O que significam as novas diretrizes de VPN da Índia para provedores e usuários de serviços de VPN

Publicados: 2022-05-22

Em 28 de abril, a Equipe de Resposta a Emergências de Computadores da Índia (CERT-In) emitiu algumas diretrizes para provedores de VPN e outros provedores de serviços

As novas instruções do governo que listam os requisitos de localização de dados e as diretrizes de retenção de dados levantaram sérias preocupações com a privacidade dos dados

Uma vez que muito permanece sem resposta, há a necessidade de uma estratégia jurídica de base. Leia para entender como isso ajudará as empresas a alcançar a conformidade com a nova regulamentação…

Em 28 de abril de 2022, a Equipe Indiana de Resposta a Emergências de Computadores (CERT-In) emitiu certas instruções sob os poderes que lhe foram concedidos na subseção (6) da Seção 70B da Lei de Tecnologia da Informação de 2000. Essas instruções estão relacionadas às práticas de segurança da informação , procedimentos, prevenção, resposta e comunicação de incidentes cibernéticos.

A CERT-In é a agência nodal nacional para o desempenho das seguintes funções na área da cibersegurança:

  • Coleta, análise e divulgação de informações sobre incidentes cibernéticos
  • Previsão e alertas de incidentes de segurança cibernética
  • Medidas de emergência para lidar com incidentes de segurança cibernética
  • Coordenação das atividades de resposta a incidentes cibernéticos
  • Emitir diretrizes, avisos, notas de vulnerabilidade e whitepapers relacionados a práticas de segurança da informação, procedimentos, prevenção, resposta e relatórios de incidentes cibernéticos
  • Outras funções relacionadas à segurança cibernética que possam ser prescritas.

Essas novas orientações exigem que qualquer provedor de serviços, intermediário, data center, entidade corporativa e organização governamental cumpra o seguinte:

Relatório obrigatório de incidentes cibernéticos

Todas as partes interessadas envolvidas são obrigadas a relatar incidentes cibernéticos dentro de seis horas após a notificação de tais incidentes ou serem notificadas sobre tais incidentes. Mas não há uma definição clara de que ação equivale a 'observar' ou 'ser avisado'. Além disso, essas regras trazem algumas perguntas que permanecem sem resposta até o momento.

A primeira é a incerteza em torno de quem exatamente as regras se aplicam. As regras são direcionadas apenas para os provedores de serviços VPN que atendem ao público em geral? Ou também se estende a provedores de serviços VPN corporativos e corporativos ? Isso afetaria os funcionários que trabalham em casa conectados à rede corporativa por meio de uma VPN após a pandemia.

Registro obrigatório

Isso exigiria habilitar os logs de todos os seus sistemas de TIC (Tecnologia de Comunicação da Informação) e mantê-los com segurança por um período contínuo de 180 dias.

A questão é que TIC é um termo muito amplo. Comporta-se como um termo extensional para a tecnologia da informação, enfatizando a unificação da comunicação e da tecnologia para permitir que os usuários acessem a informação.

A interpretação estrita disso significará manter todos os logs por um período de seis meses. Resta ver a interpretação liberal que será considerada admissível e considerada conforme pelo governo indiano.

Recomendado para você:

Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia
Recursos

Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia

Empreendedores não podem criar startups sustentáveis ​​e escaláveis ​​por meio do ‘Jugaad’: CEO da CitiusTech
Notícia

Empreendedores não podem criar startups sustentáveis ​​e escaláveis ​​por meio do 'Jugaad':...

Como o Metaverse transformará a indústria automobilística indiana
Recursos

Como o Metaverse transformará a indústria automobilística indiana

O que significa a provisão antilucratividade para startups indianas?
Recursos

O que significa a provisão antilucratividade para startups indianas?

Como as startups de Edtech estão ajudando a melhorar a qualificação e a preparar a força de trabalho para o futuro
Recursos

Como as startups de Edtech estão ajudando a qualificação da força de trabalho da Índia e se preparando para o futuro

Notícia

Ações de tecnologia da nova era esta semana: os problemas do Zomato continuam, EaseMyTrip publica...

Manter todos os registros dentro da jurisdição indiana

O governo está justificando esse movimento afirmando que não está interessado em armazenar dados do consumidor. Em vez disso, eles querem que os provedores de serviços preservem os dados, que podem ser compartilhados com o governo apenas quando exigido por lei, sob ordens judiciais ou em investigações criminais.

