Was bedeuten Indiens neue VPN-Richtlinien für VPN-Dienstanbieter und -Benutzer?

Veröffentlicht: 2022-05-22

Am 28. April hat das indische Computer Emergency Response Team (CERT-In) bestimmte Richtlinien für VPN-Anbieter und andere Dienstleister herausgegeben

Die neuen Anweisungen der Regierung, die Anforderungen an die Datenlokalisierung und Richtlinien zur Datenaufbewahrung auflisten, haben ernsthafte Datenschutzbedenken aufgeworfen

Da noch vieles offen ist, bedarf es einer rechtlichen Basisstrategie. Lesen Sie, um zu verstehen, wie dies Unternehmen dabei helfen wird, die neuen Vorschriften einzuhalten …

Am 28. April 2022 hat das Indian Computer Emergency Response Team (CERT-In) im Rahmen der ihm gemäß Unterabschnitt (6) von Abschnitt 70B des Information Technology Act, 2000, erteilten Befugnisse bestimmte Anweisungen herausgegeben. Diese Anweisungen beziehen sich auf Informationssicherheitspraktiken , Verfahren, Prävention, Reaktion und Meldung von Cybervorfällen.

CERT-In ist die nationale Knotenstelle für die Wahrnehmung der folgenden Funktionen im Bereich Cybersicherheit:

  • Sammlung, Analyse und Verbreitung von Informationen über Cybervorfälle
  • Prognose und Warnungen zu Cyber-Sicherheitsvorfällen
  • Notfallmaßnahmen zur Bewältigung von Cyber-Sicherheitsvorfällen
  • Koordination der Maßnahmen zur Reaktion auf Cyber-Vorfälle
  • Geben Sie Richtlinien, Hinweise, Schwachstellenhinweise und Whitepapers zu Informationssicherheitspraktiken, Verfahren, Prävention, Reaktion und Meldung von Cybervorfällen heraus
  • Solche anderen Funktionen in Bezug auf die Cybersicherheit, wie vorgeschrieben.

Diese neuen Richtlinien verlangen von allen Dienstanbietern, Vermittlern, Rechenzentren, Körperschaften und Regierungsorganisationen, dass sie Folgendes einhalten:

Obligatorische Meldung von Cyber-Vorfällen

Alle betroffenen Stakeholder sind verpflichtet, Cyber-Vorfälle innerhalb von sechs Stunden, nachdem sie solche Vorfälle bemerkt oder darauf aufmerksam gemacht wurden, zu melden. Aber es gibt keine klare Definition dessen, welche Handlung „bemerken“ oder „zur Kenntnis gebracht werden“ bedeutet. Darüber hinaus werfen diese Regeln einige Fragen auf, die noch unbeantwortet bleiben.

Erstens ist die Unsicherheit darüber, für wen genau die Regeln gelten. Richten sich die Regeln nur an die VPN-Dienstleister, die sich an die breite Öffentlichkeit richten? Oder erstreckt es sich auch auf Unternehmens- und Unternehmens-VPN-Dienstanbieter ? Dies würde Mitarbeiter betreffen, die von zu Hause aus arbeiten und nach der Pandemie über ein VPN mit dem Unternehmensnetzwerk verbunden sind.

Obligatorische Protokollierung

Dies würde erfordern, dass die Protokolle aller ihrer IKT-Systeme (Information Communications Technology) aktiviert und für einen fortlaufenden Zeitraum von 180 Tagen sicher aufbewahrt werden.

Das Problem ist, dass IKT ein sehr weit gefasster Begriff ist. Es verhält sich wie ein Erweiterungsbegriff für Informationstechnologie und betont die Vereinheitlichung von Kommunikation und Technologie, um Benutzern den Zugriff auf Informationen zu ermöglichen.

Die strenge Auslegung bedeutet, dass alle Protokolle für einen Zeitraum von sechs Monaten aufbewahrt werden. Es bleibt abzuwarten, welche liberale Auslegung als zulässig bezeichnet und von der indischen Regierung als konform angesehen wird.

