Regras de Privacidade Rigorosas da Índia para Provedores de VPN Adiadas por 3 Meses

A Equipe de Resposta a Emergências de Computador da Índia (CERT-In) decidiu na segunda-feira adiar suas novas regras de privacidade para Data Centers, provedores de Rede Privada Virtual (VPN), provedores de Servidor Privado Virtual (VPS) e provedores de Serviços em Nuvem, por mais três meses.

O prazo para cumprir as novas regras de privacidade na Índia estava previsto para entrar em vigor em 27 de junho de 2022, mas agora foi prorrogado para 25 de setembro de 2022.

“A prorrogação dos prazos para a implementação dessas Diretrizes de Cibersegurança de 28 de abril de 2022 foi solicitada em respeito às Micro, Pequenas e Médias Empresas (MPMEs) para fornecer tempo razoável para a capacitação necessária para a implementação dessas Diretrizes,” destacou a CERT-In em sua nova notificação na segunda-feira.

“Além disso, tempo adicional também foi solicitado para a implementação do mecanismo de validação de assinantes/clientes por Data Centers, provedores de Servidor Privado Virtual (VPS), provedores de Serviços em Nuvem e provedores de Serviços de Rede Privada Virtual (VPN).”

Para quem não está a par, em 28 de abril de 2022, a Cert-In emitiu Diretrizes de Cibersegurança para Data Centers, provedores de VPS, provedores de Serviços em Nuvem e provedores de Serviços de Rede Privada Virtual (VPN), que exigem que eles coletem/armazene informações dos usuários por pelo menos cinco anos – mesmo após os usuários pararem de usar o serviço – e entreguem à agência. Aqueles que se recusarem a cumprir podem enfrentar até um ano de prisão.

As novas regras exigiam que coletassem as seguintes informações:

2. Nomes validados de assinantes/clientes contratando os serviços

3. Período de contratação, incluindo datas

4. IPs alocados para / sendo usados pelos membros

5. Endereço de e-mail e endereço IP e carimbo de data/hora usados no momento do registro / integração

6. Propósito da contratação de serviços

7. Endereço validado e números de contato

8. Padrão de propriedade dos assinantes / clientes contratando serviços

Justificadamente, as novas regras foram amplamente criticadas por provedores de VPN, especialistas em cibersegurança e tecnólogos, dizendo que elas enfraqueceriam severamente a privacidade e a segurança para o mercado indiano.

Especialistas locais em cibersegurança da Índia e de todo o mundo pediram um adiamento do cumprimento das Diretrizes emitidas em abril. Eles enviaram uma carta conjunta à CERT e ao Ministério da Eletrônica e Tecnologia da Informação (MeiTY) na segunda-feira, alertando-os sobre o impacto negativo que as Diretrizes teriam na cibersegurança e na privacidade.

“As diretrizes em sua forma atual terão a consequência não intencional de minar a cibersegurança e seu componente chave de privacidade online. Estamos cientes da necessidade de criar uma estrutura para relatar incidentes cibernéticos, mas os prazos de relatório e as ordens excessivas de retenção de dados estabelecidas nas Diretrizes terão consequências negativas na prática e prejudicarão a eficácia, enquanto ameaçam a privacidade e a segurança online,” escreveram.

Enquanto isso, provedores de VPN como NordVPN, Surfshark, ExpressVPN e PureVPN já fecharam seus servidores VPN físicos na Índia, pois sentem que as novas regras de VPN violam o direito à proteção da privacidade.

Por sua parte, o governo indiano deixou claro que não tem intenção de relaxar as novas regras e não realizará discussões públicas sobre o assunto também.