Pesquisa de site

O que é conformidade com o ITAR?

A maioria das organizações, especialmente as do comércio de defesa, está se encontrando no local quando seus principais contratados perguntam se eles são certificados pelo ITAR e compatíveis com o ITAR. Alguns empreiteiros até querem saber as etapas que você está tomando para cumprir este regulamento.

Como diretor de segurança da informação, você provavelmente já ouviu falar sobre a conformidade com a CCPA e o GDPR e seu papel nos dados do consumidor. Mas, quão bem você é versado nos Regulamentos de Tráfego Internacional de Armas (ITAR)?

Compilamos este guia definitivo para conformidade com o ITAR, incluindo o que você deve fazer para obter uma certificação, as penalidades por violar o ITAR e uma lista de verificação de conformidade com o ITAR.

O que é ITAR?

ITAR refere-se aos Regulamentos de Tráfego Internacional de Armas e é uma lei do governo dos EUA que controla ou regula a fabricação, venda e distribuição da Lista de Munições dos Estados Unidos (USML), que compreende serviços e artigos relacionados ao espaço e à defesa. Este regulamento é aplicado pela DDTC (Diretoria de Controles de Comércio de Defesa) no Departamento de Estado dos EUA. Normalmente visa limitar o acesso a dados técnicos ou materiais físicos relacionados a tecnologias militares e de defesa.

Atualmente, cerca de 13.000 organizações, incluindo universidades, laboratórios de pesquisa e empresas de defesa, lidam e trabalham com o departamento de defesa. Considerando a sensibilidade de seus dados, os controles do ITAR são necessários para evitar que essas informações caiam em mãos erradas. Portanto, de acordo com o ITAR, essas instituições só podem compartilhar artigos da lista USML com um cidadão americano ou residente permanente, a menos que sejam autorizadas de outra forma.

Existem três aspectos do ITAR; artigos de defesa, serviços de defesa e dados técnicos relacionados.

  • Artigos de defesa: São 21 categorias e incluem os seguintes itens controlados:
  1. Armas de fogo e artigos relacionados
  2. Armas e armamento
  3. Munição e artilharia
  4. Veículos de lançamento, mísseis balísticos, mísseis guiados, bombas, foguetes, torpedos e minas
  5. Agentes incendiários, explosivos e materiais energéticos, propulsores e seus constituintes
  6. Equipamento Naval Especial
  7. Veículos terrestres e navios de guerra de superfície
  8. Aeronaves e artigos relacionados
  9. Equipamento e treinamento militar
  10. Equipamento de proteção pessoal
  11. Eletrônica militar
  12. Equipamentos de Controle de Fogo, Laser, Imagem e Orientação
  13. Materiais e artigos diversos
  14. Agentes toxicológicos, como agentes biológicos, agentes químicos e equipamentos associados
  15. Naves espaciais e artigos relacionados
  16. Armas nucleares e artigos relacionados
  17. Dados técnicos, artigos classificados e serviços de defesa que não são enumerados
  18. Armas de Energia Dirigida
  19. Motores de turbina a gás e equipamentos associados
  20. Embarcações submersíveis e artigos relacionados
  21. Dados técnicos, artigos e serviços de defesa não enumerados de outra forma
  • Serviços de defesa: Envolve treinamento militar de forças e unidades estrangeiras, oferecendo dados técnicos controlados a pessoas estrangeiras e fornecendo assistência para o uso, operação, modificação, manutenção, teste ou reparo de artigos de defesa.
  • Dados técnicos: Os dados do ITAR incluem informações classificadas sobre os serviços e artigos de defesa, software usado com os artigos de defesa e qualquer outra informação envolvendo os artigos de defesa.

Em comparação com os controles de exportação destacados pelos Regulamentos de Administração de Exportação (EAR), os regulamentos do ITAR são mais rígidos, pois abordam questões de segurança nacional.

O que é necessário para conformidade com o ITAR?

Para se tornar compatível com o ITAR, você precisa primeiro cumprir os requisitos regulamentares. Aqui está uma lista de verificação rápida de conformidade.

  1. Determine sua jurisdição: Você precisa determinar se seus produtos estão sob as jurisdições ITAR ou EAR. Se eles aparecerem na Lista de Munições dos EUA, você deve estar registrado no departamento de estado. Se você não tiver certeza das agências governamentais que têm jurisdição, certifique-se de enviar uma solicitação de CJ (jurisdição de mercadoria) à Diretoria de Controles de Comércio de Defesa.
  2. Revise os requisitos do ITAR: encontre tudo sobre o ITAR e como ele afeta suas operações. Por exemplo, o presidente pode adicionar mais itens controlados ao USML, conforme autorizado pela Lei de Controle de Exportação de Armas (AECA). Portanto, tecnicamente, o ITAR apenas implementa as regras da AECA.
  3. Registre-se no DDTC: O processo de registro é bastante simples e você só precisa pagar as taxas exigidas e preencher o formulário de registro. Você deve então coletar a documentação de suporte e carregá-la no site. Depois disso, leva cerca de 45 dias para que sua inscrição seja analisada.
  4. Use a Lista de Munições dos EUA para classificar seus produtos: Existem 16 seções do USML que são divididas da seguinte forma; um aborda a lista geral, sete são reservados para uso futuro e o restante acrescenta e descreve ainda mais o USML.
  5. Determine o usuário final e o uso final do seu produto: Esta lista de verificação tem três elementos; Primeiro, determine como você pretende que seus produtos sejam usados e quem os usará. Você deve então verificar os regulamentos de administração de exportação para identificar os destinos proibidos. Por fim, certifique-se de selecionar todos os parceiros com os quais você negocia.
  6. Solicite uma licença de exportação: Você pode fazer isso facilmente através do departamento estadual da jurisdição do BIS (Bureau of Industry and Security) se seus itens não estiverem no USML.
  7. Cumpra os requisitos de relatório: Certifique-se de registrar todas as atividades do ITAR e certifique-se de que esses registros estejam prontamente disponíveis para inspeção pelo DDTC. Sua manutenção de registros deve ser quase perfeita; caso contrário, registros insuficientes podem resultar em penalidades pesadas.
  8. Crie um programa de conformidade com o ITAR: o DDTC recomenda fortemente que todas as empresas do comércio de defesa tenham um ECP em vigor para proteger dados confidenciais sobre tecnologias de defesa.

