Las estrictas reglas de privacidad de India para proveedores de VPN pospuestas por 3 meses

El Equipo de Respuesta a Emergencias Informáticas de India (CERT-In) decidió el lunes posponer sus nuevas reglas de privacidad para Centros de Datos, proveedores de Redes Privadas Virtuales (VPN), proveedores de Servidores Privados Virtuales (VPS) y proveedores de Servicios en la Nube, por otros tres meses.

La fecha límite para cumplir con las nuevas reglas de privacidad en India estaba programada para entrar en vigor el 27 de junio de 2022, pero ahora se ha extendido hasta el 25 de septiembre de 2022.

“La extensión de los plazos para la implementación de estas Direcciones de Ciberseguridad del 28 de abril de 2022 se ha solicitado en relación con las Micro, Pequeñas y Medianas Empresas (MSMEs) para proporcionar un tiempo razonable para generar la capacidad necesaria para la implementación de estas Direcciones”, destacó CERT-In en su nueva notificación el lunes.

“También se ha solicitado tiempo adicional para la implementación del mecanismo de validación de suscriptores/clientes por parte de Centros de Datos, proveedores de Servidores Privados Virtuales (VPS), proveedores de Servicios en la Nube y proveedores de Servicios de Redes Privadas Virtuales (VPN).”

Para los no versados, el 28 de abril de 2022, el Cert-In emitió Direcciones de Ciberseguridad para Centros de Datos, proveedores de VPS, proveedores de Servicios en la Nube y proveedores de Servicios de Redes Privadas Virtuales (VPN), que requieren que recojan/almacenen información del usuario durante al menos cinco años, incluso después de que los usuarios dejen de usar el servicio, y la entreguen a la agencia. Aquellos que se nieguen a cumplir pueden enfrentar hasta un año de prisión.

Las nuevas reglas requerían que recojan la siguiente información:

2. Nombres validados de suscriptores/clientes que contratan los servicios

3. Período de contratación, incluidas las fechas

4. IPs asignadas a / utilizadas por los miembros

5. Dirección de correo electrónico y dirección IP y marca de tiempo utilizadas en el momento de registro / incorporación

6. Propósito de la contratación de servicios

7. Dirección validada y números de contacto

8. Patrón de propiedad de los suscriptores / clientes que contratan servicios

Justificadamente, las nuevas reglas fueron ampliamente criticadas por proveedores de VPN, expertos en ciberseguridad y tecnólogos, quienes dijeron que debilitarían severamente la privacidad y la seguridad en el mercado indio.

Expertos locales en ciberseguridad de India y de todo el mundo han pedido un aplazamiento del cumplimiento de las Direcciones emitidas en abril. Han enviado una carta conjunta a CERT y al Ministerio de Electrónica y Tecnología de la Información (MeiTY) el lunes, advirtiéndoles sobre el impacto negativo que las Direcciones tendrían en la ciberseguridad y la privacidad.

“Las direcciones en su forma actual tendrán la consecuencia no deseada de socavar la ciberseguridad y su componente clave de privacidad en línea. Somos conscientes de la necesidad de crear un marco para informar sobre incidentes cibernéticos, pero los plazos de informes y las órdenes excesivas de retención de datos establecidas en las Directrices tendrán consecuencias negativas en la práctica y obstaculizarán la efectividad, mientras amenazan la privacidad y la seguridad en línea”, escribieron.

Mientras tanto, proveedores de VPN como NordVPN, Surfshark, ExpressVPN y PureVPN ya han cerrado sus servidores VPN físicos en India, ya que sienten que las nuevas reglas de VPN violan el derecho a la protección de la privacidad.

Por su parte, el gobierno indio ha dejado claro que no tiene intención de relajar las nuevas reglas y tampoco llevará a cabo discusiones públicas sobre el tema.