Apa Arti Pedoman VPN Baru India Bagi Penyedia & Pengguna Layanan VPN

Pada tanggal 28 April 2022, Tim Tanggap Darurat Komputer India (CERT-In) mengeluarkan arahan tertentu berdasarkan wewenang yang diberikan kepadanya berdasarkan sub-bagian (6) Bagian 70B Undang-Undang Teknologi Informasi, 2000. Arahan ini berkaitan dengan praktik keamanan informasi , prosedur, pencegahan, tanggapan, dan pelaporan insiden siber.

CERT-In adalah lembaga nodal nasional untuk melakukan fungsi berikut di bidang keamanan cyber:

• Pengumpulan, analisis, dan penyebaran informasi tentang insiden siber
• Prakiraan dan peringatan insiden keamanan siber
• Tindakan darurat untuk menangani insiden keamanan siber
• Koordinasi kegiatan tanggap insiden siber
• Menerbitkan pedoman, nasihat, catatan kerentanan, dan kertas putih yang berkaitan dengan praktik, prosedur, pencegahan, respons, dan pelaporan keamanan informasi keamanan informasi, dan pelaporan insiden dunia maya
• Fungsi-fungsi lain yang berkaitan dengan keamanan siber sebagaimana ditentukan.

Arahan baru ini mengharuskan penyedia layanan, perantara, pusat data, badan hukum, dan organisasi pemerintah untuk mematuhi hal-hal berikut:

Wajib Pelaporan Insiden Cyber

Semua pemangku kepentingan terkait diwajibkan untuk melaporkan insiden siber dalam waktu enam jam setelah mengetahui insiden tersebut atau diberitahu tentang insiden tersebut. Tetapi tidak ada definisi yang jelas tentang tindakan apa yang berarti 'memperhatikan' atau 'diberitahukan'. Selain itu, aturan ini memunculkan beberapa pertanyaan yang masih belum terjawab.

Pertama adalah ketidakpastian seputar siapa sebenarnya aturan itu berlaku. Apakah aturan hanya ditujukan kepada penyedia layanan VPN yang melayani masyarakat umum? Atau apakah itu meluas ke penyedia layanan VPN perusahaan dan perusahaan juga ? Ini akan memengaruhi karyawan yang bekerja dari rumah yang terhubung ke jaringan perusahaan melalui VPN pasca pandemi.

Pencatatan Wajib

Ini akan memerlukan pengaktifan log dari semua sistem TIK (Teknologi Komunikasi Informasi) mereka dan memeliharanya dengan aman selama periode bergulir selama 180 hari.

Masalahnya adalah bahwa TIK adalah istilah yang sangat luas. Ini berperilaku sebagai istilah ekstensional untuk teknologi informasi, menekankan penyatuan komunikasi dan teknologi untuk memungkinkan pengguna mengakses informasi.

Interpretasi ketat dari ini berarti memelihara semua log untuk jangka waktu enam bulan. Masih harus dilihat interpretasi liberal yang akan diistilahkan diperbolehkan dan dianggap sesuai oleh pemerintah India.

Direkomendasikan untukmu:

Sumber daya

Bagaimana Kerangka Kerja Agregator Akun RBI Ditetapkan Untuk Mengubah Fintech Di India

Amit Daso

31 Juli 2022

Berita

Pengusaha Tidak Dapat Menciptakan Startup yang Berkelanjutan dan Skalabel Melalui 'Jugaad': Cit...

Jaspreet K.

31 Juli 2022

Sumber daya

Bagaimana Metaverse Akan Mengubah Industri Otomotif India

Vaibhav S.

31 Juli 2022

Sumber daya

Apa Arti Ketentuan Anti-Profiteering Bagi Startup India?

Charnya L.

31 Juli 2022

Sumber daya

Bagaimana Startup Edtech Membantu Tenaga Kerja India Meningkatkan Keterampilan & Menjadi Siap Masa Depan...

Ankush S.

31 Juli 2022

Berita

Saham Teknologi Zaman Baru Minggu Ini: Masalah Zomato Berlanjut, EaseMyTrip Posting Stro...

Tapanjana R.

31 Juli 2022

Pertahankan Semua Log Dalam Yurisdiksi India

Pemerintah membenarkan langkah ini dengan menyatakan bahwa mereka tidak tertarik untuk menyimpan data konsumen. Sebaliknya, mereka menginginkan penyedia layanan untuk menyimpan data, yang kemudian dapat dibagikan kepada pemerintah hanya jika diperlukan secara hukum, di bawah perintah pengadilan atau dalam penyelidikan kriminal.

Selain itu, ada masalah yurisdiksi. Penyedia layanan VPN menawarkan layanan kepada konsumen di dalam dan di luar India. Karena desakan pemerintah untuk pelokalan data, ini mungkin memiliki efek ganda. Konsumen India tidak hanya akan dibawa di bawah cakupan peraturan ini, tetapi juga penyedia layanan dengan server di luar India akan dihadapkan pada yurisdiksi pengadilan India.

