O prazo para a lei VPN da Índia relatar eventos cibernéticos e lidar com a privacidade do usuário para MPMEs, VPNs e data centers foi prorrogado pela Equipe Indiana de Resposta a Emergências de Computadores (CERT-In) até 25 de setembro de 2022.
As Diretivas de segurança cibernética, que descrevem padrões de relatório e tratamento de eventos cibernéticos para VPNs, têm sido o foco de discussão desde que foram anunciadas no final de abril de 2022. O prazo anterior para as mesmas era de 60 dias, começando em 28 de abril de 2022. [today, June 28, 2022].
Num despacho, o CERT afirmou que as MPME procuraram “um tempo razoável para gerar a capacitação necessária para a implementação destas Orientações”.
Por que a Índia está prorrogando o prazo da lei VPN até setembro?
De acordo com um relatório do registroa notificação da CERT afirmava que havia sido solicitado tempo adicional para a instalação de um mecanismo de validação de assinantes/clientes por data centers, provedores de servidores virtuais privados (VPS), provedores de serviços de nuvem e provedores de serviços de redes privadas virtuais (serviços VPN).
Além disso, afirmou que os mencionados acima seriam obrigados a registrar e manter nomes válidos de assinantes/clientes contratantes dos serviços e endereços e números de contato válidos a partir de 25 de setembro de 2022.
O CERT-In concedeu um prazo estendido para que as MPMEs possam desenvolver a capacidade de implementar orientações de segurança cibernética e os data centers possam construir e implantar sistemas de validação. Todas as outras empresas devem começar a seguir as regras, exceto estas duas categorias.
As regras indicam que, como os problemas de segurança cibernética acontecem ocasionalmente, as empresas devem relatar as violações no prazo de seis horas após tomarem conhecimento delas.
Em segundo lugar, determinou que todas as organizações governamentais e prestadores de serviços mantenham um registo de 180 dias de todos os sistemas de Tecnologia de Informação e Comunicação (TIC) utilizados na Índia. Os data centers e VPNs terão que armazenar dados de seus clientes por cinco anos.
Os serviços começaram a sair da Índia?
O responsável disse ainda que embora as empresas não sejam obrigadas a informar o ministério de que estão a seguir as regras, isso pode resultar em repercussões se o governo solicitar informações sobre um caso específico.
Um dos principais provedores de serviços em nuvem, xpressVPN, já anunciou o fechamento de seus servidores na Índia. Como resultado da agência governamental de segurança cibernética CERT-In, emitindo diretivas que exigem mais conformidades, a Express VPN é supostamente o primeiro provedor de serviços de rede privada virtual (VPN) a reduzir as operações no país.
As regras geraram controvérsia, já que empresas e especialistas em tecnologia alegaram que criam oportunidades de abuso ao exigir que os provedores de serviços VPN mantenham registros completos de seus clientes.
