Regulaciones de la Administración de Exportaciones de EE. UU. (EAR)

Acerca del EAR

El Departamento de Comercio de ee. UU. aplica el Reglamento de Administración de Exportaciones (EAR) a través de la Oficina de Industria y Seguridad (BIS) . El EAR rige e impone controles en términos generales sobre la exportación y reexportación de la mayoría de los productos comerciales, software y tecnología, incluidos los elementos de "doble uso" que se pueden utilizar con fines comerciales y militares, así como determinados elementos de defensa.

La guía de BIS sostiene que, cuando los datos o el software se cargan en la nube o se transfieren entre nodos de usuario, el cliente, no el proveedor de nube, es el "exportador" que tiene la responsabilidad de asegurarse de que las transferencias, el almacenamiento y el acceso a esos datos o software cumplen con el EAR.

Según el BIS, la exportación hace referencia a la transferencia de tecnología protegida o datos técnicos a un destino extranjero o a su liberación a una persona extranjera en el Estados Unidos (también denominada exportación considerada). El EAR rige ampliamente:

• Exporta desde el Estados Unidos.
• Reexportaciones o retransferencias de artículos de origen estadounidense y determinados artículos de origen extranjero con más de una parte de minimis del contenido de origen estadounidense.
• Transferencias o divulgaciones a personas de otros países.

Los elementos sujetos al EAR se pueden encontrar en la Lista de control comercial (CCL) donde a cada elemento se le asigna un número de clasificación de control de exportación (ECCN) único. Los artículos que no aparecen en el CCL se designan como EAR99 y la mayoría de los productos comerciales EAR99 no necesitarán una licencia para exportarse. Sin embargo, según el destino, el usuario final o el uso final del elemento, incluso un elemento EAR99 puede requerir una licencia de exportación bis.

La última regla, publicada en junio de 2016, aclaró que los requisitos de licencias EAR tampoco se aplicarían a la transmisión y el almacenamiento de datos técnicos y software sin clasificar si se cifraban de un extremo a otro mediante módulos criptográficos validados fips 140-2 y no se almacenaban intencionadamente en un país con embargo militar o en la Federación de Rusia.

Microsoft y ear

Las tecnologías, los productos y los servicios de Microsoft están sujetos a las Regulaciones de administración de exportaciones (EAR) de EE. UU. Aunque no hay ninguna certificación de cumplimiento para EAR, Microsoft Azure, Microsoft Azure Government y Microsoft Office 365 Government (entornos GCC High y DoD) ofrecen características y herramientas importantes para ayudar a los clientes aptos sujetos a la EAR a administrar los riesgos de control de exportación y cumplir sus requisitos de cumplimiento.

El Departamento de Comercio de EE. UU., que aplica el EAR, ha tomado la posición de que los clientes, no los proveedores de servicios en la nube como Microsoft, se consideran exportadores de sus propios datos de clientes. Aunque la mayoría de los datos de los clientes no se consideran "tecnología" ni "datos técnicos" sujetos a controles de exportación EAR, los servicios en la nube de Microsoft en el ámbito están estructurados para ayudar a los clientes a administrar y mitigar significativamente los posibles riesgos de control de exportación a los que se enfrentan. Microsoft generalmente, pero no exclusivamente, recomienda el uso de sus servicios en la nube gubernamentales para los clientes aptos. Con un planeamiento adecuado, los clientes pueden usar las siguientes herramientas y sus propios procedimientos internos para garantizar el cumplimiento total de los controles de exportación de EE. UU.

