ماذا تعني إرشادات VPN الجديدة للهند بالنسبة لمقدمي خدمة VPN والمستخدمين

نشرت: 2022-05-22

في 28 أبريل ، أصدر فريق الاستجابة لطوارئ الكمبيوتر الهندي (CERT-In) إرشادات معينة لموفري VPN ومقدمي الخدمات الآخرين

أثارت التوجيهات الحكومية الجديدة التي تسرد متطلبات توطين البيانات وإرشادات الاحتفاظ بالبيانات مخاوف جدية بشأن خصوصية البيانات

نظرًا لأن الكثير لا يزال بدون إجابة ، فهناك حاجة إلى استراتيجية قانونية أساسية. اقرأ لفهم كيف سيساعد ذلك الشركات على تحقيق الامتثال للائحة الجديدة ...

في 28 أبريل 2022 ، أصدر فريق الاستجابة للطوارئ الحاسوبية الهندي (CERT-In) توجيهات معينة بموجب الصلاحيات الممنوحة له بموجب القسم الفرعي (6) من القسم 70 ب من قانون تكنولوجيا المعلومات لعام 2000. تتعلق هذه التوجيهات بممارسات أمن المعلومات والإجراءات والوقاية والاستجابة والإبلاغ عن الحوادث الإلكترونية.

CERT-In هي الوكالة الوطنية العقدية لأداء الوظائف التالية في مجال الأمن السيبراني:

  • جمع وتحليل ونشر المعلومات المتعلقة بالحوادث السيبرانية
  • التنبؤ والتنبيهات بحوادث الأمن السيبراني
  • تدابير الطوارئ للتعامل مع حوادث الأمن السيبراني
  • تنسيق أنشطة الاستجابة للحوادث الإلكترونية
  • إصدار المبادئ التوجيهية والإرشادات وملاحظات الضعف والأوراق البيضاء المتعلقة بممارسات وإجراءات أمن المعلومات والوقاية والاستجابة والإبلاغ عن الحوادث السيبرانية
  • الوظائف الأخرى المتعلقة بالأمن السيبراني كما قد يتم تحديدها.

تتطلب هذه التوجيهات الجديدة من أي مقدم خدمة أو وسيط أو مركز بيانات أو هيئة اعتبارية أو مؤسسة حكومية الالتزام بما يلي:

الإبلاغ الإلزامي عن الحوادث السيبرانية

يتعين على جميع أصحاب المصلحة المعنيين الإبلاغ عن الحوادث الإلكترونية في غضون ست ساعات من ملاحظة مثل هذه الحوادث أو إبلاغهم بمثل هذه الحوادث. لكن لا يوجد تعريف واضح لما يرقى الفعل إلى مستوى "الملاحظة" أو "الانتباه". بالإضافة إلى ذلك ، تثير هذه القواعد بعض الأسئلة التي لا تزال بدون إجابة حتى الآن.

الأول هو عدم اليقين حول من تنطبق القواعد بالضبط. هل القواعد موجهة فقط لمقدمي خدمة VPN الذين يقدمون خدماتهم لعامة الناس؟ أم أنها تمتد إلى مزودي خدمة VPN للشركات والشركات أيضًا ؟ سيؤثر هذا على الموظفين الذين يعملون من المنزل والمتصلين بشبكة الشركة من خلال VPN بعد الوباء.

التسجيل الإلزامي

سيتطلب ذلك تمكين سجلات جميع أنظمة تكنولوجيا المعلومات والاتصالات الخاصة بهم والحفاظ عليها بشكل آمن لمدة 180 يومًا.

القضية هي أن تكنولوجيا المعلومات والاتصالات مصطلح واسع للغاية. يتصرف كمصطلح موسع لتكنولوجيا المعلومات ، مؤكدا على توحيد الاتصالات والتكنولوجيا للسماح للمستخدمين بالوصول إلى المعلومات.

التفسير الصارم لهذا يعني الاحتفاظ بجميع السجلات لمدة ستة أشهر. يبقى أن نرى التفسير الليبرالي الذي سيتم اعتباره مسموحًا به ويعتبر ممتثلًا من قبل الحكومة الهندية.