Além disso, há a questão da jurisdição. Os provedores de serviços VPN oferecem serviços a consumidores dentro e fora da Índia. Devido à pressão do governo para a localização de dados, isso pode ter um efeito duplo. Não apenas os consumidores indianos estarão sob o escopo deste regulamento, mas também os provedores de serviços com servidores fora da Índia estarão expostos à jurisdição dos tribunais indianos.

Além disso, as empresas também estarão sujeitas a disposições penais indianas. Se algum prestador de serviços, intermediário, centro de dados, pessoa colectiva ou pessoa física não prestar a informação solicitada ou não cumprir as orientações, será punido. Isso envolve prisão por um período que pode se estender até um ano ou com multa que pode se estender a INR 1 Lakh ou ambos.

Armazenamento de dados

Os provedores de serviços VPN (Virtual Private Network), provedores de serviços em nuvem, data centers e provedores de serviços VPS (Virtual Private Server) deverão registrar e manter as seguintes informações por um período de cinco anos após qualquer cancelamento ou retirada do registro como caso pode ser:

  • Nomes validados de assinantes ou clientes que contratam os serviços
  • Período de aluguer incluindo datas
  • IPs atribuídos ou sendo usados ​​pelos membros
  • Endereço de e-mail, endereço IP e carimbo de hora usado no momento do registro ou integração
  • O objetivo da contratação dos serviços
  • Endereço e números de contato validados
  • Padrão de propriedade dos assinantes ou dos clientes que contratam os serviços

Há uma falta de clareza sobre certas questões-chave. Ainda existe ambiguidade sobre se uma infraestrutura adicional deve ser criada para armazenar os dados. Ou se eles têm permissão para terceirizar o armazenamento de dados para provedores de serviços de armazenamento, retenção e localização de dados de terceiros.

Além disso, a exigência de que esses provedores de serviços registrem informações precisas também é muito vaga. Ainda não está claro como eles garantirão a precisão dos dados fornecidos pelo usuário. Também pode haver a exigência de custos adicionais a serem incorridos para garantir a precisão das informações.

Por fim, o regulamento torna obrigatório que os prestadores de serviços designem um POC (Point Of Contact) para interface com o CERT-In. As diretrizes permanecem, até o momento, vagas quando se trata de quem pode ser um POC. O POC tem que ser um residente indiano ou pode ser um pessoal de outstation? Quem pode ser um POC — um contato administrativo da empresa, uma pessoa com certa autoridade ou pessoal-chave da administração? Os regulamentos também mantêm silêncio sobre a questão do POC ser acusado como acusado no caso de proteção penal sob a Lei e Regras de TI.

Desafios ao regime de privacidade

Embora este regulamento seja para vários provedores de serviços, incluindo trocas de criptomoedas, os provedores de serviços VPN parecem ser os mais afetados . As novas orientações do governo que listam os requisitos de localização de dados e as diretrizes de retenção de dados levantaram sérias preocupações com a privacidade dos dados

O princípio básico das redes VPN é a privacidade e as diretrizes atuais estão claramente em conflito com esses princípios. A ausência de lei formal de privacidade faz com que as autoridades se baseiem em vários julgamentos da Suprema Corte, na Lei de TI, nas Regras de TI e no artigo 21 da constituição indiana. Isso torna um desafio para os players do setor e provedores de serviços cumprirem as diretrizes.

Além disso, os provedores de serviços VPN usam várias tecnologias diferentes. Em algumas das redes existentes, o armazenamento dos logs permanece inexistente. Isso significa financiamento adicional para infraestrutura e força de trabalho para operar e manter esses serviços na Índia.

Crie uma estratégia para a conformidade

Como muito permanece sem resposta, surge a necessidade de uma estratégia jurídica de base. Isso ajudará as empresas a cumprirem a nova regulamentação, caso não haja maiores esclarecimentos por parte do governo. Esta estratégia legal de base contém as seguintes etapas:

  • Altere ou altere a política de privacidade dos provedores de serviços VPN e obtenha o consentimento adicional dos clientes por meio de um clickwrap, shrink-wrap ou outros formatos de aceitação e consentimento para evitar qualquer responsabilidade.
  • Crie servidores na Índia e adicione infraestrutura, processos e até recursos para cumprir as regras.
  • Modificar as normas KYC dos clientes para cumprir os requisitos adicionais de captura de dados.
  • Criar uma política interna para cumprir o regulamento.
  • Altere os valores nos quais o sistema VPN é criado. A pressão pela localização e retenção de dados exigiria que os provedores de serviços VPN que oferecem serviços na Índia alterassem seus valores para atender aos requisitos legais indianos.
  • Designe uma pessoa na Índia para atuar como POC para se comunicar com o CERT-In.