报告窗口短66小时,比欧盟GDPR规定的窗口短
印度的组织面临六个小时数据泄露报告截止日期,根据该国计算机应急响应团队的新规则,CERT-IN。
新规则将适用于印度网络和IT基础架构的关键部分,包括服务提供商,数据中心,政府组织和公司。
报告窗口比其他大型经济体短得多:在欧盟,GDPR要求在72小时内报告违规行为。可以通过电话,传真或电子邮件报告事件。
该规则所涵盖的组织必须在事件发生后保持日志180天。
了解您的客户
一些部门,包括数据中心,云服务提供商和VPN运营商还必须注册并维护有关客户的某些信息,包括姓名,IPS及其使用服务的原因至少五年。
同样,加密货币服务将有义务维护“了解您的客户”(KYC)记录。
CERT-IN发布了20种类型的事件列表(PDF)组织必须在六个小时的窗口内报告。其中包括恶意软件和勒索软件攻击;身份盗用,欺骗和网络钓鱼攻击;以及数据泄露和数据泄漏。
该列表还包括未经授权访问社交媒体帐户和攻击或影响云计算服务,区块链,机器人技术,增材制造,3D打印或无人机的可疑活动。
该指令所涵盖的所有组织都必须将其系统同步到由印度国家信息学中心或国家物理实验室维护的网络时间(NTP)服务器,或者与这些系统同步的NTP服务器,大概是为了使CERT更容易分析日志数据。
未能遵守的组织可能会面临根据2000年的印度IT法规定的罚款。
宣布新规则,印度的电子部门表示,“证书已经确定了某些差距,导致事件分析中的障碍”,并补充说,这些规则将“增强整体网络安全姿势并确保该国安全和可信赖的互联网”。
Versatilist Consulting India和Isaca驻印度大使RV Raghu称赞这一消息是“迈向改进数据和客户保护的伟大一步,这也可以加强印度企业的整体网络安全姿势。
他告诉他说:“报告事件可能导致信息共享,防止系统性风险的兴起并导致更强的生态系统。”每日swbeplay2018官网ig。
新规定将在4月28日宣布后60天生效。