Quem precisa estar em conformidade com o ITAR?

Se sua instituição fabrica, distribui, projeta, manuseia, vende ou projeta itens no USML, você precisa estar em conformidade. Outras organizações que devem estar em conformidade incluem distribuidores, atacadistas, fornecedores de hardware/software de computador, empreiteiros e suprimentos de terceiros. É importante observar que todas as empresas dessa cadeia de suprimentos devem estar em conformidade. Por exemplo, se você vender seus produtos para a empresa B, mas depois reexportá-los ou retransferi-los para estrangeiros, você também será considerado uma violação do ITAR.

De acordo com os regulamentos do ITAR, apenas uma pessoa dos EUA tem permissão para acessar produtos no USML. Isso significa que, mesmo que você administre uma empresa com operações no exterior administradas por estrangeiros, eles não podem acessar os dados do ITAR. Há, no entanto, uma isenção a esta regra; Você pode compartilhar esses dados se tiver autorização do Departamento de Estado.

Observe que, embora o DDTC seja responsável por gerenciar empresas que podem lidar com produtos USML, cabe a você estabelecer políticas que o ajudarão a permanecer em conformidade.

Qual é a penalidade por violar o ITAR?

As violações do ITAR atraem penalidades severas, conforme destacado abaixo;

  • Multas criminais: até 10 anos de prisão e/ou US$1 milhão por violação.
  • Multas civis: até US$50.000 por violação.

Várias empresas pagaram multas pesadas por violações do ITAR, mas os dois casos mais populares envolvem a ITT e a FLIR Systems. A ITT foi multada em US$100 milhões em 2017 por exportar ilegalmente tecnologia de visão noturna. Os sistemas FLIR, por outro lado, receberam uma multa de US$30 milhões por dar aos funcionários nacionais duplos acesso aos dados do ITAR.

Qual é a melhor maneira de proteger os dados do ITAR?

Considerando a gravidade das multas por violar os regulamentos do ITAR, você deve usar várias camadas de segurança para proteger dados confidenciais. Aqui estão alguns dos princípios que você deve seguir.

  • Identifique e proteja todas as informações confidenciais e classifique-as com base em suas políticas de negócios.
  • Mapeie os dados para determinar quem tem acesso a eles e, em seguida, arquive as permissões desses usuários.
  • Gerencie o controle de acesso identificando usuários inativos e desativando-os. Você também deve gerenciar associações de grupo e usuário e remover grupos de acesso global.
  • Monitore todos os dados e crie um relatório de auditoria sobre todos os eventos e atividades. Fique atento a violações de segurança, malware, configurações incorretas e ameaças internas.
  • Criar e manter uma política de segurança da informação.
  • Crie um programa de gerenciamento de vulnerabilidades.
  • Monitore e teste suas redes regularmente
  • Certifique-se de que todos que podem acessar informações confidenciais tenham uma identificação exclusiva, incluindo fornecedores terceirizados.
  • Instalar e manter configurações de firewall

Você também deve criptografar todos os dados confidenciais para garantir que eles permaneçam seguros mesmo quando caírem em mãos erradas.

Principais perguntas frequentes sobre conformidade com o ITAR

  • Como posso determinar se meus dados ITAR foram acessados?

Colabore com uma empresa de segurança respeitável para instalar alertas que são acionados sempre que seus dados são acessados ou atividades incomuns são notadas. Dessa forma, você poderá detectar e sinalizar qualquer comportamento suspeito para investigações. Mantenha uma trilha de auditoria detalhada para o DDTC.

  • Como posso permanecer em conformidade com os regulamentos do ITAR?

Depois de se registrar no DDTC, certifique-se de renovar seu registro todos os anos. Recomendamos que você envie seus documentos de renovação pelo menos 60 dias antes do vencimento do seu registro. Desta forma, os documentos serão processados antes do termo do prazo.

  • Quais são as qualidades de um bom ECP?

Seu programa de conformidade de exportação deve ser claramente escrito e documentado. Também deve ser apoiado pela administração e adaptado para atender às necessidades da sua organização. Por fim, certifique-se de revisá-lo e atualizá-lo regularmente, especialmente se houver mudanças significativas em sua organização, como um novo parceiro.