• Homepage
  • Articoli
  • Tech
  • Cosa significano le nuove linee guida VPN dell'India per i fornitori di servizi VPN e gli utenti

Cosa significano le nuove linee guida VPN dell'India per i fornitori di servizi VPN e gli utenti

Pubblicato: 2022-05-22

Il 28 aprile, l'Indian Computer Emergency Response Team (CERT-In) ha emesso alcune linee guida per i fornitori di VPN e altri fornitori di servizi

Le nuove indicazioni del governo che elencano i requisiti di localizzazione dei dati e le linee guida sulla conservazione dei dati hanno sollevato seri problemi di privacy dei dati

Dal momento che molte cose rimangono senza risposta, è necessaria una strategia legale di base. Leggi per capire come questo aiuterà le aziende a raggiungere la conformità con il nuovo regolamento...

Il 28 aprile 2022, l'Indian Computer Emergency Response Team (CERT-In) ha emesso alcune indicazioni in base ai poteri ad esso conferiti ai sensi della sottosezione (6) della Sezione 70B dell'Information Technology Act, 2000. Queste indicazioni si riferiscono alle pratiche di sicurezza delle informazioni , procedure, prevenzione, risposta e segnalazione di incidenti informatici.

CERT-In è l'agenzia nazionale nodale per lo svolgimento delle seguenti funzioni nell'area della sicurezza informatica:

  • Raccolta, analisi e diffusione di informazioni sugli incidenti informatici
  • Previsione e avvisi di incidenti di sicurezza informatica
  • Misure di emergenza per la gestione degli incidenti di sicurezza informatica
  • Coordinamento delle attività di risposta agli incidenti informatici
  • Pubblicare linee guida, avvisi, note sulla vulnerabilità e white paper relativi a pratiche, procedure, prevenzione, risposta e segnalazione di incidenti informatici in materia di sicurezza delle informazioni
  • Altre funzioni relative alla sicurezza informatica eventualmente prescritte.

Queste nuove indicazioni richiedono che qualsiasi fornitore di servizi, intermediario, data center, società e organizzazione governativa aderisca a quanto segue:

Segnalazione obbligatoria di incidenti informatici

Tutte le parti interessate interessate sono tenute a segnalare gli incidenti informatici entro sei ore dal momento in cui si sono accorti di tali incidenti o sono stati portati a conoscenza di tali incidenti. Ma non c'è una definizione chiara di cosa significhi "prendere atto" o "essere portati a notare". Inoltre, queste regole sollevano alcune domande che rimangono ancora senza risposta.

Il primo è l'incertezza su a chi si applicano esattamente le regole. Le regole sono dirette solo ai fornitori di servizi VPN che si rivolgono al pubblico in generale? Oppure si estende anche ai provider di servizi VPN aziendali e aziendali ? Ciò influenzerebbe i dipendenti che lavorano da casa collegati alla rete aziendale tramite una VPN dopo la pandemia.

Registrazione obbligatoria

Ciò richiederebbe l'abilitazione dei registri di tutti i loro sistemi ICT (Information Communications Technology) e il loro mantenimento in sicurezza per un periodo continuo di 180 giorni.

Il problema è che ICT è un termine molto ampio. Si comporta come un termine estensivo per la tecnologia dell'informazione, sottolineando l'unificazione di comunicazione e tecnologia per consentire agli utenti di accedere alle informazioni.

L'interpretazione rigorosa di ciò significherà il mantenimento di tutti i registri per un periodo di sei mesi. Resta da vedere l'interpretazione liberale che sarà definita ammissibile e considerata conforme dal governo indiano.

Raccomandato per te:

In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India
Risorse

In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India

Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": CEO di CitiusTech
Notizia

Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": Cit...

Come Metaverse trasformerà l'industria automobilistica indiana
Risorse

Come Metaverse trasformerà l'industria automobilistica indiana

Cosa significa la disposizione anti-profitto per le startup indiane?
Risorse

Cosa significa la disposizione anti-profitto per le startup indiane?

In che modo le startup Edtech stanno aiutando il potenziamento delle competenze e a rendere la forza lavoro pronta per il futuro
Risorse

In che modo le startup Edtech stanno aiutando la forza lavoro indiana a migliorare le competenze e a diventare pronte per il futuro...

Notizia

Azioni tecnologiche new-age questa settimana: i problemi di Zomato continuano, EaseMyTrip pubblica stro...

Mantieni tutti i registri all'interno della giurisdizione indiana

Il governo giustifica questa mossa affermando di non essere interessato a memorizzare i dati dei consumatori. Vogliono invece che i fornitori di servizi conservino i dati, che poi possono essere condivisi con il governo solo quando richiesto dalla legge, per ordine del tribunale o nell'ambito di indagini penali.

