cert-in: mandato CERT-In não para vigilância: fontes governamentais

“Não pretendemos usar o mandato do CERT-In para fazer qualquer tipo de vigilância”, disseram funcionários, observando que “acabamos de pedir rede privada virtual (VPN) as empresas mantenham um registro de seus logs por cinco anos, para que, se necessário pelos órgãos de aplicação da lei, possa ser acessado após o devido procedimento.”

A ET informou na semana passada que um documento oficial está sendo preparado para dissipar as dúvidas generalizadas.

Vários provedores de serviços VPN, incluindo Surfshark e NordVPN, reagiram ao governo afirmando que aderir às diretrizes do CERT-In iria contra a natureza de seus serviços, que são projetados para proteger a privacidade do usuário. Alguns fornecedores disseram que não têm nem os meios técnicos para cumprir a ordem e terão que sair da Índia se “não tiverem outra opção”.

Na lista de esclarecimentos de seu mandato de 28 de abril, o CERT-In provavelmente dirá que a diretiva para armazenar informações de clientes se aplica apenas às VPNs que oferecem serviços a assinantes de Internet em geral, conforme relatado pela ET, na semana passada.

Carga de Custo

Enquanto isso, especialistas em políticas apontam a apreensão entre startups e pequenas e médias empresas de que o mandato do governo de manter registros de usuários e verificar os detalhes aumentará significativamente seus custos.

“Embora a coleta de dados, validação e processo KYC tenham preocupações com a privacidade, isso também resultaria em um custo operacional para os provedores de serviços, predominantemente para start-ups, pois eles precisam reter e armazenar dados por cinco anos”, Kazim Rizvi, fundador da disse o grupo de política de tecnologia The Dialogue.

Fontes informadas disseram que nos próximos dias a Meity também deve esclarecer que o recente mandato que direciona redes privadas virtuais (VPNs) que oferecem acesso à Internet para registrar e manter registros de seus clientes pode não se aplicar a VPNs corporativas ou corporativas.

Em um conjunto de novas diretivas emitidas anteriormente, o CERT-In pediu aos provedores de serviços VPN que mantivessem todos os dados do cliente por cinco anos, incluindo a finalidade para a qual o cliente utilizou o serviço VPN.

Ratan Shrivastava, diretor administrativo da BowerGroupAsia na Índia, uma empresa de consultoria em estratégia de políticas públicas, disse que empresas, provedores de serviços financeiros e provedores de serviços de negócios globais aliados, que às vezes possuem suas VPNs, mantêm seus registros e logs, mas mesmo para eles armazenamento por cinco anos implicará uma capacidade adicional.

“Pode ser necessária uma alteração à notificação (em vez de um FAQ, para ajudar a classificar as categorias VPN, os provedores de serviços como NordVPN e provedores de serviços de segurança da Internet como Kaspersky/Norton, que oferecem mascaramento como parte de suas soluções de segurança cibernética de endpoint .” ele disse.

As solicitações exigidas pela notificação serão difíceis de implementar por provedores de serviços VPN profissionais, pois os enormes dados necessários para serem armazenados por cinco anos são um custo adicional e exigirão a criação de infraestrutura de armazenamento de dados e difíceis de repassar aos clientes finais , acrescentou Shrivastava.

“Um tempo de conformidade de 60 dias para configurar uma instalação de validação online é uma tarefa desafiadora e exigirá engenharia e arquitetura significativas para uma experiência de integração perfeita. Da mesma forma, a validação dos nomes, endereços e números de contato dos assinantes através de instruções do CERT-In também aumentaria os custos operacionais, pois os provedores de serviços estabelecerão processos pela primeira vez”, acrescentou Rizvi.

FacebookTwitterLinkedin