Für dich empfohlen:

Wie das Account Aggregator Framework der RBI Fintech in Indien transformieren wird
Ressourcen

Wie das Account Aggregator Framework der RBI Fintech in Indien transformieren wird

Unternehmer können durch „Jugaad“ keine nachhaltigen, skalierbaren Startups schaffen: CEO von CitiusTech
Nachrichten

Unternehmer können mit „Jugaad“ keine nachhaltigen, skalierbaren Startups gründen: Zit...

Wie Metaverse die indische Automobilindustrie verändern wird
Ressourcen

Wie Metaverse die indische Automobilindustrie verändern wird

Was bedeutet die Anti-Profiteering-Bestimmung für indische Startups?
Ressourcen

Was bedeutet die Anti-Profiteering-Bestimmung für indische Startups?

Wie Edtech-Startups dabei helfen, die Mitarbeiter weiterzubilden und zukunftsfähig zu machen
Ressourcen

Wie Edtech-Startups Indiens Arbeitskräften helfen, sich weiterzubilden und zukunftsfähig zu werden ...

Nachrichten

New-Age-Tech-Aktien in dieser Woche: Zomatos Probleme gehen weiter, EaseMyTrip-Posts steigen...

Bewahren Sie alle Protokolle innerhalb der indischen Gerichtsbarkeit auf

Die Regierung begründet diesen Schritt damit, dass sie kein Interesse an der Speicherung von Verbraucherdaten habe. Stattdessen möchten sie, dass die Dienstanbieter die Daten aufbewahren, die dann nur dann an die Regierung weitergegeben werden können, wenn dies gesetzlich vorgeschrieben ist, aufgrund von Gerichtsbeschlüssen oder bei strafrechtlichen Ermittlungen.

Außerdem stellt sich die Zuständigkeitsfrage. VPN-Dienstanbieter bieten Verbrauchern innerhalb und außerhalb Indiens Dienste an. Aufgrund des Vorstoßes der Regierung zur Datenlokalisierung könnte dies einen zweifachen Effekt haben. Nicht nur die indischen Verbraucher werden in den Geltungsbereich dieser Verordnung gebracht, sondern auch die Dienstleister mit Servern außerhalb Indiens werden der Gerichtsbarkeit indischer Gerichte ausgesetzt.

Darüber hinaus werden Unternehmen auch indischen Strafbestimmungen unterworfen. Versäumt es ein Dienstleister, Vermittler, Rechenzentrum, eine Körperschaft oder eine Person, die angeforderten Informationen bereitzustellen oder die Richtlinien einzuhalten, macht er sich strafbar. Dies beinhaltet eine Freiheitsstrafe von bis zu einem Jahr oder eine Geldstrafe von bis zu 1 Lakh INR oder beides.

Speicherung von Daten

Anbieter von VPN-Diensten (Virtual Private Network), Cloud-Dienste, Rechenzentren und VPS-Dienste (Virtual Private Server) sind verpflichtet, die folgenden Informationen für einen Zeitraum von fünf Jahren nach einer Stornierung oder einem Widerruf der Registrierung als zu registrieren und aufrechtzuerhalten Fall kann sein:

  • Validierte Namen von Abonnenten oder Kunden, die die Dienste in Anspruch nehmen
  • Mietdauer inkl. Termine
  • IPs, die den Mitgliedern zugeteilt oder von ihnen verwendet werden
  • E-Mail-Adresse, IP-Adresse und Zeitstempel, die zum Zeitpunkt der Registrierung oder des Onboardings verwendet wurden
  • Der Zweck für die Einstellung der Dienste
  • Validierte Adresse und Telefonnummern
  • Eigentumsmuster der Abonnenten oder Kunden, die die Dienste mieten

Bei bestimmten Schlüsselfragen herrscht Unklarheit. Unklarheit besteht noch darüber, ob zusätzliche Infrastruktur geschaffen werden muss, um die Daten zu speichern. Oder ob sie die Speicherung von Daten an Drittanbieter von Datenspeicherungs-, Aufbewahrungs- und Lokalisierungsdiensten auslagern dürfen.