Inoltre, c'è la questione della giurisdizione. I fornitori di servizi VPN offrono servizi ai consumatori all'interno e all'esterno dell'India. A causa della spinta del governo per la localizzazione dei dati, ciò potrebbe avere un duplice effetto. Non solo i consumatori indiani rientreranno nell'ambito di applicazione di questo regolamento, ma anche i fornitori di servizi con server al di fuori dell'India saranno esposti alla giurisdizione dei tribunali indiani.

Inoltre, le società saranno soggette anche alle disposizioni penali indiane. Se un fornitore di servizi, intermediario, data center, persona giuridica o persona non fornisce le informazioni richieste o non si attiene alle linee guida, è punibile. Ciò comporta la reclusione per un periodo che può estendersi a un anno o con una multa che può arrivare a INR 1 Lakh o con entrambi.

Conservazione dei dati

I fornitori di servizi VPN (Virtual Private Network), i fornitori di servizi cloud, i data center e i fornitori di servizi VPS (Virtual Private Server) sono tenuti a registrare e conservare le seguenti informazioni per un periodo di cinque anni dopo l'annullamento o la revoca della registrazione in quanto il caso può essere:

  • Nomi convalidati di abbonati o clienti che assumono i servizi
  • Periodo di noleggio comprese le date
  • IP assegnati o utilizzati dai membri
  • Indirizzo e-mail, indirizzo IP e timestamp utilizzati al momento della registrazione o dell'iscrizione
  • Lo scopo per l'assunzione dei servizi
  • Indirizzo e numeri di contatto convalidati
  • Modello di proprietà degli abbonati o dei clienti che assumono i servizi

C'è una mancanza di chiarezza su alcune questioni chiave. Esiste ancora ambiguità sulla creazione di un'infrastruttura aggiuntiva per archiviare i dati. O se sono autorizzati a esternalizzare l'archiviazione dei dati a fornitori di servizi di archiviazione, conservazione e localizzazione dei dati di terze parti.

Inoltre, anche l'obbligo per questi fornitori di servizi di registrare informazioni accurate è molto vago. Non è chiaro come garantiranno l'accuratezza dei dati forniti dall'utente. Potrebbe anche essere necessario sostenere costi aggiuntivi per garantire l'accuratezza delle informazioni.

Il regolamento, infine, rende obbligatorio per i fornitori di servizi la designazione di un POC (Point Of Contact) da interfacciare con CERT-In. Le direttive rimangono, per il momento, vaghe quando si tratta di chi può essere un POC. Il POC deve essere un residente indiano o può essere un personale esterno? Chi può essere un POC: un contatto amministrativo dell'azienda, una persona con determinate autorità o dirigenti con responsabilità strategiche? I regolamenti tacciono anche sulla questione dell'accusa del POC come imputato nel caso di protezione penale ai sensi dell'IT Act and Rules.

Sfide al regime della privacy

Sebbene questa regolamentazione sia per un certo numero di fornitori di servizi, inclusi gli scambi di criptovaluta, i fornitori di servizi VPN sembrano essere i più colpiti . Le nuove indicazioni del governo che elencano i requisiti di localizzazione dei dati e le linee guida sulla conservazione dei dati hanno sollevato seri problemi di privacy dei dati

Il principio fondamentale delle reti VPN è la privacy e le attuali direttive sono chiaramente in conflitto con tali principi. L'assenza di una legge formale sulla privacy fa sì che le autorità facciano affidamento su varie sentenze della Corte Suprema, sull'IT Act, sulle regole IT e sull'articolo 21 della costituzione indiana. Ciò rende difficile per gli operatori del settore e i fornitori di servizi il rispetto delle linee guida.

Inoltre, i provider di servizi VPN utilizzano diverse tecnologie. In alcune delle reti esistenti, la memorizzazione dei log rimane inesistente. Ciò significa finanziamenti aggiuntivi per l'infrastruttura e la forza lavoro per gestire e mantenere questi servizi in India.

Strategia verso la conformità

Dal momento che molte cose rimangono senza risposta, sorge la necessità di una strategia legale di base. Ciò aiuterà le aziende a raggiungere la conformità con la nuova normativa, nel caso in cui non ci siano ulteriori chiarimenti da parte del governo. Questa strategia legale di base contiene i seguenti passaggi:

  • Modificare o modificare l'informativa sulla privacy dei fornitori di servizi VPN e ottenere il consenso aggiuntivo dei clienti tramite un clickwrap, un termoretraibile o altri formati di accettazione e consenso per evitare qualsiasi responsabilità.
  • Crea server in India e aggiungi infrastruttura, processi e persino risorse per rispettare le regole.
  • Modificare le norme KYC dei clienti per conformarsi ai requisiti aggiuntivi di acquisizione dei dati.
  • Creare una politica interna per conformarsi al regolamento.
  • Modificare i valori su cui viene creato il sistema VPN. La spinta alla localizzazione e alla conservazione dei dati richiederebbe ai fornitori di servizi VPN che offrono servizi in India di modificare i loro valori per soddisfare i requisiti legali indiani.
  • Designare una persona in India che agisca come POC per comunicare con CERT-In.