Особенности создания продуктов для рынка США

в 8:48, , рубрики: карьера, США, управление продуктами, Управление продуктом, экспорт

Продолжим тему практических аспектов работы менеджера продукта. Данный материал пригодится вам если

  • ваша компания зарегистрирована в США, и вы планируете работать со всем миром,
  • вы хотите продавать ваш софт (и не только) в Штаты,
  • вы планируете работать с компаниями, расположенными в США.

А также для тех ПМ, которые планируют работать на иностранные компании.

Экспортный контроль

В США очень пристально контролируется все, что связано с экспортом и реэкспортом в другие страны. Если продукт, при этом неважно какой, попадает в определенную категорию, то на его экспорт потребуется специальная лицензия. В основном, конечно, это продукты двойного назначения и обладающие усиленными характеристиками.

Сам процесс классификации для экспорта состоит из четырех групп

  1. Номер ECCN
  2. Куда продукт идет
  3. Кто конечный пользователь
  4. Цель использования

https://www.bis.doc.gov/index.php/licensing/commerce-control-list-classification

Возможны проблемы с доступом

Я заметил, что есть проблемы с доступом к этой ссылке и ссылкам ниже. Судя по всему, соединение ограничивается не на уровне локальных провайдеров в России. Через VPN проблем с открытием ресурсов нет.

Менеджер продукта сталкивается с первым пунктом ECCN – Export Control Classification Number. Данный номер присваивается самостоятельно: компания собственными силами делает классификацию (чаще всего), либо по запросу в Bureau of Industry and Security (BIS).
Для программного обеспечения он будет типа 4D994, или EAR99. Последний означает: «не имеет специальной классификации», то есть ограничений.

Структура номера

Особенности создания продуктов для рынка США - 1

Полный перечень элементов номера можно посмотреть на сайте BIS.

Рассмотрим пример 4D994, в данном номере

  • 4 — Computers
  • D – Software
  • 994 — дословно означает specially designed or modified for the «development», «production», or «use» of equipment controlled by 4A994, 4B994 and materials controlled by 4C994. А если кратко, то для компьютеров не специального назначения.

Когда вы с этим можете столкнуться:

  • При экспорте из США. Например, головной офис вашей компании в США, и продукты автоматически попадают под экспортный контроль.
  • При продаже компонента в американскую компанию. Например, набор компонентов для разработки. И компания — контрагент может запросить у вас этот номер. Если вы не зарегистрированы в США, то вам его иметь не обязательно. Если его нет, то ваш контрагент попросит ответить на несколько вопросов для того, чтобы самостоятельно выполнить классификацию. Потому что, ECCN всего продукта не может быть ниже чем уровень всех входящих компонентов.

Что влияет на ECCN.

  • Авторизация на основе алгоритмов шифрования.
  • Стойкие алгоритмы шифрования.
  • Выполнение операций с определенной производительностью (суперкомпьютерные вычисления).

Возможность использования продукта людьми с ограниченными возможностями

VPAT — Voluntary Product Accessibility Template, это документ, в котором описано насколько продукт, сервис или технология соответствует требованиям Section 508 of the U.S. Rehabilitation Act of 1973, as amended (29 U.S.C. § 794 (d)).

Говоря простым языком, это таблица, в которой описано требование для поддержки людей с ограниченными возмжностями, и соответствие вашего продукта этому требованию.

Например

302.2 With Limited Vision Conformance level Remarks

Что важно отметить. Как следует из названия Voluntary, данная таблица является добровольной к заполнению. В том числе вы можете сами определить структуру. Второй момент, требуется только перечислить соответствия. В том числе указать каким из них продукт не соответствует. Например, для ПО обработки аудио можно не соответствовать критериям «302.4 Without Hearing, 302.5 With Limited Hearing». Таблица, как правило получается довольно большой, поскольку каждый критерий разбивается на подзадачи.

Когда может понадобиться. Этот документ специфичен для США. Полезен если вы продаете готовый продукт в Штаты, и компания его просит. В особенности для улучшения шансов покупки. Как правило, требуют крупные компании и государственные органы.
Описание: https://www.section508.gov/sell/vpat
Рекомендованный шаблон: https://www.itic.org/policy/accessibility/vpat

Соответствие стандарту работы с медицинскими данными

HIPAA — Health Insurance Portability and Accountability Act, Правила конфиденциальности в целях защиты информации о физическом и психическом здоровье пациентов. В первую очередь описывает правила обработки медицинских данных. Но также соответствие этим правилам часто используется для защиты персональных данных в целом. В большей степени, это относится к рабочим процессам, физическому доступу. Но и есть критерии для программного обеспечения.
Как и в двух предыдущих случаях единой формы для соответствия стандартам нет. В данном случае программное обеспечение охватывается в меньшей степени, поэтому достаточно чеклиста с описанием. Например.

https://www.hipaajournal.com/hipaa-compliance-checklist/

Implementation Specification Required or Addressable Further Information
Implement a means of access control Required This not only means assigning a centrally-controlled unique username and PIN code for each user, but also establishing procedures to govern the release or disclosure of ePHI during an emergency.
Introduce a mechanism to authenticate ePHI Addressable This mechanism is essential in order to comply with HIPAA regulations as it confirms whether ePHI has been altered or destroyed in an unauthorized manner.
Implement tools for encryption and decryption Addressable This guideline relates to the devices used by authorized users, which must have the functionality to encrypt messages when they are sent beyond an internal firewalled server, and decrypt those messages when they are received.
Introduce activity logs and audit controls Required The audit controls required under the technical safeguards are there to register attempted access to ePHI and record what is done with that data once it has been accessed.
Facilitate automatic log-off of PCs and devices Addressable This function logs authorized personnel off of the device they are using to access or communicate ePHI after a pre-defined period of time. This prevents unauthorized access of ePHI should the device be left unattended.

Знание этих тем поможет легче ориентироваться в различных требованиях при работе на рынке США. Причем в требованиях не только к програмному обеспечению, но и другим продуктам.

Автор: Михаил Захаров

Источник

* - обязательные к заполнению поля