La India obliga a las empresas de VPN, nube y criptografía que recojan los datos de los usuarios o se enfrenten a cárcel

Rubén Castro, 3 mayo 2022

No te pierdas las ofertas de los Días Naranjas de PcComponentes!!! Muy buenas ofertas en informática, móviles, electrodomésticos y mucho más...

Ver ofertas

Los usuarios de redes privadas virtuales (VPN) esperan que los servicios protejan su privacidad, pero una nueva directiva en la India obligará a las empresas no solo a recopilar una gran cantidad de datos de los usuarios, sino también a almacenarlos durante cinco años y entregarlos si se les solicita. La norma se aplica a los proveedores de redes privadas virtuales, centros de datos, proveedores de servicios en la nube y exchanges de criptomonedas.

La nueva directiva nacional del Equipo de Respuesta a Emergencias Informáticas de la India, conocido como CERT-in, es un intento de “coordinar las actividades de respuesta así como las medidas de emergencia con respecto a los incidentes de ciberseguridad”.

Las empresas, incluidos los proveedores de VPN, deben registrar los nombres de los clientes, los patrones de uso, la información de contacto, las direcciones IP y físicas validadas y el propósito para el que contratan los servicios.

Otra parte de la directiva establece que las empresas deben conservar la información de los clientes incluso después de que cancelen sus cuentas o suscripciones. Además, las organizaciones deben informar sobre cualquier acceso no autorizado a las cuentas de las redes sociales.

El CERT-in afirma que los requisitos son para que la agencia pueda responder a los ciberincidentes en las seis horas siguientes a su descubrimiento. La directiva no está siendo bien recibida por los usuarios de estos servicios, evidentemente, pero las empresas que los proporcionan no tienen muchas opciones: el incumplimiento de las peticiones de información puede suponer un año de cárcel.

La mayoría de las VPN ofrecen una política de no registro en la que no guardan los registros de las actividades en línea de los clientes, e incluso las que los guardan sólo lo hacen temporalmente. Con la amenaza de acciones legales, algunos de estos proveedores podrían verse obligados a abandonar el mercado indio como consecuencia de la nueva normativa.

La directiva entrará en vigor el 27 de junio, aunque podría retrasarse para que las empresas tengan más tiempo para cumplir las normas.