印度将引入六小时数据泄露通知规则

在该国计算机应急响应团队 CERT-In 引入新规则后,印度的组织面临 6 小时的数据泄露报告截止日期,比欧盟 GDPR 规定的时间短 66 小时。

在该国计算机应急响应团队 CERT-In 引入新规则后,印度的组织面临 6 小时的数据泄露报告截止日期。

新规则将适用于印度网络和 IT 基础设施的关键部分,包括服务提供商、数据中心、政府组织和企业。

报告窗口比其他大型经济体短得多:在欧盟,GDPR要求在 72 小时内报告违规行为。可以通过电话、传真或电子邮件报告事件。 该规则涵盖的组织必须在事件发生后保留日志 180 天。

一些部门,包括数据中心、云服务提供商和VPN运营商,也必须注册和维护有关客户的某些信息,包括姓名、IP 及其使用服务的原因,至少五年。

同样,加密货币服务将有义务维护“了解你的客户”(KYC)记录。

CERT-In 发布了20 种事件类型的列表(PDF),组织必须在 6 小时内报告这些事件。其中包括恶意软件和勒索软件攻击;身份盗用、欺骗和网络钓鱼攻击;以及数据泄露和数据泄露。

该列表还包括未经授权访问社交媒体帐户以及影响云计算服务、区块链、机器人技术、增材制造、3D 打印或无人机的攻击或可疑活动。

该指令涵盖的所有组织都必须将其系统同步到由印度国家信息学中心或国家物理实验室维护的网络时间 (NTP) 服务器,或与这些系统同步的 NTP 服务器,这可能是为了让 CERT-In 更容易分析日志数据。

不遵守规定的组织可能会面临 2000 年印度 IT 法案规定的处罚。

印度电子和 IT 部在宣布新规则时表示,“CERT-In 已发现某些导致事件分析障碍的漏洞”,并补充说,这些规则将“加强整体网络安全态势,确保该国互联网的安全和可信”。

Versatilist Consulting India 董事兼 ISACA 印度大使 RV Raghu 称赞该公告是“朝着改善数据和客户保护迈出的一大步,这也可以加强印度企业的整体网络安全态势。

“报告事件可以导致信息共享,防止系统性风险上升并导致更强大的生态系统,”他告诉The Daily Swig。 新规则将于 4 月 28 日宣布后 60 天生效。

发表评论

评论已关闭。

相关文章