Co oznaczają nowe wytyczne VPN w Indiach dla dostawców i użytkowników VPN?

Opublikowany: 2022-05-22

28 kwietnia indyjski zespół reagowania na incydenty komputerowe (CERT-In) wydał pewne wytyczne dla dostawców VPN i innych dostawców usług

Nowe wytyczne rządu określające wymagania dotyczące lokalizacji danych i wytyczne dotyczące przechowywania danych wzbudziły poważne obawy dotyczące prywatności danych

Ponieważ wiele pozostaje bez odpowiedzi, potrzebna jest podstawowa strategia prawna. Przeczytaj, aby zrozumieć, w jaki sposób pomoże to firmom osiągnąć zgodność z nowym rozporządzeniem…

W dniu 28 kwietnia 2022 r. indyjski zespół reagowania na incydenty komputerowe (CERT-In) wydał określone polecenia w ramach uprawnień przyznanych mu na mocy podsekcji (6) sekcji 70B ustawy o technologii informacyjnej z 2000 r. Wskazówki te dotyczą praktyk w zakresie bezpieczeństwa informacji , procedury, zapobieganie, reagowanie i zgłaszanie incydentów cybernetycznych.

CERT-In jest krajową agencją węzłową do pełnienia następujących funkcji w obszarze cyberbezpieczeństwa:

  • Gromadzenie, analiza i rozpowszechnianie informacji o incydentach cybernetycznych
  • Prognozowanie i alerty incydentów cyberbezpieczeństwa
  • Awaryjne środki obsługi incydentów cyberbezpieczeństwa
  • Koordynacja działań reagowania na incydenty cybernetyczne
  • Wytyczne, porady, uwagi i dokumenty dotyczące luk w zabezpieczeniach dotyczące bezpieczeństwa informacji, procedur, zapobiegania, reagowania i zgłaszania incydentów cybernetycznych
  • Takie inne funkcje związane z bezpieczeństwem cybernetycznym, jakie mogą zostać określone.

Te nowe wytyczne wymagają od każdego usługodawcy, pośrednika, centrum danych, organizacji korporacyjnej i rządowej przestrzegania następujących zasad:

Obowiązkowe zgłaszanie incydentów cybernetycznych

Wszystkie zainteresowane strony są zobowiązane do zgłaszania incydentów cybernetycznych w ciągu sześciu godzin od zauważenia takich incydentów lub powiadomienia o takich incydentach. Nie ma jednak jasnej definicji tego, co oznacza „zauważenie” lub „powiadomienie”. Dodatkowo, te zasady wywołują sporo pytań, na które jak dotąd nie ma odpowiedzi.

Pierwszym z nich jest niepewność, do kogo dokładnie odnoszą się zasady. Czy zasady są skierowane tylko do dostawców usług VPN, którzy obsługują ogół społeczeństwa? A może obejmuje również korporacyjnych i korporacyjnych dostawców usług VPN ? Wpłynęłoby to na pracowników pracujących w domu podłączonych do sieci firmowej za pośrednictwem sieci VPN po pandemii.

Obowiązkowe rejestrowanie

Wymagałoby to włączenia rejestrów wszystkich ich systemów ICT (technologii informacyjno-komunikacyjnych) i bezpiecznego ich utrzymywania przez okres 180 dni.

Problem w tym, że ICT to bardzo szerokie pojęcie. Zachowuje się jako rozszerzenie terminu technologii informacyjnej, podkreślając ujednolicenie komunikacji i technologii, aby umożliwić użytkownikom dostęp do informacji.

Ścisła interpretacja tego będzie oznaczać utrzymywanie wszystkich dzienników przez okres sześciu miesięcy. Pozostaje do zobaczenia liberalna interpretacja, która zostanie określona jako dopuszczalna i uznana za zgodną przez rząd indyjski.

Polecany dla Ciebie:

Jak platforma agregacji kont RBI ma zmienić fintech w Indiach
Zasoby

Jak platforma agregacji kont RBI ma przekształcić fintech w Indiach

Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych startupów poprzez „Jugaad”: CEO CitiusTech
Aktualności

Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych start-upów poprzez „Jugaad”: Cit...

Jak Metaverse zmieni indyjski przemysł motoryzacyjny?
Zasoby

Jak Metaverse zmieni indyjski przemysł motoryzacyjny?

Co oznacza przepis anty-profitowy dla indyjskich startupów?
Zasoby

Co oznacza przepis anty-profitowy dla indyjskich startupów?

W jaki sposób startupy Edtech pomagają w podnoszeniu umiejętności i przygotowują pracowników na przyszłość
Zasoby

W jaki sposób start-upy Edtech pomagają indyjskim pracownikom podnosić umiejętności i być gotowym na przyszłość...

Aktualności

Akcje New Age Tech w tym tygodniu: Kłopoty Zomato nadal, EaseMyTrip publikuje Stro...

Przechowuj wszystkie dzienniki w obrębie indyjskiej jurysdykcji

Rząd uzasadnia to posunięciem, stwierdzając, że nie jest zainteresowany przechowywaniem danych konsumenckich. Zamiast tego chcą, aby dostawcy usług przechowywali dane, które następnie mogą być udostępniane rządowi tylko wtedy, gdy jest to wymagane prawem, na mocy nakazów sądowych lub w ramach dochodzenia karnego.

