กฎระเบียบการขนส่งอาวุธยุทโธปกรณ์ระหว่างประเทศของสหรัฐฯ (US International Traffic in Arms Regulations – ITAR)

คำถามที่พบบ่อย

• ITAR คืออะไร

  กฎระเบียบการขนส่งอาวุธยุทโธปกรณ์ระหว่างประเทศ (International Traffic in Arms Regulations - ITAR) ควบคุมการส่งออกวัตถุที่เกี่ยวข้องกับการป้องกันจากสหรัฐฯ และข้อบังคับระบุว่าห้ามบุคคลที่ไม่ได้มีสถานะในสหรัฐอเมริกาเข้าถึงวัตถุที่เก็บอยู่ในระบบของ ITAR ทั้งทางกายภาพหรือตรรกะ

  วัตถุที่ครอบคลุมตามรายการอาวุธของสหรัฐอเมริกา (ITAR United States Munitions List - USML) ประกอบด้วยอุปกรณ์ ส่วนประกอบ วัสดุ ซอฟต์แวร์ และข้อมูลทางเทคนิคที่สามารถใช้ร่วมกันกับผู้ที่มีสถานะในสหรัฐฯ ได้เท่านั้นเว้นแต่จะได้รับอนุญาตหรือข้อยกเว้นพิเศษ ผู้ที่มีสถานะในสหรัฐอเมริกาเป็นบุคคลที่ถือ Green Card ของสหรัฐอเมริกา (บัตรประจำตัวของผู้พำนักถาวร) หรือเป็นพลเมืองของสหรัฐอเมริกา
  

• ข้อกำหนด ITAR มีผลกับระบบคลาวด์อย่างไร

  การปฏิบัติตามข้อกำหนด ITAR ในระบบคลาวด์มุ่งเน้นไปที่การยืนยันว่าจะไม่กระจายข้อมูลที่เป็น ข้อมูลทางเทคนิคของ ITAR ไปยังบุคคลต่างชาติหรือต่างประเทศโดยไม่ได้ตั้งใจและไม่ได้รับอนุญาตอย่างเหมาะสม
  

• AWS ให้การสนับสนุนลูกค้าที่อยู่ภายใต้ข้อบังคับการส่งออกของ ITAR อย่างไร

  AWS ให้ทางเลือกแก่ลูกค้าในการจัดเก็บข้อมูลของตนใน AWS GovCloud (สหรัฐฯ) ที่จัดการโดยพลเมืองสหรัฐฯ ในสถานที่ที่อยู่ในสหรัฐฯ AWS GovCloud (สหรัฐฯ) เป็นระบบคลาวด์แยกของ Amazon ซึ่งผู้ที่มีสถานะในสหรัฐฯ ที่ทำงานให้กับองค์กรของสหรัฐเท่านั้นที่จะได้รับสิทธิ์ใช้บัญชี

  เนื่องจาก AWS ไม่สามารถดูสิ่งที่ลูกค้าอัปโหลดไปยังเครือข่ายของเราได้ รวมถึงไม่สามารถพิจารณาได้ว่าข้อมูลดังกล่าวอยู่ภายใต้ข้อบังคับ ITAR หรือไม่ ข้อมูลลูกค้าทั้งหมดภายในส่วนของ AWS GovCloud (US) จะถือเป็นข้อมูล ITAR

• AWS GovCloud (US) ให้การรับรองแก่ลูกค้าว่ามีการปฏิบัติตามข้อกำหนดของ ITAR อย่างไร

  ไม่มีการรับรอง ITAR อย่างเป็นทางการ AWS GovCloud (US) ได้รับการตรวจสอบอย่างต่อเนื่องโดยโปรแกรมการจัดการความเสี่ยงของรัฐบาลกลาง (Federal Risk Authorization Management Program - FedRAMP) ซึ่งเป็นองค์กรการประเมินผลอิสระจากภายนอก (3PAO) ที่ได้รับการรับรองสิทธิ์ชั่วคราวจาก FedRAMP ในการดำเนินการ (P-ATO) จากคณะกรรมการอนุมัติร่วม (JAB) ในระดับสูง ผู้บริหารเทคโนโลยีสารสนเทศระดับสูง (CIO) จากกระทรวงกลาโหมของสหรัฐอเมริกา (Department of Defense) กระทรวงความมั่นคงแห่งชาติ (Department of Homeland Security) และฝ่ายบริหารงานทั่วไป (General Services Administration) เป็นตัวแทนของ JAB สำหรับข้อมูลเพิ่มเติม โปรดดู การบรรลุการปฏิบัติตามข้อกำหนดของ FedRAMP ในระดับสูงใน AWS GovCloud (US)
  

• ความรับผิดชอบร่วมกันของ AWS จะมีผลอย่างไรกับการที่ลูกค้าส่งผ่าน ประมวลผล และจัดเก็บข้อมูลเกี่ยวกับ ITAR ใน AWS

  AWS มีหน้าที่รับผิดชอบในการปฏิบัติตามข้อกำหนดทางกายภาพและตรรกะของโครงสร้างพื้นฐานและบริการหลักที่เรานำเสนอบนคลาวด์ ลูกค้ามีหน้าที่รับผิดชอบโครงสร้างพื้นฐานด้าน IT แอปพลิเคชัน และระบบของตนเอง สิทธิ์ชั่วคราวจาก FedRAMP ในการดำเนินการ (P-ATO) จากคณะกรรมการอนุมัติร่วม (JAB) ของ AWS GovCloud ที่ระดับสูงเป็นสิ่งพิสูจน์ว่ามีการควบคุมที่เหมาะสมภายใน AWS GovCloud (US) AWS ให้การสนับสนุนลูกค้าที่กำลังสร้างระบบที่ปฎิบัติตาม ITAR ใน AWS ต่อไปนี้เป็นตัวอย่างเกี่ยวกับบริการของ AWS ที่ช่วยให้ลูกค้าจัดการข้อบังคับด้านการปฏิบัติตามข้อกำหนดด้านการรักษาความปลอดภัย

  การปกป้องข้อมูลที่ละเอียดอ่อน: ลูกค้าปกป้องข้อมูลที่ละเอียดอ่อนที่ไม่มีการจัดประเภทได้ด้วยการเข้ารหัสจากฝั่งเซิร์ฟเวอร์ใน Amazon S3 รวมถึงจัดเก็บและจัดการรหัสความปลอดภัยด้วย AWS CloudHSM หรือใช้ AWS Key Management Service (KMS) ได้ในคลิกเดียว

  ปรับปรุงการมองเห็นบนคลาวด์: ลูกค้าสามารถตรวจสอบการเข้าถึงและการใช้ข้อมูลที่มีความละเอียดอ่อนใน Amazon CloudTrail ซึ่งเป็นบริการบันทึกข้อมูล API ของเราที่จัดการและดำเนินการโดยผู้ที่มีสถานะในสหรัฐอเมริกา

  เสริมประสิทธิภาพการจัดการข้อมูลประจำตัว: ลูกค้าสามารถจำกัดสิทธิ์การเข้าถึงข้อมูลที่ละเอียดอ่อนได้ตามตัวบุคคล เวลา และตำแหน่ง เพื่อจำกัดว่าลูกค้าสามารถทำการเรียกใช้ API ใดได้บ้าง คุณสามารถใช้การเชื่อมโยงข้อมูลประจำตัว การหมุนเวียนคีย์ที่ใช้งานได้ง่าย และเครื่องมือทดสอบการควบคุมการเข้าถึงที่พร้อมให้ใช้งานใน AWS ได้