Este sitio utiliza cookies para ofrecerle un servicio más ágil y personalizado. Al utilizar este sitio, acepta el uso que hacemos de las cookies. Puede obtener más información sobre el uso que hacemos de las cookies y tecnologías similares y sobre sus opciones consultando nuestra Política de privacidad. Al hacer clic en "Acepto", acepta nuestro uso de cookies y tecnologías similares.
Desbloquear oportunidades: Navegar por el nuevo programa de usuarios finales validados de centros de datos
NOTA DEL EDITOR: El 7 de mayo de 2025, después de la publicación de este blog, un portavoz del Departamento de Comercio anunció que la Administración tiene previsto derogar y modificar la norma descrita en esta entrada de blog. Guidepost publicará una actualización cuando disponga de más información.
Recientemente, la Oficina de Industria y Seguridad (BIS) del Departamento de Comercio de EE.UU. publicó una importante norma final provisional (IFR) que ha creado tanto retos como interesantes oportunidades para estos operadores. Esta IFR revisa los controles del Reglamento de Administración de Exportaciones (EAR) sobre chips de CI avanzados y determinados modelos de inteligencia artificial (IA) y, lo que es más importante, revisa las autorizaciones de usuario final validado de centros de datos (DC VEU).
Para muchos centros de datos, la exportación, reexportación o transferencia de artículos informáticos avanzados, como circuitos y ordenadores, suele requerir licencias de exportación específicas. Navegar por estos requisitos de concesión de licencias puede ser engorroso, causando potencialmente retrasos, incertidumbre y mayores costes. Reconociendo el papel fundamental que desempeñan los centros de datos en el desarrollo de la IA, el BIS estableció el programa de Autorización VEU del Centro de Datos como una nueva vía. Este programa está diseñado para permitir un envío más fácil y rápido de artículos de computación avanzada a centros de datos en el extranjero pre-aprobados que se someten a una revisión exhaustiva y un proceso de investigación.
Convertirse en usuario final validado (VEU) en el marco de este nuevo programa ofrece importantes ventajas a los operadores de centros de datos. Para los VEU de centros de datos autorizados, significa la capacidad de agilizar los procesos de exportación, reduciendo la necesidad de múltiples licencias de exportación individuales para los artículos elegibles. Esto permite un acceso más rápido y eficaz a los artículos de alta tecnología necesarios para las operaciones de los centros de datos, sin necesidad de licencias de exportación individuales.
Más allá de la eficacia operativa y la velocidad, la obtención de la certificación VEU posiciona a un centro de datos como un socio de confianza y que cumple las normas en el comercio internacional. Esto puede fomentar relaciones más sólidas con los exportadores estadounidenses e impulsar significativamente la ventaja competitiva de un centro de datos en el mercado mundial.
Sin embargo, obtener el estatus de VEU de centro de datos es una tarea rigurosa. El proceso de solicitud requiere información detallada y un compromiso de estricto cumplimiento. Los centros de datos deben demostrar un plan creíble o un historial probado de cumplimiento de las exigentes garantías legales, procedimentales y técnicas. Las principales áreas de interés en la solicitud y el cumplimiento continuo incluyen:
- Cumplimiento general y trayectoria demostrada: Demostrar un plan creíble o un historial de cumplimiento de las normas de seguridad física, cibernética y del personal establecidas para operaciones de centros de datos a gran escala y de cumplimiento de las leyes de control de exportaciones de Estados Unidos.
- Seguridad básica: Cumplimiento de normas de seguridad estrictas como NIST 800-53 en consonancia con FedRAMP High, requisitos específicos de seguridad física (por ejemplo, cumplimiento de DoD UFC, restricciones en las ventanas, sistemas específicos de vigilancia/detección) y aplicación de un marco de seguridad de defensa en profundidad.