موصى به لك:

كيف يتم تعيين إطار عمل مجمع الحسابات في RBI لتحويل التكنولوجيا المالية في الهند
موارد

كيف يتم تعيين إطار عمل مجمع الحسابات في RBI لتحويل التكنولوجيا المالية في الهند

لا يستطيع رواد الأعمال إنشاء شركات ناشئة مستدامة وقابلة للتطوير من خلال "Jugaad": المدير التنفيذي لشركة CitiusTech
أخبار

لا يمكن لرواد الأعمال إنشاء شركات ناشئة مستدامة وقابلة للتطوير من خلال 'Jugaad': المواطنون ...

كيف ستحول Metaverse صناعة السيارات الهندية
موارد

كيف ستحول Metaverse صناعة السيارات الهندية

ماذا يعني توفير مكافحة الربح بالنسبة للشركات الهندية الناشئة؟
موارد

ماذا يعني توفير مكافحة الربح بالنسبة للشركات الهندية الناشئة؟

كيف تساعد الشركات الناشئة في Edtech في الارتقاء بالمهارات وجعل القوى العاملة جاهزة للمستقبل
موارد

كيف تساعد الشركات الناشئة في تكنولوجيا التعليم في تطوير مهارات القوى العاملة في الهند وتصبح جاهزة للمستقبل ...

أخبار

الأسهم التقنية في العصر الجديد هذا الأسبوع: مشاكل Zomato مستمرة ، EaseMyTrip تنشر Stro ...

الاحتفاظ بجميع السجلات داخل السلطة القضائية الهندية

تبرر الحكومة هذه الخطوة بالقول إنها غير مهتمة بتخزين بيانات المستهلك. بدلاً من ذلك ، يريدون من مقدمي الخدمات الاحتفاظ بالبيانات ، والتي لا يمكن بعد ذلك مشاركتها مع الحكومة إلا عندما يكون ذلك مطلوبًا قانونيًا ، أو بموجب أوامر من المحكمة أو في التحقيقات الجنائية.

علاوة على ذلك ، هناك مسألة الاختصاص. يقدم مقدمو خدمة VPN خدمات للمستهلكين داخل وخارج الهند. نظرًا لضغط الحكومة من أجل توطين البيانات ، فقد يكون لهذا تأثير مزدوج. لن يتم إخضاع المستهلكين الهنود لنطاق هذه اللائحة فحسب ، بل سيتم أيضًا إخضاع مزودي الخدمة الذين لديهم خوادم خارج الهند للاختصاص القضائي للمحاكم الهندية.

بالإضافة إلى ذلك ، ستخضع الشركات أيضًا لأحكام العقوبات الهندية. إذا فشل أي مقدم خدمة أو وسيط أو مركز بيانات أو هيئة اعتبارية أو شخص في تقديم المعلومات المطلوبة أو الامتثال للمبادئ التوجيهية ، فسيتم معاقبته. وهذا يشمل السجن لمدة قد تمتد إلى سنة واحدة أو بغرامة قد تمتد إلى INR 1 Lakh أو مع كليهما.

تخزين البيانات

يجب على مقدمي خدمات VPN (الشبكة الافتراضية الخاصة) ومقدمي الخدمات السحابية ومراكز البيانات ومقدمي خدمات VPS (الخادم الخاص الافتراضي) تسجيل المعلومات التالية والحفاظ عليها لمدة خمس سنوات بعد أي إلغاء أو سحب للتسجيل باعتباره قد تكون الحالة:

  • تم التحقق من صحة أسماء المشتركين أو العملاء الذين يستأجرون الخدمات
  • فترة الاستئجار بما في ذلك التواريخ
  • عناوين IP المخصصة أو المستخدمة من قبل الأعضاء
  • عنوان البريد الإلكتروني وعنوان IP والطابع الزمني المستخدم في وقت التسجيل أو على متن الطائرة
  • الغرض من استئجار الخدمات
  • تم التحقق من صحة العنوان وأرقام الاتصال
  • نمط ملكية المشتركين أو العملاء المستأجرين للخدمات

هناك نقص في الوضوح بشأن بعض القضايا الرئيسية. لا يزال الغموض قائمًا حول ما إذا كان يجب إنشاء بنية تحتية إضافية لتخزين البيانات. أو ما إذا كان يُسمح لهم بالاستعانة بمصادر خارجية لتخزين البيانات لمقدمي خدمات تخزين البيانات والاحتفاظ بها وتعريبها.

