• Anasayfa
  • Nesne
  • Teknoloji
  • Hindistan'ın Yeni VPN Yönergeleri VPN Servis Sağlayıcıları ve Kullanıcıları İçin Ne Anlama Geliyor?

Hindistan'ın Yeni VPN Yönergeleri VPN Servis Sağlayıcıları ve Kullanıcıları İçin Ne Anlama Geliyor?

Yayınlanan: 2022-05-22

28 Nisan'da Hindistan Bilgisayar Acil Müdahale Ekibi (CERT-In), VPN sağlayıcıları ve diğer hizmet sağlayıcılar için belirli yönergeler yayınladı.

Hükümetin veri yerelleştirme gerekliliklerini ve veri saklama yönergelerini listeleyen yeni yönergeleri, ciddi veri gizliliği endişelerini artırdı

Pek çok şey cevapsız kaldığından, temel bir yasal stratejiye ihtiyaç vardır. Bunun şirketlerin yeni düzenlemeye uyum sağlamasına nasıl yardımcı olacağını anlamak için okuyun…

28 Nisan 2022'de Hindistan Bilgisayar Acil Müdahale Ekibi (CERT-In), 2000 tarihli Bilgi Teknolojisi Yasası'nın 70B Bölümü'nün (6) alt bölümü uyarınca kendisine verilen yetkiler kapsamında belirli talimatlar yayınladı. Bu talimatlar bilgi güvenliği uygulamaları ile ilgilidir. , prosedürler, önleme, müdahale ve siber olayların raporlanması.

CERT-In, siber güvenlik alanında aşağıdaki işlevleri yerine getiren ulusal düğüm ajansıdır:

  • Siber olaylarla ilgili bilgilerin toplanması, analizi ve yayılması
  • Siber güvenlik olaylarının tahmini ve uyarıları
  • Siber güvenlik olaylarını ele almak için acil durum önlemleri
  • Siber olaylara müdahale faaliyetlerinin koordinasyonu
  • Siber olayların bilgi güvenliği uygulamaları, prosedürleri, önlenmesi, müdahalesi ve raporlanmasıyla ilgili yönergeler, tavsiyeler, güvenlik açığı notları ve teknik incelemeler yayınlayın
  • Siber güvenlikle ilgili diğer işlevler öngörülebilir.

Bu yeni yönergeler, herhangi bir hizmet sağlayıcının, aracının, veri merkezinin, kurumsal ve resmi kuruluşların aşağıdakilere uymasını gerektirir:

Siber Olayların Zorunlu Raporlanması

İlgili tüm paydaşların, siber olayları bu tür olayları fark ettikten veya bu tür olaylar hakkında uyarılmalarından itibaren altı saat içinde bildirmeleri gerekmektedir. Ancak hangi eylemin 'fark etmek' veya 'fark edilmek' anlamına geldiğine dair net bir tanım yoktur. Ek olarak, bu kurallar henüz cevaplanmamış birkaç soruyu da beraberinde getiriyor.

Birincisi, kuralların tam olarak kime uygulanacağı konusundaki belirsizlik. Kurallar yalnızca genel halka hizmet veren VPN servis sağlayıcılarına mı yöneliktir? Yoksa kurumsal ve kurumsal VPN servis sağlayıcılarını da kapsıyor mu? Bu, pandemi sonrası bir VPN aracılığıyla şirket ağına bağlı evden çalışan çalışanları etkileyecektir.

Zorunlu Günlüğe Kaydetme

Bu, tüm ICT (Bilgi İletişim Teknolojisi) sistemlerinin günlüklerinin etkinleştirilmesini ve 180 günlük bir döngü süresi boyunca güvenli bir şekilde muhafaza edilmesini gerektirecektir.

Sorun, BİT'in çok geniş bir terim olmasıdır. Kullanıcıların bilgiye erişmesine izin vermek için iletişim ve teknolojinin birleştirilmesini vurgulayarak bilgi teknolojisi için genişletilmiş bir terim gibi davranır.

Bunun katı bir şekilde yorumlanması, tüm günlüklerin altı aylık bir süre boyunca tutulması anlamına gelecektir. Hindistan hükümeti tarafından izin verilebilir ve uygun olarak kabul edilecek liberal yorumun görülmesi gerekiyor.

