Verteidigungsmittel, die unter die Verordnung fallen, werden vom US-Außenministerium in der US-Munitionsliste in der Sprache der Verordnung aufgeführt. Die US-Munitionsliste darf nur im Rahmen einer Statutenänderung angepasst werden.

Im Kontext der Verordnung wird der Begriff „US-Bürger“ wie folgt definiert:

US-Bürger bezieht sich auf eine Person (definiert unter §120.14 in diesem Abschnitt), die ihren rechtmäßigen ständigen Wohnsitz in den USA hat, wie unter 8 U.S.C. 1101(a)(20) definiert, oder bei der es sich um eine geschützte Person handelt, wie unter 8 U.S.C. 1324b(a)(3) definiert. Darüber hinaus bezieht es sich auf sämtliche Unternehmen, Unternehmensvereinigungen, Partnerschaften, Vereinigungen, Syndikate oder sämtliche anderen Entitäten, Organisationen oder Gruppen, die befugt sind, in den USA Geschäfte zu tätigen. Das Gleiche gilt für staatliche Körperschaften (auf Bundes-, Länder- oder lokaler Ebene). Es bezieht sich nicht auf ausländische Bürger, wie unter §120.16 in diesem Abschnitt definiert.

Im Rahmen der Smartsheet Gov-Umgebung gilt im Rahmen von ITAR, dass Kunden sicherstellen müssen, dass Informationen, die unter ITAR (US-Munitionsliste) fallen, nicht für Personen freigegeben werden, die die Anforderungen für den Zugriff im Rahmen der Verordnung nicht erfüllen. Dies gilt beispielsweise für ausländische Personen (laut Definition in der Verordnung).

Smartsheet unterstützt seine Kunden bei Bedenken in Bezug auf ITAR, indem es eine Plattform zur Verfügung stellt, die in AWS GovCloud (betrieben von US-Bürgern) gehostet und von Smartsheet-Mitarbeitern betrieben wird, die unter die Definition „US-Bürger“ fallen.

ITAR als Verordnung verweist nicht auf eine Methode zur direkten Compliance, beispielsweise über eine formelle Zertifizierung, Bescheinigung oder Autorisierung. Smartsheet Gov wird über AWS GovCloud (betrieben von US-Bürgern) betrieben, hat die FedRAMP Moderate (IL2) P-ATO und wird von Smartsheet-Mitarbeitern betrieben, die unter die Definition für „US-Bürger“ fallen.

Smartsheet bietet diverse Funktionen für Kunden, um Daten angemessen in seiner Gov-Umgebung zu schützen:

• Starke Zugriffssteuerung: Smartsheet empfiehlt die Nutzung eines SSO-Anbieters und einer Methode zur Multi-Faktor-Authentifizierung für die Gov-Umgebung.
• Verschlüsselung: Smartsheet bietet eine Verschlüsselung für diese Umgebung in Form von Steuerungen bei der Übertragung und im Ruhezustand, die in Einklang mit validierten Verschlüsselungsstandards implementiert werden.
• Überwachung: Smartsheet bietet diverse Anwendungsfunktionen für die Überwachung prozessorientierter Daten in Ihrem Smartsheet Gov-Konto. Einige davon umfassen den Blattzugriffsbericht, der angibt, wer auf bestimmte Blätter in einer Umgebung zugreifen kann, sowie ein Aktivitätsprotokoll für jedes Blatt, das ein detailliertes Auditprotokoll für Aktionen im Blatt bereitstellt.

Sie müssen die folgenden wichtigen Steuerungen aktivieren, um die Compliance mit ITAR während der Verwendung von Smartsheet sicherzustellen:

1. Deaktivieren der Veröffentlichung:

   1. Stellen Sie sicher, dass die Funktion „Veröffentlichen“ auf Kontoebene deaktiviert ist, um die versehentliche Veröffentlichung von Daten auf öffentlichen Seiten zu verhindern. Das Veröffentlichen sollte auch für Folgendes deaktiviert sein:

      1. Blätter

      2. Berichte

      3. Dashboards

      4. Kalender

2. Fügen Sie keine Domänen oder einzelne E-Mails zur genehmigten Freigabeliste (standardmäßig in Gov aktiviert) hinzu, wenn Sie gegen die Anforderungen von ITAR (nur US-Bürger) verstoßen.

3. Formulare

   

4. Begrüßungsbildschirm (täglich konfiguriert)

5. API-Nutzung – limitieren Sie die Integration angemessen

6. Überwachen Sie die externe Speicherintegration

Hinweis: Jeder Kunde ist verantwortlich dafür, seine eigene Nutzung der Abonnementdienste sowie die Smartsheet-Sicherheitspraktiken unabhängig zu evaluieren, um sicherzustellen, dass die Nutzung ITAR-konform ist.

Sollten Sie weitere Fragen haben, die oben nicht beantwortet wurden, füllen Sie dieses Formular aus. Ein Smartsheet Security Engineer wird sich dann mit Ihnen in Verbindung setzen.