Us Export Administration Regulations (EAR)

  • Articolo

Informazioni sull'EAR

Il Dipartimento del Commercio degli Stati Uniti applica le normative sull'amministrazione delle esportazioni (EAR) tramite il Bureau of Industry and Security (BIS). L'EAR governa e impone in generale controlli sull'esportazione e la riesporta della maggior parte dei beni commerciali, del software e della tecnologia, inclusi gli articoli a "doppio uso" che possono essere utilizzati sia per scopi commerciali che militari e per alcuni elementi di difesa.

Secondo le indicazioni BIS, quando i dati o il software vengono caricati nel cloud o trasferiti tra nodi utente, il cliente, non il provider di servizi cloud, è l'"esportatore" che ha la responsabilità di garantire che i trasferimenti, l'archiviazione e l'accesso a tali dati o software siano conformi all'EAR.

Secondo il BIS, l'esportazione si riferisce al trasferimento di dati tecnici o tecnologici protetti a una destinazione straniera o al suo rilascio a una persona straniera nel Stati Uniti (detta anche esportazione considerata). L'EAR regola ampiamente:

  • Esporta dalla Stati Uniti.
  • Riesporta o ritrasferisce gli elementi di origine statunitense e alcuni elementi di origine esterna con più di una parte de minimis del contenuto di origine STATUNITENSE.
  • Trasferimenti o divulgazione a persone provenienti da altri paesi.

Gli elementi soggetti all'EAR sono disponibili nell'elenco di controllo di commercio (CCL) in cui a ogni elemento viene assegnato un numero di classificazione del controllo di esportazione (ECCN) univoco. Gli elementi non elencati nel CCL sono designati come EAR99 e la maggior parte dei prodotti commerciali EAR99 non richiede l'esportazione di una licenza. Tuttavia, a seconda della destinazione, dell'utente finale o dell'uso finale dell'elemento, anche un elemento EAR99 può richiedere una licenza di esportazione BIS.

La regola finale, pubblicata nel giugno 2016, ha chiarito che i requisiti di licenza EAR non si applicano anche alla trasmissione e all'archiviazione di dati tecnici e software non classificati se sono stati crittografati end-to-end usando moduli crittografici convalidati FIPS 140-2 e non sono stati intenzionalmente archiviati in un paese sottoposto a embargo militare o nella Federazione russa.

Microsoft e l'EAR

Le tecnologie, i prodotti e i servizi Microsoft sono soggetti alle normative dell'amministrazione delle esportazioni (EAR) degli Stati Uniti. Anche se non esiste alcuna certificazione di conformità per l'EAR, Microsoft Azure, Microsoft Azure per enti pubblici e Microsoft Office 365 per enti pubblici (ambienti GCC High e DoD) offrono funzionalità e strumenti importanti per aiutare i clienti idonei soggetti all'EAR a gestire i rischi di controllo delle esportazioni e a soddisfare i requisiti di conformità.

Il Dipartimento del Commercio degli Stati Uniti, che applica l'EAR, ha assunto la posizione che i clienti, non i provider di servizi cloud come Microsoft, sono considerati esportatori dei propri dati dei clienti. Anche se la maggior parte dei dati dei clienti non è considerata "tecnologia" o "dati tecnici" soggetti ai controlli di esportazione EAR, i servizi cloud microsoft nell'ambito sono strutturati per aiutare i clienti a gestire e attenuare in modo significativo i potenziali rischi di controllo delle esportazioni che devono affrontare. Microsoft in genere, ma non esclusivamente, consiglia l'uso dei servizi cloud per enti pubblici per i clienti idonei. Con una pianificazione appropriata, i clienti possono usare gli strumenti seguenti e le proprie procedure interne per garantire la piena conformità con i controlli di esportazione degli Stati Uniti.

