¿Qué significan las nuevas pautas de VPN de la India para los proveedores y usuarios de servicios de VPN?

El 28 de abril de 2022, el Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In) emitió ciertas instrucciones en virtud de los poderes que le otorga la subsección (6) de la Sección 70B de la Ley de Tecnología de la Información de 2000. Estas instrucciones se relacionan con las prácticas de seguridad de la información. , procedimientos, prevención, respuesta y reporte de incidentes cibernéticos.

CERT-In es la agencia nodal nacional para realizar las siguientes funciones en el área de ciberseguridad:

• Recopilación, análisis y difusión de información sobre ciberincidentes
• Previsión y alertas de incidentes de ciberseguridad
• Medidas de emergencia para el manejo de incidentes de ciberseguridad
• Coordinación de actividades de respuesta a incidentes cibernéticos
• Emitir directrices, avisos, notas de vulnerabilidad y documentos técnicos relacionados con las prácticas, los procedimientos, la prevención, la respuesta y la notificación de incidentes cibernéticos de seguridad de la información.
• Cualesquiera otras funciones relacionadas con la ciberseguridad que se prescriban.

Estas nuevas direcciones requieren que cualquier proveedor de servicios, intermediario, centro de datos, entidad corporativa y organización gubernamental se adhiera a lo siguiente:

Reporte Obligatorio de Incidentes Cibernéticos

Todas las partes interesadas interesadas deben informar los incidentes cibernéticos dentro de las seis horas posteriores a la notificación de dichos incidentes o a la notificación de dichos incidentes. Pero no existe una definición clara de qué acción equivale a 'observar' o 'ser notificado'. Además, estas reglas plantean bastantes preguntas que aún no han sido respondidas.

Primero está la incertidumbre sobre a quién se aplican exactamente las reglas. ¿Las reglas están dirigidas solo a los proveedores de servicios VPN que atienden al público en general? ¿O también se extiende a los proveedores de servicios VPN empresariales y corporativos ? Esto afectaría a los empleados que trabajan desde casa conectados a la red corporativa a través de una VPN después de la pandemia.

Registro obligatorio

Esto requeriría habilitar los registros de todos sus sistemas de TIC (Tecnología de la información y las comunicaciones) y mantenerlos de forma segura durante un período continuo de 180 días.

El tema es que TIC es un término muy amplio. Se comporta como un término extensivo para la tecnología de la información, enfatizando la unificación de la comunicación y la tecnología para permitir que los usuarios accedan a la información.

La interpretación estricta de esto supondrá el mantenimiento de todos los registros durante un período de seis meses. Queda por ver la interpretación liberal que se considerará permisible y se considerará en cumplimiento por parte del gobierno indio.

Recomendado para ti:

Recursos

Cómo se configura el marco de agregación de cuentas de RBI para transformar Fintech en India

Amit Das

31 de julio de 2022

Noticias

Los emprendedores no pueden crear startups sostenibles y escalables a través de 'Jugaad': Cit...

Jaspreet K.

31 de julio de 2022

Recursos

Cómo Metaverse transformará la industria automotriz india

Vaibhav S.

31 de julio de 2022

Recursos

¿Qué significa la disposición contra la especulación para las nuevas empresas indias?

Charanya L.

31 de julio de 2022

Recursos

Cómo las empresas emergentes de Edtech están ayudando a la fuerza laboral de la India a mejorar y prepararse para el futuro...

Ankush S.

31 de julio de 2022

Noticias

Acciones tecnológicas de la nueva era esta semana: los problemas de Zomato continúan, EaseMyTrip publica...

Tapanjana R.

31 de julio de 2022

Mantenga todos los registros dentro de la jurisdicción india

El gobierno justifica este movimiento al afirmar que no está interesado en almacenar datos de los consumidores. En cambio, quieren que los proveedores de servicios conserven los datos, que luego pueden compartirse con el gobierno solo cuando sea requerido legalmente, bajo órdenes judiciales o en investigaciones criminales.

Además, está el tema de la jurisdicción. Los proveedores de servicios de VPN ofrecen servicios a los consumidores dentro y fuera de la India. Debido a la presión del gobierno por la localización de datos, esto podría tener un doble efecto. No solo los consumidores indios estarán sujetos al alcance de esta regulación, sino que también los proveedores de servicios con servidores fuera de la India estarán expuestos a la jurisdicción de los tribunales indios.

