Sono responsabile della sicurezza di un prodotto nella nostra startup negli Stati Uniti e ho intenzione di utilizzare NaCl per la crittografia (bene , Sodium , in realtà).
Sto provando a navigare nel labirinto delle esportazioni degli Stati Uniti, qualcosa che non ho mai affrontato prima.
Ormai sono a conoscenza del fatto che l'esportazione della crittografia dagli Stati Uniti è regolata dall'EAR e dalla BIS. Quest'ultima classifica il software contenente la crittografia e assegna ciascun prodotto a una categoria ECCN (numero di controllo di classificazione di esportazione).
Non sto chiedendo un parere legale qui, come lo affronteresti? C'è davvero bisogno di un addetto alla classificazione per categorizzare il prodotto che utilizza una libreria crittografica opensource?
UPDATE: La matrice Apache Foundation classifica tutti i loro software come ECCN 5D002 ed esporta sotto l'eccezione TSU in EAR 740.13 (e). OpenSSL Software Foundation ha seguito lo stesso percorso.
Detto questo, ora devo capire se un software closed source , che utilizza una libreria crittografica open source, può anche essere esportato sotto l'eccezione EAR 740.13 (e) o c'è un altro eccezione, che si applica.
Grazie in anticipo.