Regulamentos da Administração de Exportação dos EUA (EAR)

Acerca do EAR

O Departamento de Comércio dos E.U.A. impõe os Regulamentos de Administração da Exportação (EAR) através do Bureau of Industry and Security (BIS). O EAR governa e impõe amplamente controlos sobre a exportação e re-exportação da maioria dos bens comerciais, software e tecnologia, incluindo itens de "dupla utilização" que pode utilizar para fins comerciais e militares e determinados itens de defesa.

A documentação de orientação do BIS sustenta que, ao carregar dados ou software para a cloud ou transferi-lo entre nós de utilizador, é o "exportador" e tem a responsabilidade de garantir que as transferências, o armazenamento e o acesso a esses dados ou software estão em conformidade com o EAR.

De acordo com o BIS, a exportação refere-se à transferência de tecnologia protegida ou dados técnicos para um destino estrangeiro ou à sua libertação para uma pessoa estrangeira no Estados Unidos (também referida como exportação considerada). O EAR governa amplamente:

• Exporta do Estados Unidos.
• Exportar novamente ou repetir itens de origem dos EUA e determinados itens de origem estrangeira com mais do que uma parte de minimis de conteúdo de origem dos EUA.
• Transferências ou divulgações para pessoas de outros países ou regiões.

Pode encontrar itens sujeitos ao EAR na Lista de Controlo comercial (CCL), em que é atribuído a cada item um Número de Classificação de Controlo de Exportação (ECCN) exclusivo. Os itens não listados no CCL são designados como EAR99 e a maioria dos produtos comerciais EAR99 não exige a exportação de uma licença. No entanto, dependendo do destino, do utilizador final ou da utilização final do item, até mesmo um item EAR99 pode necessitar de uma licença de exportação do BIS.

A regra final, publicada em junho de 2016, esclareceu que os requisitos de licenciamento do EAR também não se aplicam à transmissão e armazenamento de dados técnicos e software não classificados se forem encriptados ponto a ponto utilizando módulos criptográficos validados FIPS 140-2 e não forem intencionalmente armazenados num país ou região em embargo militar ou na Federação Russa.

Microsoft e o EAR

As tecnologias, produtos e serviços da Microsoft estão sujeitos aos Regulamentos de Administração de Exportação (EAR) dos EUA. Embora não exista nenhuma certificação de conformidade para os ambientes EAR, Microsoft Azure, Microsoft Azure Governamental e Microsoft Office 365 Government (GCC High and DoD) oferecem funcionalidades e ferramentas importantes para ajudar os clientes elegíveis sujeitos ao EAR a gerir riscos de controlo de exportação e a cumprir os requisitos de conformidade.

O Departamento de Comércio dos EUA, que impõe o EAR, assume a posição de que os clientes, e não os fornecedores de serviços cloud, como a Microsoft, são considerados exportadores dos seus próprios dados de cliente. Embora a maioria dos dados do cliente não seja considerada "tecnologia" ou "dados técnicos" sujeitos a controlos de exportação ear, os serviços cloud no âmbito da Microsoft são estruturados para ajudar os clientes a gerir e mitigar significativamente os potenciais riscos de controlo de exportação que enfrentam. Geralmente, a Microsoft, mas não exclusivamente, recomenda a utilização dos seus serviços cloud governamentais para clientes elegíveis. Com o planeamento adequado, os clientes podem utilizar as seguintes ferramentas e os seus próprios procedimentos internos para ajudar a garantir a conformidade total com os controlos de exportação dos EUA.