Darüber hinaus ist die Anforderung an diese Dienstanbieter, genaue Informationen zu registrieren, ebenfalls sehr vage. Es bleibt unklar, wie sie die Richtigkeit der vom Benutzer bereitgestellten Daten sicherstellen werden. Es kann auch erforderlich sein, dass zusätzliche Kosten anfallen, um die Richtigkeit der Informationen sicherzustellen.

Schließlich schreibt die Verordnung den Dienstanbietern vor, einen POC (Point Of Contact) als Schnittstelle zu CERT-In zu benennen. Die Richtlinien bleiben bisher vage, wenn es darum geht, wer ein POC sein kann. Muss der POC in Indien ansässig sein oder kann er ein Außenstationspersonal sein? Wer kann ein POC sein – ein administrativer Kontakt des Unternehmens, eine Person mit bestimmten Befugnissen oder ein Schlüsselpersonal im Management? Die Regelungen schweigen auch zur Frage der Anklage des POC als Beschuldigter bei Strafschutz nach IT-Gesetz und -Ordnung.

Herausforderungen für das Datenschutzregime

Während diese Verordnung für eine Reihe von Dienstanbietern gilt, einschließlich Kryptowährungsbörsen, scheinen VPN-Dienstanbieter am stärksten betroffen zu sein . Die neuen Anweisungen der Regierung, die Anforderungen an die Datenlokalisierung und Richtlinien zur Datenaufbewahrung auflisten, haben ernsthafte Datenschutzbedenken aufgeworfen

Das grundlegende Prinzip von VPN-Netzwerken ist der Datenschutz, und die aktuellen Richtlinien stehen eindeutig im Widerspruch zu diesen Prinzipien. Das Fehlen eines formellen Datenschutzgesetzes hat die Behörden dazu veranlasst, sich auf verschiedene Urteile des Obersten Gerichtshofs, das IT-Gesetz, die IT-Regeln und Artikel 21 der indischen Verfassung zu berufen. Dies macht es für Branchenakteure und Dienstleister schwierig, die Richtlinien einzuhalten.

Darüber hinaus verwenden VPN-Dienstanbieter verschiedene Technologien. In einigen der bestehenden Netzwerke bleibt die Speicherung der Protokolle nicht vorhanden. Dies bedeutet zusätzliche Mittel für die Infrastruktur und die Arbeitskräfte, um diese Dienste in Indien zu betreiben und aufrechtzuerhalten.

Planen Sie Ihren Weg zur Compliance

Da noch vieles offen bleibt, entsteht der Bedarf nach einer rechtlichen Basisstrategie. Dies wird Unternehmen dabei helfen, die neue Verordnung einzuhalten, falls es keine weiteren Klarstellungen seitens der Regierung gibt. Diese rechtliche Basisstrategie enthält die folgenden Schritte:

  • Ändern oder ergänzen Sie die Datenschutzrichtlinie der VPN-Dienstanbieter und holen Sie zusätzliche Zustimmungen von Kunden durch Clickwrap, Shrink-Wrap oder andere Akzeptanz- und Zustimmungsformate ein, um jegliche Haftung zu vermeiden.
  • Erstellen Sie Server in Indien und fügen Sie Infrastruktur, Prozesse und sogar Ressourcen hinzu, um die Regeln einzuhalten.
  • Ändern Sie die KYC-Normen der Kunden, um die zusätzlichen Datenerfassungsanforderungen zu erfüllen.
  • Erstellen Sie eine interne Richtlinie zur Einhaltung der Verordnung.
  • Ändern Sie die Werte, auf denen das VPN-System erstellt wird. Der Vorstoß zur Datenlokalisierung und -aufbewahrung würde erfordern, dass VPN-Dienstanbieter, die Dienste innerhalb Indiens anbieten, ihre Werte an die indischen gesetzlichen Anforderungen anpassen.
  • Benennen Sie eine Person in Indien als Ansprechpartner für die Kommunikation mit CERT-In.