Selain itu, perusahaan juga akan dikenakan ketentuan pidana India. Jika ada penyedia layanan, perantara, pusat data, badan hukum atau orang yang gagal memberikan informasi yang diminta atau mematuhi pedoman, mereka akan dihukum. Ini melibatkan penjara untuk jangka waktu yang dapat diperpanjang hingga satu tahun atau dengan denda yang dapat mencapai INR 1 Lakh atau dengan keduanya.

Penyimpanan Data

Penyedia layanan VPN (Virtual Private Network), penyedia layanan cloud, pusat data, dan penyedia layanan VPS (Virtual Private Server) wajib mendaftar dan memelihara informasi berikut untuk jangka waktu lima tahun setelah pembatalan atau penarikan pendaftaran sebagai kasus mungkin:

• Nama pelanggan atau pelanggan yang divalidasi yang menyewa layanan
• Periode sewa termasuk tanggal
• IP yang diberikan atau digunakan oleh anggota
• Alamat email, alamat IP, dan stempel waktu yang digunakan pada saat pendaftaran atau on-boarding
• Tujuan menyewa jasa
• Alamat dan nomor kontak yang divalidasi
• Pola kepemilikan pelanggan atau pelanggan yang menyewa jasa

Ada ketidakjelasan tentang isu-isu kunci tertentu. Ambiguitas masih ada di sekitar apakah infrastruktur tambahan harus dibuat untuk menyimpan data. Atau apakah mereka diizinkan untuk mengalihdayakan penyimpanan data ke penyedia layanan penyimpanan, penyimpanan, dan pelokalan data pihak ketiga.

Selanjutnya, persyaratan bagi penyedia layanan ini untuk mendaftarkan informasi yang akurat juga sangat kabur. Masih belum jelas bagaimana mereka akan memastikan keakuratan data yang diberikan oleh pengguna. Mungkin juga ada persyaratan untuk biaya tambahan yang harus dikeluarkan untuk memastikan keakuratan informasi.

Terakhir, peraturan mewajibkan penyedia layanan untuk menunjuk POC (Point Of Contact) untuk berinteraksi dengan CERT-In. Arahan tersebut masih belum jelas mengenai siapa yang bisa menjadi POC. Apakah POC harus penduduk India atau dapatkah mereka menjadi personel outstation? Siapa yang dapat menjadi POC — kontak administratif perusahaan, orang dengan otoritas tertentu atau personel manajemen kunci? Peraturan tersebut juga membungkam isu POC yang didakwa sebagai tersangka dalam kasus perlindungan pidana berdasarkan UU dan Aturan IT.

Tantangan Terhadap Rezim Privasi

Meskipun peraturan ini berlaku untuk sejumlah penyedia layanan termasuk pertukaran mata uang kripto, penyedia layanan VPN tampaknya paling terpengaruh . Arahan baru pemerintah yang mencantumkan persyaratan pelokalan data dan pedoman penyimpanan data telah menimbulkan masalah privasi data yang serius

Prinsip dasar jaringan VPN adalah privasi dan arahan saat ini jelas bertentangan dengan prinsip-prinsip tersebut. Ketiadaan undang-undang privasi formal membuat otoritas bergantung pada berbagai keputusan Mahkamah Agung, UU IT, Aturan IT, dan Pasal 21 konstitusi India. Hal ini menyulitkan pelaku industri dan penyedia layanan untuk mematuhi pedoman.

Selain itu, penyedia layanan VPN menggunakan berbagai teknologi berbeda. Di beberapa jaringan yang ada, penyimpanan log tetap tidak ada. Ini berarti pendanaan tambahan untuk infrastruktur dan tenaga kerja untuk mengoperasikan dan memelihara layanan ini di India.

Strategikan Jalan Anda Menuju Kepatuhan

Karena masih banyak yang belum terjawab, kebutuhan akan strategi hukum dasar muncul. Ini akan membantu perusahaan mencapai kepatuhan terhadap peraturan baru, jika tidak ada klarifikasi lebih lanjut dari pemerintah. Strategi hukum dasar ini berisi langkah-langkah berikut:

• Ubah atau amandemen kebijakan privasi penyedia layanan VPN dan dapatkan persetujuan tambahan dari pelanggan dengan format clickwrap, shrink-wrap atau penerimaan dan persetujuan lainnya untuk menghindari kewajiban apa pun.
• Buat server di India dan tambahkan infrastruktur, proses, dan bahkan sumber daya untuk mematuhi aturan.
• Ubah norma KYC pelanggan untuk mematuhi persyaratan pengambilan data tambahan.
• Membuat kebijakan internal untuk mematuhi regulasi.
• Ubah nilai di mana sistem VPN dibuat. Dorongan untuk pelokalan dan penyimpanan data akan mengharuskan penyedia layanan VPN yang menawarkan layanan di India untuk mengubah nilainya agar sesuai dengan persyaratan hukum India.
• Tunjuk seseorang di India untuk bertindak sebagai POC untuk berkomunikasi dengan CERT-In.