Le leggi sull'esportazione degli Stati Uniti relative a AES-256 si applicano alle applicazioni ospitate nel cloud?
Le leggi sull'esportazione degli Stati Uniti relative a AES-256 si applicano alle applicazioni ospitate nel cloud?
Per espandere la risposta di Thomas e il mio commento, in questo caso particolare:
L'esportazione della crittografia AES-256 per determinati clienti è limitata dal governo degli Stati Uniti. Ad esempio, se vendi al governo della Cina, hai bisogno di una licenza di esportazione. Ma puoi vendere a un'entità privata in Cina.
Puoi non ottenere una licenza per vendere a determinati Paesi e persone sottoposti a embargo:
Comprendono le aree dell'Afghanistan controllate da Cuba, Iran, Iraq, Libia, Corea del Nord, Serbia, Sudan, Siria e dai talebani.
Alcuni paesi, tra cui Cina e Russia, richiedono un permesso di importazione (o vietano l'importazione) per i prodotti di crittografia.
Che non fornisce una risposta definitiva in cui il cloud non è ben definito, quindi la soluzione sarà utilizzare un provider di servizi cloud che sarà d'accordo in base al contratto per limitare la distribuzione geografica del cloud . Molti già lo fanno, ad es. IronMountain ti consente di scegliere le posizioni esatte in cui desideri inserire i tuoi dati e i fornitori di servizi cloud nell'UE dovrebbero conservare i dati dei clienti all'interno dell'UE.
Le leggi di un determinato paese si applicano ovunque si estenda il paese stesso. È un contesto geografico. È stato notato molte volte che le giurisdizioni spaziali non si adattano bene a un mondo informatizzato, in rete, perché è spesso difficile sapere in quali paesi transita una determinata informazione tra due sistemi (soprattutto perché "informazione" non è la stessa di "un mucchio di elettroni il cui dimenarsi in qualche cavo di rame da qualche parte è imbrigliato per trasferire informazioni"). Il "cloud" va un po 'più in quella direzione; non cambia le cose qualitativamente, ma quantitativamente.
Come esempio di problemi relativi alla giurisdizione, considera il caso di Sony contro Geohot per il jailbreak di PS3 , in particolare questa citazione:
SCEA has sought to establish personal jurisdiction in California, because the US District Court there has a tendency to favor electronics companies in lawsuits thanks to some precedents set in prior landmark cases. The company maintains it has the grounds to file its suit in California, claiming that most of the people who downloaded the PS3 jailbreak can be traced to that particular state. That is to say that Hotz has the minimum contacts in Calfornia for Sony to bring its case before the state's District Court.
Sony ha avuto molti problemi a ottenere i record di log dall'ISP per provare a stabilire la questione della giurisdizione. (Due settimane dopo, Sony e Geohot si sono accordati per via extragiudiziale, quindi non sapremo mai come questo si sarebbe rivelato legalmente parlando.)
Tuttavia, puoi essere certo che si applicano le alcune leggi. Ci sono luoghi in cui non si applica nessuna legge di alcun paese specifico (alto mare, spazio esterno sopra 80 km dalla superficie terrestre, forse l'Antartide), ma anche se i sistemi che gestiscono il "cloud" fossero situati su, ad esempio, un piattaforma offshore , te stesso e il tuo computer continuerebbero a risiedere fisicamente in un paese più "mainstream", le cui leggi certamente si applicano.
A quel punto diventa complesso, perché ogni paese ha il proprio insieme di leggi e regolamenti sui sistemi crittografici e / o sulle chiavi crittografiche. Vedi questo sito per una vasta indagine sulle leggi criptate. Come minimo, considera le leggi del Paese in cui ti trovi e quelle del Paese in cui si trovano i sistemi cloud; se solo perché il software si sviluppa e si carica in potrebbe andare dal primo al secondo.
Ricorda anche che non ho il diritto in alcun modo di fornire consulenza legale. (Io non so davvero se un tale disclaimer mi protegge o meno.)
Leggi altre domande sui tag cryptography legal encryption cloud-computing