• Controlos na localização de dados. Os clientes têm visibilidade sobre onde os seus dados são armazenados e acesso a ferramentas robustas para restringir o armazenamento. Podem garantir que os respetivos dados são armazenados no Estados Unidos e minimizar a transferência de tecnologia controlada ou dados técnicos fora do Estados Unidos. Além disso, os dados do cliente não são armazenados numa localização não conforme, em conformidade com as proibições do EAR sobre onde os dados são "armazenados intencionalmente": nenhum datacenter Azure está localizado em nenhum dos 25 países/regiões do Grupo D:5 ou na Federação Russa.
• Encriptação ponto a ponto. Ao tirar partido do porto seguro de encriptação ponto a ponto para localizações de armazenamento físico especificadas no EAR, os serviços cloud no âmbito da Microsoft fornecem funcionalidades de encriptação que podem ajudar a proteger contra riscos de controlo de exportação. Também oferecem aos clientes uma vasta gama de opções para encriptar dados em trânsito e inativos, e a flexibilidade para escolher entre as opções de encriptação. Para saber mais, confira:
  • descrição geral da encriptação de Azure
  • Proteção de Informações do Microsoft Purview
  • Encriptação ao nível do inquilino com a Chave de Cliente
• Ferramentas e protocolos para impedir a exportação considerada não autorizada. A utilização da encriptação também ajuda a proteger contra uma potencial exportação considerada (ou considerada re-exportação) no EAR, porque mesmo que uma pessoa que não seja dos EUA tenha acesso a dados encriptados, nada é revelado se não conseguir ler ou compreender os dados enquanto estão encriptados; portanto, não existe nenhuma "libertação" de dados controlados.

Plataformas e serviços na cloud no âmbito da Microsoft

• Azure e Azure Government
• Office 365 Government (GCC-High e DoD)
• Intune

Perguntas frequentes

O que devo fazer para cumprir os controlos de exportação ao utilizar os serviços cloud da Microsoft?

No EAR, quando carrega dados para um servidor na cloud, como a cloud da Microsoft, o utilizador, como cliente e proprietário de dados, é considerado o exportador e não o fornecedor de serviços cloud. Por esse motivo, tem de avaliar cuidadosamente a forma como a sua utilização da cloud da Microsoft pode implicar controlos de exportação dos EUA. Determine se algum dos dados que pretende utilizar ou armazenar na cloud está sujeito a controlos EAR e, em caso afirmativo, identifique os controlos aplicáveis. Saiba mais sobre como os serviços cloud Azure e Office 365 podem ajudá-lo a garantir a conformidade total com os controlos de exportação dos EUA. Para obter mais informações, consulte a secção FAQs da Cloud da página Perguntas Mais Frequentes em Exportar Produtos Microsoft.

As tecnologias, produtos e serviços da Microsoft estão sujeitos ao EAR?

A maioria das tecnologias, produtos e serviços da Microsoft:

• Não estão sujeitos ao EAR e, portanto, não estão na Lista de Controlo comercial e não têm ECCN;
• Ou são ear99 ou 5D992 Mass Market elegíveis para autoclassificação pela Microsoft e podem ser exportados para países ou regiões não embargados sem uma licença como Sem Licença Necessária (NLR).

Dito isto, alguns produtos Microsoft foram atribuídos a um ECCN que pode exigir uma licença. Consulte o EAR ou o advogado para determinar o tipo de licença adequado e os países ou regiões elegíveis para fins de exportação.

Qual é a diferença entre o EAR e o International Traffic in Arms Regulations (ITAR)?

Os principais controlos de exportação dos EUA com a aplicação mais ampla são o EAR, administrado pelo Departamento de Comércio dos EUA. O EAR aplica-se a itens de utilização dupla que têm aplicações comerciais e militares e a itens com aplicações puramente comerciais.

O Estados Unidos também tem regulamentos de controlo de exportação separados e mais especializados, como a ITAR, que regem os itens e a tecnologia mais sensíveis. Administrados pelo Departamento de Estado dos EUA, estes regulamentos impõem controlos sobre a exportação, importação temporária, re exporte e transferência de muitos itens militares, de defesa e de inteligência (também conhecidos como "artigos de defesa"), incluindo dados técnicos relacionados.

Recursos

• Exportar Produtos Microsoft
• Exportar restrições à criptografia
• Microsoft e FIPS 140-2
• Microsoft e ITAR
• Conformidade na Central de Confiabilidade da Microsoft