VPN कंपनियां करेंगी भारत में कम से कम 5 वर्षों के लिए उपयोगकर्ता का डेटा स्टोर , MeitY ने दिया आदेश

इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (Ministry of Electronics and Information Technology- MeitY) ने वर्चुअल प्राइवेट नेटवर्क (VPN) कंपनियों को पांच साल या उससे अधिक समय के लिए उपयोगकर्ता का डेटा एकत्र करने और स्टोर करने का आदेश दिया है। साइबर सुरक्षा घटनाओं से संबंधित प्रतिक्रिया गतिविधियों और आपातकालीन उपायों के समन्वय के लिए आदेश की घोषणा की गई थी। VPN कंपनियों को उपयोगकर्ता के घर का पता, IP पता और उपयोग पैटर्न को रिकॉर्ड करना होगा।

हाइलाइट्स

उपयोगकर्ता डेटा को सुरक्षित रूप से देता स्टोर करने और उचित व्यवस्था करने के लिए MeitY ने VPNकंपनियों को 60 दिन का समय दिया है।
- MeitY के नए आदेश में यह भी कहा गया है कि उपयोगकर्ता द्वारा अपना खाता निष्क्रिय करने या सदस्यता रद्द करने के बाद भी कंपनियां उपयोगकर्ता के रिकॉर्ड को संग्रहीत और बनाए रखना जारी रखेंगी।
भारतीय कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-इन) ने भी डेटा केंद्रों और क्रिप्टो एक्सचेंजों को इस महीने की शुरुआत में ही नए आदेश का पालन करने के लिए कहा है।

MeitY ने VPNकंपनियों को दिया 60 दिन का समय

उपयोगकर्ता डेटा को सुरक्षित रूप से स्टोर करने के लिए MeitY ने VPN कंपनियों को 60 दिन का समय दिया है। नए कानून 27 जुलाई से लागू होंगे। अगर कोई कंपनी नए कानूनों का पालन करने में विफल रहती है, तो संबंधित अधिकारियों को एक साल तक की जेल होगी।

MeitY के नए आदेश में यह भी कहा गया है कि उपयोगकर्ता द्वारा अपना खाता निष्क्रिय करने या सदस्यता रद्द करने के बाद भी कंपनियां उपयोगकर्ता के रिकॉर्ड को संग्रहीत और बनाए रखना जारी रखेंगी। साथ ही भारतीय कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-इन) ने भी डेटा केंद्रों और क्रिप्टो एक्सचेंजों को इस महीने की शुरुआत में पारित नए आदेश का पालन करने के लिए कहा है।

VPN कंपनियों से यह भी अपेक्षा की जाती है कि वे अपने ग्राहक को जानें (KYC) के हिस्से के रूप में जानकारी और पांच साल की अवधि के लिए वित्तीय लेनदेन के रिकॉर्ड को बनाए रखें। यह आभासी संपत्ति के विकास के मद्देनजर अपने डेटा, मौलिक अधिकारों और आर्थिक स्वतंत्रता की रक्षा करते हुए नागरिकों के लिए भुगतान और वित्तीय बाजारों के क्षेत्र में साइबर सुरक्षा सुनिश्चित करने के लिए यह कदम उठाया गया है।

सरकारी एजेंसी ने किया ऐसी कमजोरियों को सूचीबद्ध

Service providers, intermediaries और data centres को भी CERT-in. को किसी भी प्रकार की साइबर सुरक्षा घटनाओं की रिपोर्ट करने का आदेश दिया गया है। सरकारी एजेंसी ने 20 ऐसी कमजोरियों को सूचीबद्ध किया है जिन्हें रिपोर्ट करने की आवश्यकता है। इनमें महत्वपूर्ण नेटवर्क/सिस्टम की लक्षित स्कैनिंग या जांच, महत्वपूर्ण सिस्टम या सूचना से समझौता, और आईटी सिस्टम या डेटा की अनधिकृत पहुंच शामिल है। अन्य कमजोरियां जिनके बारे में MeitY चाहता है कि सेवा प्रदाता रिपोर्ट करें, वे इस प्रकार हैं:

1. बाहरी वेबसाइटों पर दुर्भावनापूर्ण कोड लिंक डालना आदि।
2. दुर्भावनापूर्ण कोड हमले जैसे वायरस/वर्म/ट्रोजन/बॉट्स/स्पाइवेयर/रैंसमवेयर/क्रिप्टो माइनर्स का प्रसार।
3. डेटाबेस, मेल और DNS जैसे सर्वरों और राउटर जैसे नेटवर्क उपकरणों पर अटैक।
4. आइडेंटिटी थेफ़्ट , स्पूफ़िंग और फिशिंग अटैक।
5. डेनियल ऑफ सर्विस (DoS) और डिस्ट्रिब्यूटेड डेनियल ऑफ सर्विस (DDoS) अटैक।
6. क्रिटिकल इन्फ्रास्ट्रक्चर, SCADA और ऑपरेशनल टेक्नोलॉजी सिस्टम और वायरलेस नेटवर्क पर अटैक ।
7. ई-गवर्नेंस, ई-कॉमर्स आदि जैसे अनुप्रयोगों पर अटैक।
8. डेटा भंग।
9. डेटा लीक।
10. इंटरनेट ऑफ थिंग्स (IoT) उपकरणों और संबंधित सिस्टम, नेटवर्क, सॉफ्टवेयर, सर्वर पर अटैक।
11. डिजिटल भुगतान प्रणाली को प्रभावित करने वाले हमले या घटनाएं।
12. दुर्भावनापूर्ण मोबाइल ऐप्स के माध्यम से अटैक।
13. नकली मोबाइल ऐप।
14. क्लाउड कंप्यूटिंग को प्रभावित करने वाले हमले या दुर्भावनापूर्ण/संदिग्ध गतिविधियां ।
15. बिग डेटा, ब्लॉकचैन, वर्चुअल एसेट्स, वर्चुअल एसेट एक्सचेंज, कस्टोडियन वॉलेट, रोबोटिक्स, 3डी और 4डी प्रिंटिंग, एडिटिव मैन्युफैक्चरिंग, ड्रोन से संबंधित सिस्टम/सर्वर/नेटवर्क/सॉफ्टवेयर/एप्लीकेशन को प्रभावित करने वाले हमले या दुर्भावनापूर्ण/संदिग्ध गतिविधियां।