Regulamentos de Administração de Exportação dos EUA (EAR)

Sobre o EAR

O Departamento de Comércio dos EUA impõe o EAR (Regulamentos de Administração de Exportação) por meio do Bureau of Industry and Security (BIS). O EAR governa amplamente e impõe controles sobre a exportação e a exportação da maioria dos bens comerciais, software e tecnologia, incluindo itens de "uso duplo" que podem ser usados para fins comerciais e militares e determinados itens de defesa.

As diretrizes do BIS sustentam que, quando dados ou software são carregados na nuvem ou transferidos entre nós de usuário, o cliente, não o provedor de nuvem, é o "exportador" que tem a responsabilidade de garantir que as transferências, armazenamento e acesso a esses dados ou software sejam compatíveis com o EAR.

De acordo com o BIS, aexportação refere-se à transferência de tecnologia protegida ou dados técnicos para um destino estrangeiro ou sua liberação para uma pessoa estrangeira no Estados Unidos (também conhecida como exportação considerada). O EAR rege amplamente:

• Exporta do Estados Unidos.
• Exporta novamente ou retransfere itens de origem dos EUA e certos itens de origem estrangeira com mais de uma parte de minimis de conteúdo de origem dos EUA.
• Transfere ou divulgações para pessoas de outros países.

Os itens sujeitos ao EAR podem ser encontrados na CCL (Lista de Controle de Comércio) em que cada item recebe um número de classificação de controle de exportação exclusivo (ECCN). Os itens não listados no CCL são designados como EAR99 e a maioria dos produtos comerciais EAR99 não exigirá uma licença para ser exportada. No entanto, dependendo do destino, do usuário final ou do uso final do item, até mesmo um item EAR99 pode exigir uma licença de exportação do BIS.

A regra final, publicada em junho de 2016, esclareceu que os requisitos de licenciamento ear também não se aplicariam à transmissão e armazenamento de dados técnicos e software não classificados se fossem criptografados de ponta a ponta usando módulos criptográficos validados fips 140-2 e não fossem armazenados intencionalmente em um país com embargo militar ou na Federação Russa.

Microsoft e o EAR

Tecnologias, produtos e serviços da Microsoft estão sujeitos aos Regulamentos de Administração de Exportação dos EUA (EAR). Embora não haja certificação de conformidade para os ambientes EAR, Microsoft Azure, Microsoft Azure Governamental e Microsoft Office 365 Governamental (ambientes GCC High e DoD) oferecem recursos e ferramentas importantes para ajudar os clientes qualificados sujeitos ao EAR a gerenciar riscos de controle de exportação e atender aos seus requisitos de conformidade.

O Departamento de Comércio dos EUA, que impõe o EAR, assumiu a posição de que os clientes, não provedores de serviços de nuvem, como a Microsoft, são considerados exportadores de seus próprios dados de cliente. Embora a maioria dos dados do cliente não seja considerada "tecnologia" ou "dados técnicos" sujeitos a controles de exportação ear, os serviços de nuvem no escopo da Microsoft são estruturados para ajudar os clientes a gerenciar e reduzir significativamente os possíveis riscos de controle de exportação que enfrentam. A Microsoft geralmente, mas não exclusivamente, recomenda o uso de seus serviços de nuvem do governo para clientes qualificados. Com o planejamento apropriado, os clientes podem usar as ferramentas a seguir e seus próprios procedimentos internos para ajudar a garantir a conformidade total com os controles de exportação dos EUA.