- Seguridad de software y redes / Seguridad de IA: Implementación de prácticas de ciberseguridad específicas para sistemas de IA, incluida la adhesión a las mejores prácticas descritas por la NSA y la CISA, la generación de registros de uso y el cumplimiento de los requisitos para los pesos de los modelos avanzados de IA.
- Seguridad de la cadena de suministro: Establecimiento de procedimientos de tránsito seguros para los artículos controlados, aplicación de protocolos verificables de higienización y eliminación de chips al final de su vida útil, y demostración de la eliminación de las dependencias de la cadena de suministro de determinadas entidades y equipos de lugares o proveedores restringidos.
- Seguridad del personal: Desarrollar y aplicar un modelo de investigación de personal que incluya la comprobación de las listas de sanciones y la exclusión de personas con determinados antecedentes laborales relacionados con países o entidades restringidos. También es necesario establecer y mantener un programa integral sobre amenazas internas.
- Documentación, auditoría e informes: Mantener los registros requeridos, realizar un seguimiento continuo y la diligencia debida del usuario final, informar semestralmente a BIS sobre las instalaciones de chips y el cómputo agregado, y cooperar con las auditorías y revisiones in situ de BIS.
- Seguridad de la propiedad: Cumplimiento de las normas de seguridad de la propiedad para garantizar la ausencia de factores de propiedad, control o influencia extranjeros (FOCI) relacionados con destinos prohibidos, lo que implica la evaluación de factores como la viabilidad financiera y los problemas de contrainteligencia.
- Cumplimiento del control de exportaciones y restricciones: Cumplimiento de todos los requisitos de la VEU y de las leyes de control de exportaciones de Estados Unidos, incluidas las limitaciones geográficas al despliegue de potencia de cálculo de IA y las restricciones a las transferencias o usos finales prohibidos relacionados con países o entidades restringidos.
Cumplir estos requisitos detallados y estrictos puede ser una empresa compleja. Navegar por estas obligaciones requiere un profundo conocimiento del panorama normativo, así como experiencia en las necesidades de seguridad únicas de los operadores de centros de datos para cumplir estas rigurosas normas.
La completa gama de servicios de Guidepost SolutionsSolutions está específicamente diseñada para cumplir cada uno de los requisitos del programa VEU para centros de datos. Guidepost puede ofrecer servicios integrales de consultoría tecnológica y de seguridad, realizar evaluaciones de seguridad para contrastar la situación actual con los requisitos, y desarrollar e implantar políticas, procedimientos y protocolos de seguridad sólidos y a medida para todos los elementos requeridos. Nuestra experiencia incluye el desarrollo de programas integrales de ciberseguridad, seguridad física y seguridad del personal para centros de datos que se ajusten a todos los requisitos del programa VEU.
Alcanzar el estatus de VEU de centro de datos puede beneficiar significativamente a las operaciones del centro de datos, a los resultados finales y a la posición global. Aunque el camino implica el cumplimiento de obligaciones detalladas de seguridad y conformidad, los operadores no tienen por qué recorrerlo solos. Para quienes estén pensando en obtener la certificación VEU, un primer paso importante es conocer los pasos necesarios y la asistencia disponible.
Ken Mendelson AIGP, CISSP, CIPP, CISA
Director General
Ken Mendelson ha pasado más de 30 años en la intersección del derecho, la tecnología de la información y las políticas públicas. Como miembro de la Práctica de Seguridad Nacional, Ken gestiona proyectos e investigaciones de gobernanza, riesgo y cumplimiento, y lleva a cabo monitoreos y auditorías de terceros en relación con los acuerdos de mitigación aplicados por el Comité de Inversión Extranjera en los Estados Unidos (CFIUS). Además, ayuda a las empresas establecidas y emergentes a implementar y mantener programas de ciberseguridad y privacidad mediante el desarrollo de políticas, procedimientos y directrices de ciberseguridad, y la realización de evaluaciones de ciberseguridad basadas en el riesgo.
Línea directa SBCOakland County AARMAGELLAN Monitorship