Estoy a cargo de la seguridad del producto en nuestro inicio basado en EE. UU. y planeo usar NaCl para el cifrado (bueno , Sodium , en realidad).
Estoy tratando de navegar por el laberinto de las regulaciones de exportación de los Estados Unidos, algo con lo que nunca antes había tratado.
En este momento, soy consciente de que la exportación de cifrado desde los Estados Unidos se rige por el EAR y el BIS. Este último clasifica el software que contiene el cifrado y asigna cada producto a una categoría de ECCN (número de control de clasificación de exportación).
No estoy pidiendo un consejo legal aquí, ¿cómo lo abordaría? ¿Realmente se necesita una bandeja para categorizar el producto que utiliza una biblioteca criptográfica de código abierto?
ACTUALIZACIÓN: Matriz de Apache Foundation clasifica todo su software como ECCN 5D002 y lo exporta bajo la excepción TSU en EAR 740.13 (e). OpenSSL Software Foundation tomó la misma ruta.
Dicho esto, ahora tengo que averiguar si un software código cerrado , que utiliza una biblioteca criptográfica de código abierto, también puede ser exportado bajo la excepción EAR 740.13 (e) o si hay otra excepción, que se aplica.
Gracias de antemano.