印度将实施6小时数据泄露通知规则
近日,印度计算机应急响应团队CERT-In计划实施新的数据泄露通知规则,要求印度组织在发现数据泄露的6小时内报告事件。新规则将于4月28日宣布后60天生效。
据悉,新规则将适用于印度网络和IT基础设施的关键实体,包括服务提供商、数据中心、政府组织和企业。
印度的数据泄露报告时间窗口比其他大型经济体短得多:在欧盟,GDPR要求组织在72小时内通过电话、传真或电子邮件报告违规行为。
印度的数据泄露报告新规还要求相关组织必须在事件发生后保留日志180天。
新规则还要求服务提供商,包括数据中心、云服务提供商和VPN运营商,必须登记和保留有关客户的某些信息(包括姓名、IP及其使用服务的原因)至少五年。
同样,新规则还要求加密货币服务维护“了解你的客户”(KYC)记录。
CERT-In发布了必须在6小时内报告的20种类型的安全事件(PDF)清单(链接在文末),包括恶意软件和勒索软件攻击、身份盗用、欺骗和网络钓鱼攻击以及数据泄露。
该清单还包括未经授权访问社交媒体帐户以及影响云计算服务、区块链、机器人、增材制造、3D打印或无人机的攻击或可疑活动。
新规则适用的所有印度组织都必须将其系统与印度国家信息学中心或国家物理实验室维护的网络时间(NTP)服务器(或者与这些NTP服务器同步的系统)同步,这可能是为了让CERT-In更容易分析日志数据。
不遵守规定的组织可能会面临2000年颁布的印度IT法案规定的处罚。
印度电子和IT部在宣布新规则时表示,“CERT-In已发现某些导致事件分析障碍的漏洞”,并补充说,新规则将“加强整体网络安全态势,确保该国互联网的安全和可信”。
ISACA印度主管RV Raghu称赞该公告是“朝着改善数据和客户保护迈出的一大步,这也可以加强印度企业的整体网络安全态势。(及时)报告安全事件可以促进信息共享,防止系统性风险的上升并打造更强大的生态系统。”
参考链接:
https://www.cert-in.org.in/PDF/CERT-In_Directions_70B_28.04.2022.pdf