Sizin için tavsiye edilen:

RBI'nin Hesap Toplayıcı Çerçevesi Hindistan'da Fintech'i Dönüştürmek İçin Nasıl Ayarlandı?
Kaynaklar

RBI'nin Hesap Toplayıcı Çerçevesi Hindistan'da Fintech'i Dönüştürmek İçin Nasıl Ayarlandı?

Girişimciler 'Jugaad' Yoluyla Sürdürülebilir, Ölçeklenebilir Girişimler Yaratamaz: CitiusTech CEO'su
Haberler

Girişimciler 'Jugaad' Yoluyla Sürdürülebilir, Ölçeklenebilir Girişimler Yaratamaz: Cit...

Metaverse Hindistan Otomobil Endüstrisini Nasıl Dönüştürecek?
Kaynaklar

Metaverse Hindistan Otomobil Endüstrisini Nasıl Dönüştürecek?

Anti-Profiteing Hükmü Hintli Startuplar İçin Ne Anlama Geliyor?
Kaynaklar

Anti-Profiteing Hükmü Hintli Startuplar İçin Ne Anlama Geliyor?

Edtech Startup'ları Beceri Kazanmaya ve İş Gücünü Geleceğe Hazır Hale Getirmeye Nasıl Yardımcı Oluyor?
Kaynaklar

Edtech Startup'ları Hindistan'ın İşgücünün Becerilerini Geliştirmesine ve Geleceğe Hazır Olmasına Nasıl Yardımcı Oluyor?

Haberler

Bu Hafta Yeni Çağ Teknoloji Hisseleri: Zomato'nun Sorunları Devam Ediyor, EaseMyTrip Gönderileri Stro...

Hindistan Yargı Alanındaki Tüm Günlükleri Koruyun

Hükümet, tüketici verilerini depolamakla ilgilenmediklerini belirterek bu hareketi haklı çıkarıyor. Bunun yerine, hizmet sağlayıcıların, mahkeme emri veya cezai soruşturmalarda yalnızca yasal olarak gerekli olduğunda hükümetle paylaşılabilecek verileri korumasını istiyorlar.

Bir de yargı sorunu var. VPN servis sağlayıcıları, Hindistan içindeki ve dışındaki tüketicilere hizmet sunmaktadır. Hükümetin veri yerelleştirme baskısı nedeniyle, bunun iki yönlü etkisi olabilir. Sadece Hintli tüketiciler bu düzenleme kapsamına alınmayacak, aynı zamanda Hindistan dışındaki sunuculara sahip hizmet sağlayıcılar da Hindistan mahkemelerinin yargı yetkisine maruz kalacak.

Ek olarak, şirketler Hindistan ceza hükümlerine de tabi olacak. Herhangi bir hizmet sağlayıcı, aracı, veri merkezi, kurum veya kişi, istenen bilgileri sağlamaz veya yönergelere uymazsa, cezalandırılır. Bu, bir yıla kadar uzayabilen bir süre için hapis cezası veya 1 Lakh INR'ye kadar çıkabilen bir para cezası veya her ikisini de içerir.

Verilerin Depolanması

VPN (Sanal Özel Ağ) hizmet sağlayıcıları, bulut hizmeti sağlayıcıları, veri merkezleri ve VPS (Sanal Özel Sunucu) hizmet sağlayıcılarının, kaydın herhangi bir iptali veya geri çekilmesinden sonra beş yıl boyunca aşağıdaki bilgileri kaydetmesi ve muhafaza etmesi gerekecektir . durumda olabilir:

  • Hizmetleri kiralayan abonelerin veya müşterilerin doğrulanmış adları
  • Tarihler dahil kiralama süresi
  • Üyelere tahsis edilen veya üyeler tarafından kullanılan IP'ler
  • Kayıt veya işe giriş sırasında kullanılan e-posta adresi, IP adresi ve zaman damgası
  • Hizmetlerin işe alınma amacı
  • Doğrulanmış adres ve iletişim numaraları
  • Abonelerin veya hizmetleri kiralayan müşterilerin sahiplik modeli

Bazı önemli konularda netlik eksikliği var. Verileri depolamak için ek altyapı oluşturulması gerekip gerekmediği konusunda belirsizlik devam etmektedir. Veya verilerin depolanmasını üçüncü taraf veri depolama, saklama ve yerelleştirme hizmeti sağlayıcılarına dış kaynak kullanmalarına izin verilip verilmediği.