Además, las empresas también estarán sujetas a las disposiciones penales indias. Si cualquier proveedor de servicios, intermediario, centro de datos, persona jurídica o persona no proporciona la información solicitada o no cumple con las pautas, será sancionado. Esto implica encarcelamiento por un término que puede extenderse a un año o con una multa que puede extenderse a INR 1 Lakh o ambos.

Almacenamiento de datos

Los proveedores de servicios VPN (red privada virtual), proveedores de servicios en la nube, centros de datos y proveedores de servicios VPS (servidor privado virtual) deberán registrarse y mantener la siguiente información durante un período de cinco años después de cualquier cancelación o retiro del registro como el caso puede ser:

• Nombres validados de suscriptores o clientes que contratan los servicios
• Período de alquiler incluyendo fechas
• IP asignadas o utilizadas por los miembros
• Dirección de correo electrónico, dirección IP y sello de tiempo utilizados en el momento del registro o la incorporación
• La finalidad de la contratación de los servicios
• Dirección validada y números de contacto
• Patrón de propiedad de los suscriptores o clientes que contratan los servicios

Hay una falta de claridad en ciertos temas clave. Todavía existe ambigüedad sobre si se debe crear una infraestructura adicional para almacenar los datos. O si se les permite subcontratar el almacenamiento de datos a proveedores de servicios de almacenamiento, retención y localización de datos de terceros.

Además, el requisito de que estos proveedores de servicios registren información precisa también es muy vago. No está claro cómo garantizarán la exactitud de los datos proporcionados por el usuario. También podría existir el requisito de incurrir en costos adicionales para garantizar la exactitud de la información.

Por último, la regulación obliga a los proveedores de servicios a designar un POC (Punto de contacto) para interactuar con CERT-In. Las directivas siguen siendo, hasta el momento, vagas en lo que respecta a quién puede ser un POC. ¿El POC tiene que ser un residente de la India o puede ser personal de una estación externa? ¿Quién puede ser un POC: un contacto administrativo de la empresa, una persona con cierta autoridad o personal de gestión clave? Las regulaciones también guardan silencio sobre el tema de que el POC sea acusado como acusado en el caso de protección penal bajo la Ley y las Reglas de TI.

Desafíos al régimen de privacidad

Si bien esta regulación es para una serie de proveedores de servicios, incluidos los intercambios de criptomonedas, los proveedores de servicios VPN parecen ser los más afectados . Las nuevas instrucciones del gobierno que enumeran los requisitos de localización de datos y las pautas de retención de datos han planteado serias preocupaciones sobre la privacidad de los datos.

El principio fundamental de las redes VPN es la privacidad y las directivas actuales están claramente en conflicto con esos principios. La ausencia de una ley de privacidad formal hace que las autoridades se basen en varios fallos de la Corte Suprema, la Ley de TI, las Reglas de TI y el Artículo 21 de la constitución india. Esto hace que sea un desafío para los actores de la industria y los proveedores de servicios cumplir con las pautas.

Además, los proveedores de servicios VPN utilizan varias tecnologías diferentes. En algunas de las redes existentes, el almacenamiento de los registros sigue siendo inexistente. Esto significa financiamiento adicional para la infraestructura y la fuerza laboral para operar y mantener estos servicios en India.

Cree una estrategia para su camino hacia el cumplimiento

Como queda mucho por responder, surge la necesidad de una estrategia legal básica. Esto ayudará a las empresas a lograr el cumplimiento de la nueva regulación, en caso de que no haya más aclaraciones por parte del gobierno. Esta estrategia legal base contiene los siguientes pasos:

• Cambie o modifique la política de privacidad de los proveedores de servicios de VPN y obtenga el consentimiento adicional de los clientes mediante un ajuste de clics, ajuste reducido u otros formatos de aceptación y consentimiento para evitar cualquier responsabilidad.
• Cree servidores en India y agregue infraestructura, procesos e incluso recursos para cumplir con las reglas.
• Modificar las normas KYC de los clientes para cumplir con los requisitos adicionales de captura de datos.
• Crear una política interna para cumplir con la normativa.
• Cambie los valores en los que se crea el sistema VPN. El impulso para la localización y retención de datos requeriría que los proveedores de servicios VPN que ofrecen servicios dentro de la India modifiquen sus valores para adaptarse a los requisitos legales indios.
• Designe a una persona en India para que actúe como POC para comunicarse con CERT-In.