인도의 새로운 VPN 가이드라인은 VPN 서비스 제공업체 및 사용자에게 무엇을 의미합니까?

2022년 4월 28일, 인도 컴퓨터 비상 대응 팀(CERT-In)은 2000년 정보 기술법 섹션 70B의 하위 섹션(6)에 따라 부여된 권한에 따라 특정 지침을 발표했습니다. 이러한 지침은 정보 보안 관행과 관련이 있습니다. , 사이버 사고의 절차, 예방, 대응 및 보고.

CERT-In은 사이버 보안 분야에서 다음 기능을 수행하는 국가 노드 기관입니다.

• 사이버사고 관련 정보 수집, 분석 및 보급
• 사이버 보안 사고 예측 및 경보
• 사이버보안사고 대응을 위한 긴급조치
• 사이버사고 대응활동 조정
• 사이버 사고의 정보 보안 관행, 절차, 예방, 대응 및 보고와 관련된 지침, 권고, 취약성 메모 및 백서를 발행합니다.
• 규정될 수 있는 사이버 보안과 관련된 기타 기능.

이러한 새로운 지침은 모든 서비스 제공자, 중개자, 데이터 센터, 법인 및 정부 조직이 다음을 준수하도록 요구합니다.

사이버 사고의 의무 보고

모든 관련 이해관계자는 사이버사고를 인지하거나 통지를 받은 날로부터 6시간 이내에 사이버사고를 신고해야 합니다. 그러나 '알림' 또는 '알림'에 해당하는 조치가 무엇인지에 대한 명확한 정의는 없습니다. 또한 이러한 규칙은 아직까지 답이 없는 몇 가지 질문을 제기합니다.

첫 번째는 규칙이 정확히 누구에게 적용되는지에 대한 불확실성입니다. 규칙은 일반 대중을 대상으로 하는 VPN 서비스 제공업체에만 적용됩니까? 아니면 기업 및 기업 VPN 서비스 제공업체에도 적용 됩니까? 이는 전염병 이후 VPN을 통해 회사 네트워크에 연결된 재택 근무하는 직원에게 영향을 미칩니다.

필수 로깅

이를 위해서는 모든 ICT(정보 통신 기술) 시스템의 로그를 활성화하고 180일 동안 안전하게 유지 관리해야 합니다.

문제는 ICT가 매우 광범위한 용어라는 점입니다. 정보 기술의 확장 용어로 작동하여 사용자가 정보에 액세스할 수 있도록 하는 통신과 기술의 통합을 강조합니다.

이에 대한 엄격한 해석은 모든 로그를 6개월 동안 유지하는 것을 의미합니다. 인도 정부가 허용하고 이를 준수하는 것으로 간주되는 자유주의적 해석을 봐야 합니다.

당신을 위해 추천 된:

자원

인도에서 핀테크를 혁신하기 위해 RBI의 Account Aggregator Framework를 설정하는 방법

아밋 다스

2022년 7월 31일

소식

기업가는 'Jugaad'를 통해 지속 가능하고 확장 가능한 스타트업을 만들 수 없습니다: Cit...

재스프리트 K.

2022년 7월 31일

자원

메타버스가 인도 자동차 산업을 어떻게 변화시킬 것인가?

바이바브 S.

2022년 7월 31일

자원

인도 스타트업에 대한 반 영리 조항은 무엇을 의미합니까?

차라냐 L.

2022년 7월 31일

자원

Edtech Startup이 인도 인력의 기술 향상 및 미래 준비를 돕는 방법...

안쿠시 S.

2022년 7월 31일

소식

이번 주 새로운 시대의 기술 주식: Zomato의 문제는 계속되고 EaseMyTrip은 Str...

타판자나 R.

2022년 7월 31일

인도 관할권 내의 모든 로그 유지

정부는 소비자 데이터를 저장하는 데 관심이 없다고 말함으로써 이러한 움직임을 정당화하고 있습니다. 대신, 그들은 서비스 제공자가 데이터를 보존하기를 원합니다. 그런 다음 법원 명령이나 범죄 조사에서 법적으로 필요한 경우에만 정부와 공유할 수 있습니다.

게다가 관할권 문제도 있다. VPN 서비스 제공업체는 인도 내외의 소비자에게 서비스를 제공합니다. 정부의 데이터 현지화 추진으로 인해 이중 효과가 있을 수 있습니다. 인도 소비자뿐만 아니라 인도 외부에 서버를 보유한 서비스 제공업체도 인도 법원의 관할권에 노출됩니다.

또한 회사는 인도 형법의 적용을 받습니다. 서비스 제공자, 중개자, 데이터 센터, 법인 또는 개인이 요구되는 정보를 제공하지 않거나 지침을 준수하지 않으면 처벌을 받게 됩니다. 여기에는 1년 이하의 징역이나 INR 1 Lakh 또는 둘 다에 이르는 벌금이 부과됩니다.

