Ce înseamnă noile orientări VPN din India pentru furnizorii și utilizatorii de servicii VPN

Publicat: 2022-05-22

La 28 aprilie, echipa indiană de răspuns în caz de urgență a computerelor (CERT-In) a emis anumite linii directoare pentru furnizorii VPN și alți furnizori de servicii

Noile direcții guvernamentale care enumera cerințele de localizare a datelor și liniile directoare de păstrare a datelor au ridicat probleme serioase de confidențialitate a datelor

Deoarece multe rămân fără răspuns, este nevoie de o strategie juridică de bază. Citiți pentru a înțelege cum va ajuta acest lucru companiile să respecte noul regulament...

La 28 aprilie 2022, echipa indiană de răspuns în caz de urgență a computerelor (CERT-In) a emis anumite instrucțiuni în temeiul competențelor care i-au fost acordate în temeiul subsecțiunii (6) din secțiunea 70B din Legea privind tehnologia informației, 2000. Aceste instrucțiuni se referă la practicile de securitate a informațiilor. , proceduri, prevenire, răspuns și raportare a incidentelor cibernetice.

CERT-In este agenția națională nodală pentru îndeplinirea următoarelor funcții în domeniul securității cibernetice:

  • Colectarea, analiza și diseminarea informațiilor privind incidentele cibernetice
  • Prognoza și alerte de incidente de securitate cibernetică
  • Măsuri de urgență pentru gestionarea incidentelor de securitate cibernetică
  • Coordonarea activităților de răspuns la incidente cibernetice
  • Emite linii directoare, recomandări, note de vulnerabilitate și documente albe referitoare la practicile, procedurile de securitate a informațiilor, prevenirea, răspunsul și raportarea incidentelor cibernetice
  • Alte funcții legate de securitatea cibernetică, după cum pot fi prescrise.

Aceste noi direcții necesită ca orice furnizor de servicii, intermediar, centru de date, corporație și organizație guvernamentală să respecte următoarele:

Raportarea obligatorie a incidentelor cibernetice

Toate părțile interesate implicate sunt obligate să raporteze incidentele cibernetice în termen de șase ore de la observarea unor astfel de incidente sau de la sesizarea unor astfel de incidente. Dar nu există o definiție clară a acțiunii care înseamnă „observare” sau „a fi adus la cunoștință”. În plus, aceste reguli ridică destul de multe întrebări care rămân fără răspuns până în prezent.

În primul rând, este incertitudinea cui se aplică exact regulile. Sunt regulile îndreptate doar către furnizorii de servicii VPN care se adresează publicului larg? Sau se extinde și la furnizorii de servicii VPN pentru întreprinderi și companii ? Acest lucru ar afecta angajații care lucrează de acasă, conectați la rețeaua corporativă printr-un VPN după pandemie.

Înregistrare obligatorie

Acest lucru ar necesita activarea jurnalelor tuturor sistemelor lor TIC (Tehnologia informației și comunicațiilor) și menținerea lor în siguranță pentru o perioadă de 180 de zile.

Problema este că TIC este un termen foarte larg. Se comportă ca un termen extensiv pentru tehnologia informației, subliniind unificarea comunicației și tehnologiei pentru a permite utilizatorilor să acceseze informații.

Interpretarea strictă a acestui lucru va însemna menținerea tuturor jurnalelor pentru o perioadă de șase luni. Rămâne de văzut interpretarea liberală care va fi numită admisibilă și considerată ca fiind în conformitate de către guvernul indian.

Recomandat pentru tine:

Cum este setat cadrul de agregare de conturi al RBI să transforme Fintech în India
Resurse

Cum este setat cadrul de agregare de conturi al RBI să transforme Fintech în India

Antreprenorii nu pot crea startup-uri durabile și scalabile prin „Jugaad”: CEO CitiusTech
Știri

Antreprenorii nu pot crea startup-uri durabile și scalabile prin „Jugaad”: Cit...

Cum va transforma Metaverse industria auto din India
Resurse

Cum va transforma Metaverse industria auto din India

Ce înseamnă prevederea anti-Profiteering pentru startup-urile indiene?
Resurse

Ce înseamnă prevederea anti-Profiteering pentru startup-urile indiene?

Cum startup-urile Edtech ajută la dezvoltarea competențelor și pregătesc forța de muncă pentru viitor
Resurse

Cum startup-urile Edtech ajută forța de muncă din India să își îmbunătățească abilitățile și să devină pregătite pentru viitor...

Știri

Stocuri de tehnologie New-Age săptămâna aceasta: problemele Zomato continuă, EaseMyTrip postează Stro...

Mențineți toate jurnalele în jurisdicția indiană

Guvernul justifică această mișcare declarând că nu sunt interesați de stocarea datelor despre consumatori. În schimb, ei doresc ca furnizorii de servicii să păstreze datele, care apoi pot fi partajate cu guvernul numai atunci când este necesar din punct de vedere legal, prin hotărâri judecătorești sau în anchete penale.