• Controles en la ubicación de datos. Los clientes tienen visibilidad sobre dónde se almacenan sus datos y acceso a herramientas sólidas para restringir su almacenamiento. Por lo tanto, pueden asegurarse de que sus datos se almacenan en el Estados Unidos y minimizar la transferencia de tecnología controlada o datos técnicos fuera del Estados Unidos. Además, los datos de los clientes no se almacenan en una ubicación no conforme, de conformidad con las prohibiciones EAR en las que los datos se "almacenan intencionadamente": ningún centro de datos de Azure se encuentra en ninguno de los 25 países del Grupo D:5 ni en la Federación de Rusia.
• Cifrado de un extremo a otro. Al aprovechar el puerto seguro de cifrado de un extremo a otro para las ubicaciones de almacenamiento físico especificadas en ear, los servicios en la nube de Microsoft en el ámbito ofrecen características de cifrado que pueden ayudar a protegerse frente a los riesgos de control de exportación. También ofrecen a los clientes una amplia gama de opciones para cifrar los datos en tránsito y en reposo, y la flexibilidad de elegir entre las opciones de cifrado. Para más información, vea:
  • Introducción al cifrado de Azure
  • Microsoft Purview Information Protection
  • Cifrado de nivel de inquilino con clave de cliente
• Herramientas y protocolos para evitar la exportación no autorizada. El uso del cifrado también ayuda a protegerse frente a una posible exportación considerada (o considerada reexportación) en el EAR, porque incluso si una persona que no es de EE. UU. tiene acceso a datos cifrados, no se revela nada si no puede leer ni comprender los datos mientras están cifrados; por lo tanto, no hay ninguna "liberación" de datos controlados.

Servicios y plataformas en la nube dentro de Microsoft

• Azure y Azure Government
• Office 365 Administración Pública (GCC-High y DoD)
• Intune

Cómo se debe implementar

Información general sobre los controles de exportación de Estados Unidos y la guía para los clientes que evalúan sus obligaciones en virtud del EAR.

• Azure
• Office 365

Preguntas más frecuentes

¿Qué debo hacer para cumplir con los controles de exportación al usar servicios en la nube de Microsoft?

En ear, cuando los datos se cargan en un servidor en la nube, como la nube de Microsoft, el cliente propietario de los datos, no el proveedor de servicios en la nube, se considera el exportador. Por ese motivo, el propietario de los datos , es decir, el cliente de Microsoft, debe evaluar cuidadosamente cómo su uso de la nube de Microsoft puede implicar los controles de exportación de EE. UU. y determinar si alguno de los datos que quiere usar o almacenar allí puede estar sujeto a controles EAR y, en caso afirmativo, qué controles se aplican. Obtenga más información sobre cómo Azure y Office 365 servicios en la nube pueden ayudar a los clientes a garantizar el cumplimiento total de los controles de exportación de EE. UU.

¿Están las tecnologías, los productos y los servicios de Microsoft sujetos al EAR?

La mayoría de las tecnologías, productos y servicios de Microsoft:

• No están sujetos al EAR y, por lo tanto, no están en la Lista de control comercial y no tienen ECCN;
• O bien, son ear99 o 5D992 aptos para la auto clasificación por Microsoft y pueden exportarse a países sin embargo sin una licencia como Sin licencia requerida (NLR).

Dicho esto, a algunos productos de Microsoft se les ha asignado un ECCN que puede requerir o no una licencia. Consulte al EAR o al asesor legal para determinar el tipo de licencia adecuado y los países elegibles con fines de exportación.

¿Cuál es la diferencia entre el EAR y el Reglamento Internacional de Tráfico de Armas (ITAR)?

Los principales controles de exportación de EE. UU. con la aplicación más amplia son el EAR, administrado por el Departamento de Comercio de EE. UU. El EAR se aplica a los elementos de doble uso que tienen aplicaciones comerciales y militares, y a los elementos con aplicaciones puramente comerciales.

El Estados Unidos también tiene regulaciones de control de exportación independientes y más especializadas, como el ITAR, que rigen los elementos y la tecnología más confidenciales. Administrados por el Departamento de Estado de ee. UU., imponen controles sobre la exportación, importación temporal, reexportación y transferencia de muchos elementos militares, de defensa e inteligencia (también conocidos como "artículos de defensa"), incluidos los datos técnicos relacionados.

Recursos

• Exportación de productos de Microsoft
• Restricciones de exportación en criptografía
• Microsoft y FIPS 140-2
• Microsoft e ITAR
• Cumplimiento normativo en el Centro de confianza de Microsoft