• Controles no local dos dados. Os clientes têm visibilidade de onde seus dados são armazenados e acesso a ferramentas robustas para restringir seu armazenamento. Eles podem, portanto, garantir que seus dados sejam armazenados no Estados Unidos e minimizar a transferência de tecnologia controlada ou dados técnicos fora do Estados Unidos. Além disso, os dados do cliente não são armazenados em um local não conforme, consistente com as proibições do EAR em que os dados são "armazenados intencionalmente": nenhum datacenter do Azure está localizado em nenhum dos 25 países do Grupo D:5 ou na Federação Russa.
• Criptografia de ponta a ponta. Ao aproveitar o porto seguro de criptografia de ponta a ponta para locais de armazenamento físico especificados no EAR, os serviços de nuvem no escopo da Microsoft fornecem recursos de criptografia que podem ajudar a proteger contra riscos de controle de exportação. Eles também oferecem aos clientes uma ampla gama de opções para criptografar dados em trânsito e em repouso, e a flexibilidade para escolher entre as opções de criptografia. Para saber mais, confira:
  • Visão geral da criptografia do Azure
  • Proteção de Informações do Microsoft Purview
  • Criptografia no nível do locatário com a Chave do Cliente
• Ferramentas e protocolos para impedir a exportação considerada não autorizada. O uso de criptografia também ajuda a proteger contra uma potencial exportação considerada (ou considerada reexame) sob o EAR, porque mesmo que uma pessoa que não seja dos EUA tenha acesso a dados criptografados, nada será revelado se não puder ler ou entender os dados enquanto eles são criptografados; portanto, não há nenhuma "versão" de dados controlados.

Plataformas e serviços em nuvem no escopo da Microsoft

• Azure e Azure Government
• Office 365 Government (GCC-High e DoD)
• Intune

Como implementar

Visão geral dos controles e diretrizes de exportação dos EUA para clientes que avaliam suas obrigações sob o EAR.

• Azure
• Office 365

Perguntas frequentes

O que devo fazer para cumprir os controles de exportação ao usar os serviços de nuvem da Microsoft?

No EAR, quando os dados são carregados em um servidor de nuvem, como a nuvem da Microsoft, o cliente que possui os dados, não o provedor de serviços de nuvem, é considerado o exportador. Por esse motivo, o proprietário dos dados – ou seja, o cliente da Microsoft – deve avaliar cuidadosamente como o uso da nuvem da Microsoft pode implicar os controles de exportação dos EUA e determinar se algum dos dados que deseja usar ou armazenar pode estar sujeito a controles EAR e, se for o caso, quais controles se aplicam. Saiba mais sobre como os serviços de nuvem do Azure e Office 365 podem ajudar os clientes a garantir sua conformidade total com os controles de exportação dos EUA.

As tecnologias, produtos e serviços da Microsoft estão sujeitos ao EAR?

A maioria das tecnologias, produtos e serviços da Microsoft também:

• Não estão sujeitos ao EAR e, portanto, não estão na Lista de Controle de Comércio e não têm ECCN;
• Ou são ear99 ou 5D992 qualificados para o mercado de massa para autoclassificação pela Microsoft e podem ser exportados para países não embargados sem licença como NLR (Sem Licença Necessária).

Dito isto, alguns produtos da Microsoft receberam um ECCN que pode ou não exigir uma licença. Consulte o EAR ou o advogado para determinar o tipo de licença apropriado e os países qualificados para fins de exportação.

Qual é a diferença entre o EAR e o Itar (Regulamento Internacional de Tráfego em Armas)?

Os principais controles de exportação dos EUA com o aplicativo mais amplo são o EAR, administrado pelo Departamento de Comércio dos EUA. O EAR é aplicável a itens de uso duplo que têm aplicativos comerciais e militares e a itens com aplicativos puramente comerciais.

O Estados Unidos também tem regulamentos de controle de exportação separados e mais especializados, como o ITAR, que rege os itens e a tecnologia mais sensíveis. Administrados pelo Departamento de Estado dos EUA, eles impõem controles sobre a exportação, importação temporária, exportação e transferência de muitos itens militares, de defesa e de inteligência (também conhecidos como "artigos de defesa", incluindo dados técnicos relacionados.

Recursos

• Exportando produtos da Microsoft
• Exportar restrições na criptografia
• Microsoft e FIPS 140-2
• Microsoft e ITAR
• Conformidade na Central de Confiabilidade da Microsoft