Ayrıca, bu hizmet sağlayıcıların doğru bilgileri kaydetme zorunluluğu da çok belirsizdir. Kullanıcı tarafından sağlanan verilerin doğruluğunu nasıl sağlayacakları belirsizliğini koruyor. Ayrıca bilgilerin doğruluğunu sağlamak için ek maliyetlerin ödenmesi gerekliliği de olabilir.

Son olarak, yönetmelik hizmet sağlayıcıların CERT-In ile arayüz oluşturmak için bir POC (İrtibat Noktası) belirlemesini zorunlu kılmaktadır. Kimin POC olabileceğine gelince, direktifler henüz belirsizliğini koruyor. POC'nin Hindistan'da ikamet etmesi gerekiyor mu yoksa dış istasyon personeli olabilir mi? Kimler POC olabilir - şirketin idari irtibat kişisi, belirli yetkiye sahip bir kişi veya kilit yönetici personel? Düzenlemeler, BT Yasası ve Kuralları kapsamında cezai koruma durumunda POC'nin sanık olarak suçlanması konusunda da anne tutar.

Gizlilik Rejiminin Zorlukları

Bu düzenleme, kripto para borsaları da dahil olmak üzere bir dizi hizmet sağlayıcı için geçerli olsa da, en çok etkilenen VPN hizmet sağlayıcıları gibi görünüyor . Hükümetin veri yerelleştirme gerekliliklerini ve veri saklama yönergelerini listeleyen yeni yönergeleri, ciddi veri gizliliği endişelerini artırdı

VPN ağlarının temel ilkesi gizliliktir ve mevcut yönergeler bu ilkelerle açıkça çelişmektedir. Resmi mahremiyet yasasının olmaması, çeşitli Yüksek Mahkeme kararlarına, BT Yasasına, BT Kurallarına ve Hindistan anayasasının 21. Maddesine dayanan yetkililere sahiptir. Bu, sektör oyuncularının ve hizmet sağlayıcıların yönergelere uymasını zorlaştırıyor.

Ek olarak, VPN servis sağlayıcıları çeşitli farklı teknolojiler kullanır. Mevcut ağların bazılarında, günlüklerin depolanması mevcut değildir. Bu, Hindistan'da bu hizmetleri işletmek ve sürdürmek için altyapı ve işgücü için ek finansman anlamına gelir.

Uyum İçin Stratejinizi Belirleyin

Pek çok şey cevapsız kaldığından, temel bir yasal stratejiye ihtiyaç duyulmaktadır. Bu, şirketlerin yeni düzenlemeye uyum sağlamasına yardımcı olacak, eğer hükümetten başka bir açıklama gelmezse. Bu temel yasal strateji aşağıdaki adımları içerir:

  • VPN hizmet sağlayıcılarının gizlilik politikasını değiştirin veya düzeltin ve herhangi bir sorumluluktan kaçınmak için bir tıklama, küçültme veya diğer kabul ve onay biçimleriyle müşterilerin ek onayını alın.
  • Hindistan'da sunucular oluşturun ve kurallara uymak için altyapı, süreçler ve hatta kaynaklar ekleyin.
  • Ek veri yakalama gereksinimlerine uymak için müşterilerin KYC normlarını değiştirin.
  • Düzenlemeye uymak için bir iç politika oluşturun.
  • VPN sisteminin oluşturulduğu değerleri değiştirin. Veri yerelleştirme ve saklama için zorlama, Hindistan içinde hizmetler sunan VPN servis sağlayıcılarının değerlerini Hindistan yasal gereksinimlerine uyacak şekilde değiştirmelerini gerektirecektir.
  • Hindistan'da, CERT-In ile iletişim kurmak için POC olarak hareket edecek bir kişi belirleyin.