데이터 저장

VPN(가상 사설망) 서비스 제공자, 클라우드 서비스 제공자, 데이터 센터 및 VPS(가상 사설 서버) 서비스 제공자는 등록 취소 또는 취소 후 5년 동안 다음 정보를 등록하고 유지해야 합니다. 경우는 다음과 같을 수 있습니다.

• 서비스를 고용하는 가입자 또는 고객의 확인된 이름
• 날짜를 포함한 고용 기간
• 회원에게 할당되거나 사용중인 IP
• 등록 또는 온보딩 시 사용한 이메일 주소, IP 주소 및 타임스탬프
• 서비스를 고용하는 목적
• 확인된 주소 및 연락처
• 서비스를 이용하는 가입자 또는 고객의 소유 패턴

특정 핵심 문제에 대한 명확성이 부족합니다. 데이터를 저장하기 위해 추가 인프라를 생성해야 하는지 여부에 대한 모호성은 여전히 ​​존재합니다. 또는 타사 데이터 저장, 보존 및 현지화 서비스 제공업체에 데이터 저장을 아웃소싱할 수 있는지 여부.

또한 이러한 서비스 제공자가 정확한 정보를 등록해야 한다는 요구 사항도 매우 모호합니다. 사용자가 제공한 데이터의 정확성을 어떻게 보장할지는 불분명합니다. 또한 정보의 정확성을 보장하기 위해 추가 비용이 발생할 수 있습니다.

마지막으로 이 규정은 서비스 제공자가 CERT-In과 인터페이스할 POC(Point Of Contact)를 지정하는 것을 의무화하고 있습니다. 누가 POC가 될 수 있는지에 관한 지침은 아직 모호합니다. POC는 인도 거주자여야 합니까 아니면 주둔군 직원일 수 있습니까? 누가 POC가 될 수 있습니까? 회사의 관리 담당자, 특정 권한을 가진 사람 또는 주요 관리 담당자는 누구입니까? 이 규정은 또한 IT 법 및 규칙에 따라 형사 보호의 경우 POC가 피고인으로 기소되는 문제에 대해 침묵을 유지합니다.

개인 정보 보호 체제에 대한 도전

이 규정은 암호화폐 거래소를 비롯한 여러 서비스 제공업체에 적용되지만 VPN 서비스 제공업체가 가장 큰 영향을 받는 것으로 보입니다 . 데이터 현지화 요구 사항 및 데이터 보존 지침을 나열하는 정부의 새로운 지침은 심각한 데이터 개인 정보 보호 문제를 제기했습니다.

VPN 네트워크의 기본 원칙은 개인 정보 보호이며 현재 지침은 이러한 원칙과 분명히 상충됩니다. 공식적인 개인 정보 보호법이 없기 때문에 당국은 다양한 대법원 판결, IT 법, IT 규칙 및 인도 헌법 21조에 의존하고 있습니다. 이로 인해 업계 관계자와 서비스 제공업체가 지침을 준수하기가 어렵습니다.

또한 VPN 서비스 제공업체는 다양한 기술을 사용합니다. 기존 네트워크 중 일부에서는 로그 저장소가 존재하지 않습니다. 이는 인도에서 이러한 서비스를 운영하고 유지하기 위한 인프라와 인력을 위한 추가 자금을 의미합니다.

규정 준수를 위한 전략 수립

아직 풀리지 않은 부분이 많기 때문에 기반이 되는 법적 전략이 필요합니다. 이는 정부의 추가 설명이 없는 경우 기업이 새 규정을 준수하는 데 도움이 됩니다. 이 기본 법적 전략에는 다음 단계가 포함됩니다.

• VPN 서비스 제공자의 개인 정보 보호 정책을 변경 또는 수정하고 책임을 피하기 위해 클릭랩, 수축 랩 또는 기타 수락 및 동의 형식으로 고객의 추가 동의를 얻습니다.
• 인도에서 서버를 만들고 규칙을 준수하기 위해 인프라, 프로세스 및 리소스를 추가하십시오.
• 추가 데이터 캡처 요구 사항을 준수하도록 고객의 KYC 규범을 수정합니다.
• 규정을 준수하기 위한 내부 정책을 만듭니다.
• VPN 시스템이 생성되는 값을 변경합니다. 데이터 현지화 및 보존을 위해 인도 내에서 서비스를 제공하는 VPN 서비스 제공업체는 인도의 법적 요구 사항에 맞게 값을 변경해야 합니다.
• 인도에 있는 사람을 지정하여 CERT-In과 통신할 POC 역할을 합니다.