Reglamento sobre el tráfico internacional de armas
El Reglamento sobre el tráfico internacional de armas (ITAR) es la implementación de la Ley de Control de las Exportaciones de Armas (AECA) y el Decreto 13637 del Departamento de Estado. El ITAR incluye consideraciones relacionadas con la exportación y la importación provisoria de artículos y servicios de defensa. Establece que ninguna persona que no sea de EE. UU. puede tener licencia u otra aprobación para los artículos de defensa almacenados en un entorno de ITAR (consulte el texto completo para ver las excepciones).
Preguntas acerca del ITAR
El Departamento de Estado identifica los artículos de defensa que abarca el reglamento en la Lista de municiones de EE. UU. especificada en el idioma del reglamento. La Lista de municiones de EE. UU. está sujeta a cambios solo mediante enmienda.
En el contexto del reglamento, personas de EE. UU. hace referencia a lo siguiente:
Persona de EE. UU. es una persona (como se define en §120.14 de este apartado) que sea residente permanente legal de acuerdo con lo establecido en el Título 8 1101(a)(20) del Código de EE. UU. (USC) o personas protegidas de acuerdo con lo establecido en el Título 8 1324b(a)(3) del USC. También significa toda corporación, asociación comercial, asociación, sociedad, fideicomiso u otro tipo de entidad, organización o grupo con habilitación para realizar negocios en los Estados Unidos. También incluye toda entidad gubernamental (federal, estatal o local). No incluye ninguna persona extrajera de acuerdo con lo establecido en el §120.16 de este apartado.
En el entorno de Smartsheet Gov, el ITAR rige para los clientes a fin de garantizar que la información regulada por el ITAR (Lista de municiones de EE. UU.) no se divulgue a personas que no cumplan los requisitos de acceso en virtud de dicho reglamento, como personas consideradas extranjeras de acuerdo con lo establecido en el reglamento.
Smartsheet ofrece soporte a los clientes con inquietudes relacionadas con el ITAR y les brinda una plataforma alojada en AWS GovCloud (operada por personas de EE. UU.) y operada por empleados de Smartsheet que se ajustan a la definición de personas de EE. UU.
El ITAR, como reglamento, no incluye ningún método para demostrar el cumplimiento directo, como mediante una certificación, ratificación o autorización de índole formal. Smartsheet Gov funciona por fuera de AWS GovCloud (operada por personas de EE. UU.), cuenta con una Autorización para operar (ATO) provisoria de nivel moderado y para Nivel de impacto 2 (IL2) otorgada por el FedRAMP, y es operada por empleados de Smartsheet que se ajustan a la definición de personas de EE. UU.
Smartsheet mantiene una serie de funciones para ayudar a los clientes a resguardar los datos de forma adecuada en el entorno de Gov:
- Controles de acceso exigentes: Smartsheet recomienda el uso de un proveedor de inicio de sesión único y autenticación de múltiples factores en el entorno de Gov.
- Cifrado: Smartsheet ofrece cifrado implementado en este entorno por medio de controles en tránsito y en reposo aplicados de acuerdo con normas de cifrado validadas.
- Supervisión: Smartsheet ofrece numerosas funciones dentro de la aplicación para supervisar los datos relacionados con la actividad en su cuenta de Smartsheet Gov. Algunas de estas funciones incluyen el informe de acceso a hojas donde se muestra quiénes pueden acceder a hojas específicas en su entorno y un registro de actividad, que muestra un seguimiento de auditoría granular de las acciones de cada hoja.
A fin de ofrecer soporte para el cumplimiento del ITAR mientras utiliza Smartsheet, deberá habilitar los siguientes controles fundamentales:
-
Deshabilitar la publicación:
-
Procure que la función de publicación esté deshabilitada a nivel de la cuenta para evitar la publicación accidental de datos en sitios públicos. Esto debe incluir que las publicaciones estén deshabilitadas para lo siguiente:
-
Hojas
-
Informes
-
Paneles
-
Calendario
-
-
-
No agregue dominios ni correos electrónicos individuales a la lista de intercambios aprobados (la cual está habilitada de forma predeterminada en Gov) si infringen los requisitos del ITAR (solo personas de EE. UU.).
-
Formularios
-
Pantalla de bienvenida (configurada a diario)
-
Uso de API: limite la integración según corresponda.
-
Supervise cualquier integración de almacenamiento externo.
Nota: cada cliente es responsable de evaluar de manera independiente su propio uso de los Servicios de suscripción y las prácticas de seguridad de Smartsheet a fin de garantizar que su uso se ajuste al ITAR.
Si tiene otras preguntas que no figuran anteriormente, complete este formulario para que un ingeniero de Seguridad de Smartsheet se ponga en contacto con usted.