没有规定如何满足这些要求.
这些高级服务没有得到美国政府的授权或批准.S. government. 因此,这些符合政府要求的云可能会提供额外的安全级别, 但是他们不能提供赔偿, 它们不是为了符合出口规定而被要求的.
你对云计算的出口影响有什么问题吗? Visit www.davidatkinsontv.com 了解LOL外围下注的公司,LOL外围下注的教师,LOL外围下注的员工和LOL外围下注尊敬的人 出口合规专家(ECoP®)认证计划. 找到即将到来的 e-seminars, 现场研讨会 and 生活LOL外围下注 and 浏览LOL外围下注的目录80多个按需网络研讨会, 参观LOL外围下注的ECTI学院. 您也可以致电LOL外围下注 540-433-3977 了解更多信息.
斯科特Gearity 是ECTI公司的总裁.