Le severe regole sulla privacy per i fornitori di VPN in India rinviate di 3 mesi

Il Computer Emergency Response Team (CERT-In) indiano ha deciso lunedì di rinviare le nuove regole sulla privacy per i Data Center, i fornitori di Rete Privata Virtuale (VPN), i fornitori di Server Privato Virtuale (VPS) e i fornitori di Servizi Cloud, per altri tre mesi.

La scadenza per conformarsi alle nuove regole sulla privacy in India era fissata per il 27 giugno 2022, ma ora è stata estesa al 25 settembre 2022.

“L’estensione dei termini per l’attuazione di queste Direttive di Cyber Sicurezza del 28 aprile 2022 è stata richiesta in relazione alle Micro, Piccole e Medie Imprese (MSME) per fornire un tempo ragionevole per generare la capacità necessaria per l’attuazione di queste Direttive,” ha evidenziato CERT-In nel suo nuovo avviso di lunedì.

“Inoltre, è stato richiesto ulteriore tempo anche per l’attuazione del meccanismo di validazione degli abbonati/clienti da parte dei Data Center, dei fornitori di Server Privato Virtuale (VPS), dei fornitori di Servizi Cloud e dei fornitori di Servizi di Rete Privata Virtuale (VPN).”

Per chi non lo sapesse, il 28 aprile 2022, il Cert-In ha emesso le Direttive di Cyber Sicurezza per i Data Center, i fornitori di VPS, i fornitori di Servizi Cloud e i fornitori di Servizi di Rete Privata Virtuale (VPN), che richiedono loro di raccogliere/mantenere informazioni sugli utenti per almeno cinque anni – anche dopo che gli utenti smettono di utilizzare il servizio – e di consegnarle all’agenzia. Coloro che si rifiutano di conformarsi possono affrontare fino a un anno di carcere.

Le nuove regole richiedevano loro di raccogliere le seguenti informazioni:

2. Nomi validati degli abbonati/clienti che richiedono i servizi

3. Periodo di noleggio inclusi le date

4. IP assegnati a / utilizzati dai membri

5. Indirizzo email e indirizzo IP e timestamp utilizzati al momento della registrazione / onboarding

6. Scopo per richiedere i servizi

7. Indirizzo e numeri di contatto validati

8. Modello di proprietà degli abbonati / clienti che richiedono i servizi

Giustamente, le nuove regole sono state ampiamente criticate dai fornitori di VPN, esperti di cybersecurity e tecnologi, affermando che avrebbero indebolito gravemente la privacy e la sicurezza per il mercato indiano.

Esperti locali di cybersecurity dall’India e da tutto il mondo hanno chiesto un rinvio della conformità alle Direttive emesse ad aprile. Hanno inviato una lettera congiunta a CERT e al Ministero dell’Elettronica e della Tecnologia dell’Informazione (MeiTY) lunedì, avvertendoli dell’impatto negativo che le Direttive avrebbero avuto sulla cybersecurity e sulla privacy.

“Le direttive nella loro forma attuale avranno la conseguenza indesiderata di minare la cybersecurity e il suo componente chiave della privacy online. Siamo consapevoli della necessità di creare un quadro per la segnalazione di incidenti informatici, ma le scadenze per la segnalazione e gli ordini di retention dei dati eccessivi stabiliti nelle Linee Guida avranno conseguenze negative nella pratica e ostacoleranno l’efficacia, minacciando la privacy e la sicurezza online,” hanno scritto.

Nel frattempo, fornitori di VPN come NordVPN, Surfshark, ExpressVPN e PureVPN hanno già chiuso i loro server VPN fisici in India, poiché ritengono che le nuove regole sulle VPN violino il diritto alla protezione della privacy.

Per quanto riguarda il governo indiano, ha chiarito che non ha intenzione di allentare le nuove regole e non terrà discussioni pubbliche sull’argomento.