  • Controlli sulla posizione dei dati. I clienti hanno visibilità sulla posizione in cui vengono archiviati i dati e hanno accesso a strumenti affidabili per limitare l'archiviazione. Possono quindi garantire che i dati vengano archiviati nel Stati Uniti e ridurre al minimo il trasferimento di tecnologia controllata o dati tecnici al di fuori del Stati Uniti. Inoltre, i dati dei clienti non vengono archiviati in una posizione non conforme, coerentemente con i divieti ear sulla posizione in cui i dati vengono "archiviati intenzionalmente": nessun data center di Azure si trova in uno dei 25 paesi del gruppo D:5 o nella Federazione russa.
  • Crittografia end-to-end. Sfruttando l'approdo sicuro di crittografia end-to-end per le posizioni di archiviazione fisiche specificate in EAR, i servizi cloud microsoft nell'ambito offrono funzionalità di crittografia che consentono di proteggere dai rischi di controllo delle esportazioni. Offrono inoltre ai clienti un'ampia gamma di opzioni per crittografare i dati in transito e inattivi e la flessibilità di scegliere tra le opzioni di crittografia. Per altre informazioni, vedere:
  • Strumenti e protocolli per impedire l'esportazione non autorizzata considerata. L'uso della crittografia aiuta anche a proteggersi da una potenziale esportazione considerata (o considerata riesportata) sotto l'EAR, perché anche se una persona non statunitense ha accesso ai dati crittografati, non viene rivelato nulla se non riesce a leggere o comprendere i dati mentre sono crittografati; pertanto non esiste alcuna "versione" di dati controllati.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

Come eseguire l'implementazione

Panoramica dei controlli di esportazione negli Stati Uniti e indicazioni per i clienti che valutano i propri obblighi ai sensi dell'EAR.

Domande frequenti

Cosa è necessario fare per rispettare i controlli di esportazione quando si usano i servizi cloud Microsoft?

In EAR, quando i dati vengono caricati in un server cloud come il cloud Microsoft, il cliente proprietario dei dati, non il provider di servizi cloud, viene considerato come l'esportatore. Per questo motivo, il proprietario dei dati, ovvero il cliente Microsoft, deve valutare attentamente il modo in cui l'uso del cloud Microsoft può implicare i controlli di esportazione negli Stati Uniti e determinare se uno dei dati che vuole usare o archiviare potrebbe essere soggetto a controlli EAR e, in tal caso, quali controlli si applicano. Altre informazioni su come Azure e Office 365 servizi cloud possono aiutare i clienti a garantire la piena conformità con i controlli di esportazione negli Stati Uniti.

Le tecnologie, i prodotti e i servizi Microsoft sono soggetti all'EAR?

La maggior parte delle tecnologie, dei prodotti e dei servizi Microsoft è la seguente:

  • Non sono soggetti all'EAR e quindi non sono presenti nell'elenco di controllo di commercio e non hanno ECCN;
  • In alternativa, sono idonei per l'autoclassi 99 o 5D992 di Mass Market da parte di Microsoft e possono essere esportati in paesi non sottoposti a embargo senza licenza come No License Required (NLR).

Detto questo, ad alcuni prodotti Microsoft è stato assegnato un ECCN che può richiedere o meno una licenza. Consultare l'EAR o il consulente legale per determinare il tipo di licenza appropriato e i paesi idonei per l'esportazione.

Qual è la differenza tra ear e international traffic in arms regulations (ITAR)?

I principali controlli di esportazione negli Stati Uniti con l'applicazione più ampia sono l'EAR, amministrato dal Dipartimento del Commercio degli Stati Uniti. L'EAR è applicabile agli articoli a doppio uso che hanno applicazioni sia commerciali che militari, e agli articoli con applicazioni puramente commerciali.

La Stati Uniti ha anche normative di controllo delle esportazioni separate e più specializzate, come l'ITAR, che governa gli elementi e la tecnologia più sensibili. Amministrati dal Dipartimento di Stato degli Stati Uniti, impongono controlli sull'esportazione, l'importazione temporanea, la riesporta e il trasferimento di molti elementi militari, di difesa e di intelligence (noti anche come "articoli sulla difesa"), inclusi i dati tecnici correlati.

Risorse