În plus, există și problema competenței. Furnizorii de servicii VPN oferă servicii consumatorilor din interiorul și din afara Indiei. Datorită impulsului guvernului pentru localizarea datelor, acest lucru ar putea avea un efect dublu. Nu numai că consumatorii indieni vor fi supuși acestui regulament, dar și furnizorii de servicii cu servere în afara Indiei vor fi expuși jurisdicției instanțelor indiene.

În plus, companiile vor fi, de asemenea, supuse prevederilor penale indiene. În cazul în care orice furnizor de servicii, intermediar, centru de date, persoană juridică sau persoană nu furnizează informațiile solicitate sau nu respectă liniile directoare, aceștia vor fi pedepsiți. Aceasta implică închisoare pe un termen care se poate extinde până la un an sau cu o amendă care se poate extinde până la 1 INR lakh sau cu ambele.

Stocarea Datelor

Furnizorii de servicii VPN (Virtual Private Network), furnizorii de servicii cloud, centrele de date și furnizorii de servicii VPS (Virtual Private Server) li se cere să înregistreze și să păstreze următoarele informații pentru o perioadă de cinci ani după orice anulare sau retragere a înregistrării ca cazul poate fi:

  • Numele validate ale abonaților sau clienților care angajează serviciile
  • Perioada de închiriere inclusiv datele
  • IP-uri alocate sau utilizate de către membri
  • Adresa de e-mail, adresa IP și marca temporală utilizate la momentul înregistrării sau îmbarcării
  • Scopul angajării serviciilor
  • Adresă și numere de contact validate
  • Modelul de proprietate al abonaților sau al clienților care angajează serviciile

Există o lipsă de claritate cu privire la anumite aspecte cheie. Încă există o ambiguitate în ceea ce privește dacă trebuie creată o infrastructură suplimentară pentru stocarea datelor. Sau dacă li se permite să externalizeze stocarea datelor către furnizori terți de servicii de stocare, păstrare și localizare a datelor.

În plus, cerința ca acești furnizori de servicii să înregistreze informații exacte este, de asemenea, foarte vagă. Rămâne neclar cum vor asigura acuratețea datelor furnizate de utilizator. De asemenea, ar putea exista și necesitatea suportării unor costuri suplimentare pentru a asigura acuratețea informațiilor.

În sfârșit, regulamentul impune ca furnizorii de servicii să desemneze un POC (Point Of Contact) pentru a interfața cu CERT-In. Directivele rămân, deocamdată, vagi când vine vorba de cine poate fi POC. POC trebuie să fie un rezident indian sau poate fi un personal din stație? Cine poate fi un POC — un contact administrativ al companiei, o persoană cu o anumită autoritate sau personal cheie de conducere? De asemenea, reglementările o mențin pe mama cu privire la problema POC-ului fiind acuzat ca acuzat în cazul protecției penale conform Legii și regulilor IT.

Provocări ale regimului de confidențialitate

În timp ce această reglementare este pentru un număr de furnizori de servicii, inclusiv schimburi de criptomonede, furnizorii de servicii VPN par să fie cei mai afectați . Noile direcții ale guvernului care enumera cerințele de localizare a datelor și liniile directoare de păstrare a datelor au ridicat probleme serioase de confidențialitate a datelor

Principiul de bază al rețelelor VPN este confidențialitatea, iar directivele actuale sunt în mod clar în conflict cu acele principii. Absența unei legi formale privind confidențialitatea face ca autoritățile să se bazeze pe diferite hotărâri ale Curții Supreme, pe Legea IT, pe regulile IT și pe articolul 21 din constituția Indiei. Acest lucru face ca jucătorii din industrie și furnizorii de servicii să fie o provocare să respecte regulile.

În plus, furnizorii de servicii VPN utilizează diverse tehnologii diferite. În unele dintre rețelele existente, stocarea jurnalelor rămâne inexistentă. Aceasta înseamnă finanțare suplimentară pentru infrastructură și forța de muncă pentru operarea și întreținerea acestor servicii în India.

Strategieți-vă calea către conformitate

Deoarece multe rămân fără răspuns, apare necesitatea unei strategii juridice de bază. Acest lucru va ajuta companiile să respecte noul regulament, în cazul în care nu există clarificări suplimentare din partea guvernului. Această strategie juridică de bază conține următorii pași:

  • Schimbați sau modificați politica de confidențialitate a furnizorilor de servicii VPN și obțineți consimțământul suplimentar al clienților printr-un clickwrap, shrink-wrap sau alte formate de acceptare și consimțământ pentru a evita orice răspundere.
  • Creați servere în India și adăugați infrastructură, procese și chiar resurse pentru a respecta regulile.
  • Modificați normele KYC ale clienților pentru a se conforma cu cerințele suplimentare de captare a datelor.
  • Creați o politică internă pentru a respecta regulamentul.
  • Modificați valorile pe care este creat sistemul VPN. Impulsul pentru localizarea și păstrarea datelor ar impune furnizorilor de servicii VPN care oferă servicii în India să își modifice valorile pentru a se potrivi cerințelor legale indiene.
  • Desemnați o persoană din India care să acționeze ca POC pentru a comunica cu CERT-In.