علاوة على ذلك ، فإن مطلب مزودي الخدمة هؤلاء لتسجيل معلومات دقيقة أمر غامض للغاية. لا يزال من غير الواضح كيف سيضمنون دقة البيانات المقدمة من قبل المستخدم. قد تكون هناك أيضًا متطلبات لتكاليف إضافية يتم تكبدها لضمان دقة المعلومات.

أخيرًا ، تلزم اللائحة مزودي الخدمة بتعيين POC (نقطة اتصال) للتفاعل مع CERT-In. تظل التوجيهات ، حتى الآن ، غامضة عندما يتعلق الأمر بمن يمكن أن يكون POC. هل يجب أن يكون POC مقيمًا هنديًا أم يمكن أن يكون موظفًا خارجيًا؟ من يمكن أن يكون POC - جهة اتصال إدارية للشركة ، أو شخص يتمتع بسلطة معينة أو أحد موظفي الإدارة الرئيسيين؟ تحافظ اللوائح أيضًا على الصمت بشأن قضية توجيه تهمة إلى POC كمتهم في حالة الحماية الجنائية بموجب قانون وقواعد تكنولوجيا المعلومات.

تحديات نظام الخصوصية

في حين أن هذا التنظيم يخص عددًا من مزودي الخدمة بما في ذلك بورصات العملات المشفرة ، يبدو أن مزودي خدمة VPN هم الأكثر تضررًا . أثارت التوجيهات الحكومية الجديدة التي تدرج متطلبات توطين البيانات وإرشادات الاحتفاظ بالبيانات مخاوف جدية بشأن خصوصية البيانات

يتمثل المبدأ الأساسي لشبكات VPN في الخصوصية ، ومن الواضح أن التوجيهات الحالية تتعارض مع هذه المبادئ. إن غياب قانون الخصوصية الرسمي جعل السلطات تعتمد على أحكام المحكمة العليا المختلفة ، وقانون تكنولوجيا المعلومات ، وقواعد تكنولوجيا المعلومات ، والمادة 21 من الدستور الهندي. وهذا يجعل من الصعب على الجهات الفاعلة في الصناعة ومقدمي الخدمات الامتثال للإرشادات.

بالإضافة إلى ذلك ، يستخدم مقدمو خدمة VPN تقنيات مختلفة مختلفة. في بعض الشبكات الحالية ، يظل تخزين السجلات غير موجود. وهذا يعني تمويلًا إضافيًا للبنية التحتية والقوى العاملة لتشغيل هذه الخدمات وصيانتها في الهند.

ضع إستراتيجية لطريقتك للامتثال

نظرًا لأن الكثير لا يزال بدون إجابة ، تظهر الحاجة إلى استراتيجية قانونية أساسية. سيساعد هذا الشركات على تحقيق الامتثال للائحة الجديدة ، في حالة عدم وجود توضيح إضافي من الحكومة. تحتوي هذه الإستراتيجية القانونية الأساسية على الخطوات التالية:

  • قم بتغيير أو تعديل سياسة الخصوصية الخاصة بموفري خدمة VPN والحصول على موافقة إضافية من العملاء عن طريق غلاف النقر ، أو التفاف النص أو غيره من تنسيقات القبول والموافقة لتجنب أي مسؤولية.
  • أنشئ خوادم في الهند وأضف البنية التحتية والعمليات وحتى الموارد للامتثال للقواعد.
  • تعديل قواعد "اعرف عميلك" الخاصة بالعملاء لتتوافق مع متطلبات التقاط البيانات الإضافية.
  • وضع سياسة داخلية للتوافق مع اللائحة.
  • قم بتغيير القيم التي تم إنشاء نظام VPN عليها. سيتطلب الدفع من أجل توطين البيانات والاحتفاظ بها أن يقوم مقدمو خدمات VPN الذين يقدمون خدمات داخل الهند بتغيير قيمهم لتلائم المتطلبات القانونية الهندية.
  • قم بتعيين شخص في الهند ليكون بمثابة نقطة حماية للتواصل مع CERT-In.