International Traffic in Arms Regulations
Die International Traffic in Arms Regulations (ITAR) ist die Implementierung des Arms Export Control Act (AECA) und der Executive Order 13637 durch das Außenministerium. Die ITAR-Verordnung umfasst Erwägungen zum Export und vorübergehenden Import von Verteidigungsmitteln und -dienstleistungen. Sie schreibt vor, dass kein Nicht-US-Bürger eine Lizenz oder sonstige Genehmigung für den Zugriff auf Verteidigungsmittel erhalten darf, die in einer ITAR-Umgebung aufbewahrt werden (Informationen zu Ausnahmen erhalten Sie im vollständigen Text).
Fragen zu ITAR
Was ist ITAR?
Verteidigungsmittel, die unter die Verordnung fallen, werden vom US-Außenministerium in der US-Munitionsliste in der Sprache der Verordnung aufgeführt. Die US-Munitionsliste darf nur im Rahmen einer Statutenänderung angepasst werden.
Im Kontext der Verordnung wird der Begriff „US-Bürger“ wie folgt definiert:
US-Bürger bezieht sich auf eine Person (definiert unter §120.14 in diesem Abschnitt), die ihren rechtmäßigen ständigen Wohnsitz in den USA hat, wie unter 8 U.S.C. 1101(a)(20) definiert, oder bei der es sich um eine geschützte Person handelt, wie unter 8 U.S.C. 1324b(a)(3) definiert. Darüber hinaus bezieht es sich auf sämtliche Unternehmen, Unternehmensvereinigungen, Partnerschaften, Vereinigungen, Syndikate oder sämtliche anderen Entitäten, Organisationen oder Gruppen, die befugt sind, in den USA Geschäfte zu tätigen. Das Gleiche gilt für staatliche Körperschaften (auf Bundes-, Länder- oder lokaler Ebene). Es bezieht sich nicht auf ausländische Bürger, wie unter §120.16 in diesem Abschnitt definiert.
Im Rahmen der Smartsheet Gov-Umgebung gilt im Rahmen von ITAR, dass Kunden sicherstellen müssen, dass Informationen, die unter ITAR (US-Munitionsliste) fallen, nicht für Personen freigegeben werden, die die Anforderungen für den Zugriff im Rahmen der Verordnung nicht erfüllen. Dies gilt beispielsweise für ausländische Personen (laut Definition in der Verordnung).
Smartsheet unterstützt seine Kunden bei Bedenken in Bezug auf ITAR, indem es eine Plattform zur Verfügung stellt, die in AWS GovCloud (betrieben von US-Bürgern) gehostet und von Smartsheet-Mitarbeitern betrieben wird, die unter die Definition „US-Bürger“ fallen.
ITAR als Verordnung verweist nicht auf eine Methode zur direkten Compliance, beispielsweise über eine formelle Zertifizierung, Bescheinigung oder Autorisierung. Smartsheet Gov wird über AWS GovCloud (betrieben von US-Bürgern) betrieben, hat die FedRAMP Moderate (IL2) P-ATO und wird von Smartsheet-Mitarbeitern betrieben, die unter die Definition für „US-Bürger“ fallen.
Wie wirkt sich dies auf Smartsheet-Benutzer aus?
Smartsheet bietet diverse Funktionen für Kunden, um Daten angemessen in seiner Gov-Umgebung zu schützen:
- Starke Zugriffssteuerung: Smartsheet empfiehlt die Nutzung eines SSO-Anbieters und einer Methode zur Multi-Faktor-Authentifizierung für die Gov-Umgebung.
- Verschlüsselung: Smartsheet bietet eine Verschlüsselung für diese Umgebung in Form von Steuerungen bei der Übertragung und im Ruhezustand, die in Einklang mit validierten Verschlüsselungsstandards implementiert werden.
- Überwachung: Smartsheet bietet diverse Anwendungsfunktionen für die Überwachung prozessorientierter Daten in Ihrem Smartsheet Gov-Konto. Einige davon umfassen den Blattzugriffsbericht, der angibt, wer auf bestimmte Blätter in einer Umgebung zugreifen kann, sowie ein Aktivitätsprotokoll für jedes Blatt, das ein detailliertes Auditprotokoll für Aktionen im Blatt bereitstellt.
ITAR-Implementierungsleitfaden
Sie müssen die folgenden wichtigen Steuerungen aktivieren, um die Compliance mit ITAR während der Verwendung von Smartsheet sicherzustellen:
Deaktivieren der Veröffentlichung:
Stellen Sie sicher, dass die Funktion „Veröffentlichen“ auf Kontoebene deaktiviert ist, um die versehentliche Veröffentlichung von Daten auf öffentlichen Seiten zu verhindern. Das Veröffentlichen sollte auch für Folgendes deaktiviert sein:
Blätter
Berichte
Dashboards
Kalender
Fügen Sie keine Domänen oder einzelne E-Mails zur genehmigten Freigabeliste (standardmäßig in Gov aktiviert) hinzu, wenn Sie gegen die Anforderungen von ITAR (nur US-Bürger) verstoßen.
Formulare
Begrüßungsbildschirm (täglich konfiguriert)
API-Nutzung – limitieren Sie die Integration angemessen
Überwachen Sie die externe Speicherintegration
Hinweis: Jeder Kunde ist verantwortlich dafür, seine eigene Nutzung der Abonnementdienste sowie die Smartsheet-Sicherheitspraktiken unabhängig zu evaluieren, um sicherzustellen, dass die Nutzung ITAR-konform ist.