Regulamentos da Administração de Exportação dos EUA (EAR)

Acerca do EAR

O Departamento de Comércio dos E.U.A. impõe os Regulamentos de Administração da Exportação (EAR) através do Bureau of Industry and Security (BIS). O EAR governa e impõe amplamente controlos sobre a exportação e re-exportação da maioria dos bens comerciais, software e tecnologia, incluindo itens de "dupla utilização" que podem ser utilizados para fins comerciais e militares e determinados itens de defesa.

A documentação de orientação do BIS sustenta que, quando os dados ou software são carregados para a cloud ou transferidos entre nós de utilizador, o cliente, não o fornecedor de cloud, é o "exportador" que tem a responsabilidade de garantir que as transferências, o armazenamento e o acesso a esses dados ou software estão em conformidade com o EAR.

De acordo com o BIS, a exportação refere-se à transferência de tecnologia protegida ou dados técnicos para um destino estrangeiro ou à sua libertação para uma pessoa estrangeira no Estados Unidos (também referida como exportação considerada). O EAR governa amplamente:

• Exporta do Estados Unidos.
• Exportar novamente ou repetir itens de origem dos EUA e determinados itens de origem estrangeira com mais do que uma parte de minimis de conteúdo de origem dos EUA.
• Transferências ou divulgações a pessoas de outros países/regiões.

Os itens sujeitos ao EAR podem ser encontrados na Lista de Controlo comercial (CCL), onde é atribuído a cada item um Número de Classificação de Controlo de Exportação (ECCN) exclusivo. Os itens não listados no CCL são designados como EAR99 e a maioria dos produtos comerciais EAR99 não exigirá a exportação de uma licença. No entanto, dependendo do destino, do utilizador final ou da utilização final do item, até mesmo um item EAR99 pode necessitar de uma licença de exportação do BIS.

A regra final, publicada em junho de 2016, esclareceu que os requisitos de licenciamento do EAR também não se aplicariam à transmissão e armazenamento de dados técnicos e software não classificados se fossem encriptados ponto a ponto utilizando módulos criptográficos validados FIPS 140-2 e não fossem intencionalmente armazenados num país/região em embargo militar ou na Federação Russa.

Microsoft e o EAR

As tecnologias, produtos e serviços da Microsoft estão sujeitos aos Regulamentos de Administração de Exportação (EAR) dos EUA. Embora não exista uma certificação de conformidade para os ambientes EAR, Microsoft Azure, Microsoft Azure Governamental e Microsoft Office 365 Government (GCC High and DoD) oferecem funcionalidades e ferramentas importantes para ajudar os clientes elegíveis sujeitos ao EAR a gerir riscos de controlo de exportação e a cumprir os requisitos de conformidade.

O Departamento de Comércio dos EUA, que impõe o EAR, assumiu a posição de que os clientes, e não os fornecedores de serviços cloud, como a Microsoft, são considerados exportadores dos seus próprios dados de cliente. Embora a maioria dos dados do cliente não seja considerada "tecnologia" ou "dados técnicos" sujeitos a controlos de exportação ear, os serviços cloud no âmbito da Microsoft são estruturados para ajudar os clientes a gerir e mitigar significativamente os potenciais riscos de controlo de exportação que enfrentam. Geralmente, a Microsoft, mas não exclusivamente, recomenda a utilização dos seus serviços cloud governamentais para clientes elegíveis. Com o planeamento adequado, os clientes podem utilizar as seguintes ferramentas e os seus próprios procedimentos internos para ajudar a garantir a conformidade total com os controlos de exportação dos EUA.

