Las VPN corporativas y empresariales no necesitarán mantener registros de clientes: CERT-In
Publicado: 2022-05-18CERT-In publicó documento aclaratorio sobre las nuevas directivas de ciberseguridad emitidas por el mismo
A pesar de las preocupaciones sobre las nuevas reglas, el gobierno no parece estar de humor para hacer ningún cambio.
El gobierno también aclaró que el “derecho a la privacidad informativa de las personas no se ve afectado” por las nuevas orientaciones
El Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In) publicó las tan esperadas aclaraciones sobre sus nuevas instrucciones de seguridad cibernética, emitidas el 28 de abril, en formato de preguntas frecuentes. La agencia nodal de seguridad cibernética dijo que la regla para mantener los registros de los clientes no sería aplicable a las redes privadas virtuales (VPN) empresariales y corporativas.
Aclaró que el término proveedores de servicios VPN se refiere a una entidad que brinda "servicios similares a proxy de Internet" mediante el uso de tecnologías VPN, estándar o patentadas, a suscriptores/usuarios generales de Internet.
La emisión de la aclaración también señala que a pesar de las críticas que ha recibido la nueva normativa, el gobierno no está de humor para repensarla.
Las nuevas reglas exigen que los proveedores de VPN , los proveedores de servidores privados virtuales (VPS) y los proveedores de servicios en la nube recopilen y almacenen los datos de sus clientes durante cinco años o más.
“Cualquier proveedor de servicios que ofrezca servicios a los usuarios en el país debe habilitar y mantener registros y registros de transacciones financieras en la jurisdicción india”, dice el documento de aclaración.
Hay respuestas a 44 preguntas en el documento junto con una explicación de los tipos de incidentes de seguridad cibernética que se deben informar al CERT-In.
¿Se pierde el derecho a la privacidad?
Según el gobierno, las nuevas instrucciones están destinadas a garantizar la notificación oportuna de incidentes cibernéticos al CERT-In, complementada con la información necesaria requerida para el análisis de dichos incidentes, lo que en última instancia mejorará la conciencia situacional de seguridad cibernética, mitigará los incidentes/ataques de seguridad cibernética y más. , asegurando la protección de datos y la disponibilidad de los servicios a los ciudadanos.
“Estos esfuerzos mejorarán la postura general de seguridad cibernética y garantizarán una Internet abierta, segura, confiable y responsable en el país”, dice el documento.
Sin embargo, muchos expertos han cuestionado las nuevas reglas ante la ausencia de una ley de protección de datos en el país.
Hablando con Inc42, Anupam Shukla, socio de Pioneer Legal, dijo que el gobierno debería haber garantizado la promulgación de una ley de privacidad antes de presentar una regulación que requiera que las entidades privadas como los proveedores de servicios VPN almacenen datos que pertenecen a particulares.
Recomendado para ti:
Cómo se configura el marco de agregación de cuentas de RBI para transformar Fintech en India
Los emprendedores no pueden crear startups sostenibles y escalables a través de 'Jugaad': Cit...
Cómo Metaverse transformará la industria automotriz india
¿Qué significa la disposición contra la especulación para las nuevas empresas indias?
Cómo las empresas emergentes de Edtech están ayudando a la fuerza laboral de la India a mejorar y prepararse para el futuro...
Acciones tecnológicas de la nueva era esta semana: los problemas de Zomato continúan, EaseMyTrip publica...
Refiriéndose al derecho a la privacidad, Shukla también dijo que debe haber un umbral bastante alto de necesidad en el que el gobierno pueda invadir la privacidad de un individuo. Esto tiene que ser una excepción y no una regla.
En el último documento, el gobierno dijo claramente: “El derecho a la privacidad de la información de las personas no se ve afectado”.
“Estas instrucciones no contemplan la búsqueda de información por parte de CERT-In de los proveedores de servicios de forma continua como un acuerdo permanente. CERT-In puede buscar información de los proveedores de servicios en caso de incidentes de seguridad cibernética e incidentes cibernéticos, caso por caso, para cumplir con sus obligaciones legales de mejorar la seguridad cibernética en el país”, agregó.
Sobre el almacenamiento de registros, CERT-In dijo que los registros también pueden almacenarse fuera del país, siempre que las entidades cumplan con la "obligación de producir registros" en un tiempo razonable.
Mantenimiento y suministro de datos
Un funcionario de CERT-In, que no sea inferior al rango de Subsecretario del Gobierno de la India, tendría la autoridad para buscar información con respecto a los registros.
Sobre los tipos de registros que deben mantener los proveedores de servicios, el documento decía: “Los registros que deben mantenerse dependerán del sector en el que se encuentre la organización, como registros de firewall, registros de sistemas de prevención de intrusiones, registros SIEM, web/base de datos/correo/FTP/registros del servidor proxy, registros de eventos de sistemas críticos, registros de aplicaciones, registros de conmutadores ATM, registros de SSH, registros de VPN, etc.”
El gobierno también ha pedido a las organizaciones que utilicen fuentes de tiempo precisas y estándar. La directiva actual exige una sincronización horaria uniforme en todos los sistemas de tecnología de la información y la comunicación (TIC), independientemente de la zona horaria. “La información de la zona horaria también se registrará junto con la hora para facilitar la conversión precisa en el momento de la necesidad”, dice el documento.
Costo de incumplimiento
Las nuevas instrucciones entrarán en vigencia después de 60 días a partir de la fecha de emisión, es decir, el 28 de abril.
Los proveedores de servicios de activos virtuales, los proveedores de intercambio de activos virtuales, los proveedores de carteras de custodia y las organizaciones gubernamentales también estarían cubiertos por las reglas.
El documento también mencionaba la consecuencia del incumplimiento de las nuevas directivas. “El acto de incumplimiento de las Instrucciones de Seguridad Cibernética del 28.04.2022 emitido bajo la subsección (6) de la sección 70B de la Ley de Tecnología de la Información de 2000 puede atraer las disposiciones penales de la subsección (7) de la sección 70B de la Acto."
La sección 70 B (7) de la Ley de TI de 2020 establece que el incumplimiento de las instrucciones en virtud de la subsección (6) acarreará una sanción por un período, que puede extenderse a un año, o con una multa, que puede extenderse a un año. lakh de rupias o ambos.
Las reglas han recibido críticas de varios proveedores de servicios VPN internacionales que también hablaron sobre la posibilidad de salir de India para cumplir con su política de no registro. Habrá que ver cómo reaccionan a la aclaración que emita el organismo.
Gytis Malinauskas, jefe del departamento legal de Surfshark, dijo anteriormente que la empresa estaba tratando de comprender las nuevas regulaciones y sus implicaciones, pero el objetivo general era continuar brindando servicios sin registros a todos sus usuarios.
Por otro lado, Laura Tyrylyte, jefa de relaciones públicas de Nord Security, dijo que la empresa estaba analizando la nueva ley para comprender mejor lo que se requiere, pero por lo que parecía, la empresa tendría que hacer cambios fundamentales dentro de su infraestructura. , sus políticas y valores, y era “difícil ver que tal escenario se hiciera realidad”.