Ponadto istnieje kwestia jurysdykcji. Dostawcy usług VPN oferują usługi konsumentom w Indiach i poza nimi. Ze względu na dążenie rządu do lokalizacji danych może to mieć dwojaki skutek. Nie tylko konsumenci indyjscy zostaną objęci zakresem tego rozporządzenia, ale także dostawcy usług posiadający serwery poza Indiami będą podlegać jurysdykcji sądów indyjskich.

Dodatkowo firmy będą również podlegać indyjskim przepisom karnym. Jeżeli jakikolwiek usługodawca, pośrednik, centrum danych, osoba prawna lub osoba nie dostarczy wymaganych informacji lub nie zastosuje się do wytycznych, podlega karze. Wiąże się to z karą pozbawienia wolności na okres, który może przedłużyć się do jednego roku lub grzywną, która może rozciągać się do INR 1 Lakh lub do obu.

Przechowywanie danych

Dostawcy usług VPN (Virtual Private Network), dostawcy usług w chmurze, centra danych i dostawcy usług VPS (Virtual Private Server) są zobowiązani do zarejestrowania i przechowywania następujących informacji przez okres pięciu lat po anulowaniu lub wycofaniu rejestracji jako przypadek może być:

  • Zweryfikowane nazwy subskrybentów lub klientów korzystających z usług
  • Okres wynajmu wraz z datami
  • IP przydzielone lub używane przez członków
  • Adres e-mail, adres IP i znacznik czasu używane podczas rejestracji lub wejścia na pokład
  • Cel wynajmu usług
  • Zweryfikowany adres i numery kontaktowe
  • Wzór własności subskrybentów lub klientów korzystających z usług

W niektórych kluczowych kwestiach brakuje jasności. Nadal istnieje niejasność co do tego, czy należy stworzyć dodatkową infrastrukturę do przechowywania danych. Lub czy mogą zlecić przechowywanie danych zewnętrznym dostawcom usług przechowywania, przechowywania i lokalizacji danych.

Ponadto wymóg rejestrowania przez tych usługodawców dokładnych informacji jest również bardzo niejasny. Nie jest jasne, w jaki sposób zapewnią dokładność danych podawanych przez użytkownika. Może również istnieć wymóg poniesienia dodatkowych kosztów w celu zapewnienia dokładności informacji.

Wreszcie rozporządzenie nakłada na usługodawców obowiązek wyznaczenia POC (punktu kontaktowego) do współpracy z CERT-In. Dyrektywy pozostają na razie niejasne, jeśli chodzi o to, kto może być POC. Czy POC musi być mieszkańcem Indii, czy może być personelem placówki? Kim może być POC — kontakt administracyjny firmy, osoba z pewnymi uprawnieniami czy kluczowy personel kierowniczy? W przepisach nie ma też mowy o oskarżeniu PKOl jako oskarżonego w przypadku ochrony karnej na podstawie ustawy i regulaminu IT.

Wyzwania dla reżimu prywatności

Chociaż to rozporządzenie dotyczy wielu dostawców usług, w tym giełd kryptowalut, to dostawcy usług VPN wydają się być najbardziej dotknięci . Nowe wytyczne rządu określające wymagania dotyczące lokalizacji danych i wytyczne dotyczące przechowywania danych wzbudziły poważne obawy dotyczące prywatności danych

Podstawową zasadą sieci VPN jest prywatność, a obecne dyrektywy są wyraźnie sprzeczne z tymi zasadami. Brak formalnego prawa dotyczącego prywatności powoduje, że władze opierają się na różnych orzeczeniach Sądu Najwyższego, ustawie o IT, przepisach dotyczących IT i art. 21 indyjskiej konstytucji. Sprawia to, że przestrzeganie wytycznych jest trudne dla graczy z branży i dostawców usług.

Dodatkowo dostawcy usług VPN korzystają z różnych technologii. W niektórych istniejących sieciach przechowywanie dzienników nadal nie istnieje. Oznacza to dodatkowe finansowanie infrastruktury i siły roboczej do obsługi i utrzymania tych usług w Indiach.

Zaplanuj swoją drogę do zgodności

Ponieważ wiele pozostaje bez odpowiedzi, pojawia się potrzeba opracowania podstawowej strategii prawnej. Pomoże to firmom osiągnąć zgodność z nowym rozporządzeniem, w przypadku braku dalszych wyjaśnień ze strony rządu. Ta podstawowa strategia prawna obejmuje następujące kroki:

  • Zmień lub zmień politykę prywatności dostawców usług VPN i uzyskaj dodatkową zgodę klientów za pomocą kliknięcia, obkurczenia lub innych formatów akceptacji i zgody, aby uniknąć jakiejkolwiek odpowiedzialności.
  • Twórz serwery w Indiach i dodawaj infrastrukturę, procesy, a nawet zasoby, aby zachować zgodność z przepisami.
  • Zmodyfikuj normy KYC klientów, aby spełnić dodatkowe wymagania dotyczące przechwytywania danych.
  • Stwórz politykę wewnętrzną, aby była zgodna z rozporządzeniem.
  • Zmień wartości, na których tworzony jest system VPN. Dążenie do lokalizacji i przechowywania danych wymagałoby od dostawców usług VPN oferujących usługi w Indiach zmiany ich wartości w celu dostosowania do indyjskich wymogów prawnych.
  • Wyznacz osobę w Indiach, aby działała jako POC w celu komunikowania się z CERT-In.