• Controlos na localização de dados. Os clientes têm visibilidade sobre onde os seus dados são armazenados e acesso a ferramentas robustas para restringir o armazenamento. Por conseguinte, podem garantir que os respetivos dados são armazenados no Estados Unidos e minimizar a transferência de tecnologia controlada ou dados técnicos fora do Estados Unidos. Além disso, os dados do cliente não são armazenados numa localização incompatível, em conformidade com as proibições do EAR sobre onde os dados são "armazenados intencionalmente": nenhum datacenter do Azure está localizado em qualquer um dos 25 países/regiões do Grupo D:5 ou na Federação Russa.
• Encriptação ponto a ponto. Ao tirar partido do porto seguro de encriptação ponto a ponto para localizações de armazenamento físico especificadas no EAR, os serviços cloud no âmbito da Microsoft fornecem funcionalidades de encriptação que podem ajudar a proteger contra riscos de controlo de exportação. Também oferecem aos clientes uma vasta gama de opções para encriptar dados em trânsito e inativos, e a flexibilidade para escolher entre as opções de encriptação. Para saber mais, confira:
  • Descrição geral da encriptação do Azure
  • Proteção de Informações do Microsoft Purview
  • Encriptação ao nível do inquilino com a Chave de Cliente
• Ferramentas e protocolos para impedir a exportação considerada não autorizada. A utilização da encriptação também ajuda a proteger contra uma potencial exportação considerada (ou considerada re-exportação) no EAR, porque mesmo que uma pessoa que não seja dos EUA tenha acesso a dados encriptados, nada é revelado se não conseguir ler ou compreender os dados enquanto estão encriptados; portanto, não existe nenhuma "libertação" de dados controlados.

Plataformas e serviços em nuvem no escopo da Microsoft

• Azure e Azure Government
• Office 365 Government (GCC-High e DoD)
• Intune

Perguntas frequentes

O que devo fazer para cumprir os controlos de exportação ao utilizar os serviços cloud da Microsoft?

No EAR, quando os dados são carregados para um servidor na cloud, como a cloud da Microsoft, o cliente que detém os dados, e não o fornecedor de serviços cloud, é considerado o exportador. Por esse motivo, o proprietário dos dados , ou seja, o cliente Microsoft, tem de avaliar cuidadosamente como a sua utilização da cloud da Microsoft pode implicar controlos de exportação dos EUA e determinar se algum dos dados que pretende utilizar ou armazenar pode estar sujeito a controlos EAR e, em caso afirmativo, que controlos se aplicam. Saiba mais sobre como o Azure e os serviços cloud Office 365 podem ajudar os clientes a garantir a conformidade total com os controlos de exportação dos EUA. Para obter mais informações, consulte a secção FAQs da Cloud da página Perguntas Mais Frequentes em Exportar Produtos Microsoft.

As tecnologias, produtos e serviços da Microsoft estão sujeitos ao EAR?

A maioria das tecnologias, produtos e serviços da Microsoft:

• Não estão sujeitos ao EAR e, portanto, não estão na Lista de Controlo comercial e não têm ECCN;
• Ou são ear99 ou 5D992 Mass Market elegíveis para autoclassificação pela Microsoft e podem ser exportados para países/regiões não embargados sem uma licença como Sem Licença Necessária (NLR).

Dito isto, alguns produtos Microsoft foram atribuídos a um ECCN que pode ou não exigir uma licença. Consulte o EAR ou o advogado para determinar o tipo de licença adequado e os países/regiões elegíveis para fins de exportação.

Qual é a diferença entre o EAR e o International Traffic in Arms Regulations (ITAR)?

Os principais controlos de exportação dos EUA com a aplicação mais ampla são o EAR, administrado pelo Departamento de Comércio dos EUA. O EAR é aplicável a itens de utilização dupla que tenham aplicações comerciais e militares e a itens com aplicações puramente comerciais.

O Estados Unidos também tem regulamentos de controlo de exportação separados e mais especializados, como a ITAR, que regem os itens e a tecnologia mais sensíveis. Administrados pelo Departamento de Estado dos EUA, impõem controlos sobre a exportação, importação temporária, re-exportação e transferência de muitos itens militares, de defesa e de inteligência (também conhecidos como "artigos de defesa"), incluindo dados técnicos relacionados.

Recursos

• Exportar Produtos Microsoft
• Exportar restrições à criptografia
• Microsoft e FIPS 140-2
• Microsoft e ITAR
• Conformidade na Central de Confiabilidade da Microsoft