Pesquisa de site

Principais regulamentos de segurança cibernética na Índia [atualizado em 2023]

A infraestrutura digital em constante expansão da Índia após a pandemia aumentou a demanda por mandatos regulatórios novos, atualizados e aprimorados para fortalecer a segurança cibernética. Incidentes desenfreados de segurança cibernética têm ocorrido semanalmente, alarmando empresas, organizações e indivíduos em toda a Índia.

O Relatório de violação de dados de segurança da IBM de 2022 afirma que, para o ano fiscal de 2022, os custos médios de violação de dados na Índia atingiram um recorde de ₹ 17,5 crores (₹ 175 milhões) rúpias, ou cerca de US$2,2 milhões, o que representa um aumento de 6,6% em relação a 2021 e impressionantes 25% em relação ao custo médio de ₹ 14 crores em 2020.

Em 2021, os incidentes de segurança cibernética envolveram incidentes que giram em torno de acesso não autorizado e dados pessoais comprometidos. Por exemplo, no caso da Air India, arquivos de dados de mais de 4,5 milhões de clientes vazaram em um ataque cibernético. Em um incidente separado, vazamentos de dados pessoais de cerca de 180 milhões de usuários foram roubados diretamente do banco de dados da Domino's India.

Em resposta à rápida transformação digital, às leis arcaicas de segurança cibernética e à falta de leis claras e abrangentes de privacidade de dados, o governo indiano começou a reavaliar como regula a segurança cibernética e o crime cibernético.

Este guia abrangente seguirá os regulamentos e legislações de segurança cibernética mais pertinentes da Índia relevantes para crimes cibernéticos. Além disso, este artigo examinará as atuais leis de segurança cibernética da Índia, como elas são aplicadas, como protegem empresas e organizações e quais desenvolvimentos e melhorias estão planejados para o futuro.

As questões críticas das leis e regulamentos de segurança cibernética da Índia

Um dos principais problemas com os regulamentos da Índia no cenário de segurança cibernética é que o governo ainda processa sob estatutos não esclarecidos ou desatualizados, o que pode impedir o progresso e a implementação de leis e regulamentos cibernéticos adequados. As organizações têm dificuldade em obter as diretrizes e avisos adequados de leis ambíguas e abordagens legislativas fragmentadas em privacidade de dados e segurança cibernética.

Para manter os padrões de segurança cibernética amplamente aceitos, a Índia deve aprovar leis de segurança cibernética mais abrangentes e informativas e regulamentos e reformas esclarecidos para desenvolver uma melhor estrutura de segurança cibernética e legislação de proteção de dados.

Caso contrário, o governo indiano, suas agências de aplicação da lei e reguladores designados permanecem vinculados a leis antigas, o que pode resultar em problemas de segurança cibernética abordados de forma inadequada e não resolvidos.

Em uma petição especial apresentada em 2021, a Suprema Corte da Índia decidiu que ataques cibernéticos e roubos de dados são crimes sob a Lei de Tecnologia da Informação (Lei de TI) de 200 e o Código Penal Indiano (IPC). Como o estatuto criminal do IPC tem mais de 150 anos, uma Lei de TI mais moderna e renovada de 2000 é a principal regulamentação contra o crime cibernético a partir de hoje.

No entanto, mais trabalho e emendas são necessários para revisar erros e fornecer mais esclarecimentos em resposta a novas ameaças emergentes dos dias modernos.

Saiba a diferença entre um regulamento e uma estrutura cibernética >

Principais regulamentos de segurança cibernética na Índia 2022

Aqui estão as legislações atuais sobre segurança cibernética usadas na Índia hoje:

1. Lei de Tecnologia da Informação de 2000

A primeira lei de segurança cibernética histórica da Índia foi a Lei de Tecnologia da Informação de 2000.

A Lei de TI de 2000 foi promulgada pelo Parlamento da Índia e administrada pela Equipe Indiana de Resposta a Emergências de Computadores (CERT-In) para orientar a legislação indiana de segurança cibernética, instituir políticas de proteção de dados e governar o crime cibernético. Também protege a governança eletrônica, o e-banking, o comércio eletrônico e o setor privado, entre muitos outros.

Embora a Índia não tenha uma lei de segurança cibernética exclusiva e unitária, ela usa a Lei de TI e vários outros regulamentos específicos do setor para promover padrões de segurança cibernética. Ele também fornece uma estrutura legal para a infraestrutura crítica de informações na Índia.

Por exemplo, na Seção 43A da Lei de TI, as empresas e organizações indianas devem ter "práticas e procedimentos de segurança razoáveis" para proteger informações confidenciais de serem comprometidas, danificadas, expostas ou mal utilizadas.

De acordo com a Seção 72A da Lei de TI, quaisquer intermediários ou pessoas que divulguem dados pessoais sem o consentimento do proprietário (com má intenção e causando danos) são puníveis com prisão de até três anos, multa de até Rs500.000 ou ambos.

2. Lei de Tecnologia da Informação (Emenda) de 2008

A Lei de Emenda à Tecnologia da Informação de 2008 (Lei de TI de 2008) foi aprovada em outubro de 2008 e entrou em vigor no ano seguinte como um acréscimo substancial à Lei de TI de 2000. Essas emendas ajudaram a melhorar o projeto de lei original, que originalmente não conseguiu abrir caminho para um maior desenvolvimento relacionado a TI. Foi saudado como um passo inovador e há muito esperado em direção a uma estrutura aprimorada de segurança cibernética na Índia.

A Lei de TI de 2008 adicionou termos atualizados e redefinidos para uso atual, expandindo a definição de crime cibernético e a validação de assinaturas eletrônicas. Também incentiva fortemente as empresas a implementar melhores práticas de segurança de dados e as torna responsáveis por violações de dados.

A Lei de TI de 2008 se aplica a qualquer indivíduo, empresa ou organização (intermediários) que use recursos de computador, redes de computadores ou outra tecnologia da informação na Índia. Também inclui provedores de serviços de hospedagem na web, internet, rede e telecomunicações. Também inclui organizações estrangeiras que têm presença na Índia e empresas fora do país que têm operações na Índia.

Abrangendo importantes práticas de segurança da informação para crimes cibernéticos e proteção de dados com mais de nove capítulos e 117 seções, a nova Lei de Emenda à Tecnologia da Informação de 2008 inclui as seguintes responsabilidades:

  • Melhorando as medidas de segurança cibernética e forense
  • Exigir que intermediários e pessoas jurídicas comuniquem incidentes de cibersegurança ao CERT-In
  • Impedir o uso não autorizado/ilegal de um sistema de computador
  • Proteção de dados e informações privadas contra terrorismo cibernético, ataques DDoS, phishing, malware e roubo de identidade
  • Reconhecimento legal da cibersegurança das organizações
  • Salvaguarda dos pagamentos eletrónicos e das transações eletrónicas e monitorização e desencriptação dos registos eletrónicos
  • Estabelecimento de um quadro jurídico para as assinaturas digitais
  • Reconhecer e regular intermediários

É importante observar que o maior problema com a Lei de TI de 2008 está na Subseção 69, que autoriza o governo indiano a interceptar, monitorar, descriptografar, bloquear e remover rapidamente dados e conteúdo a seu critério, o que pode representar sérias preocupações com a privacidade.

A violação da Lei de TI pode incorrer em penalidades que variam de US$1.250 a 3 anos de prisão, enquanto as penalidades para crimes mais graves e crimes cibernéticos podem chegar a até 10 anos de prisão.

3. Regras de Tecnologia da Informação, 2011

De acordo com a Lei de TI, outro segmento importante da legislação de segurança cibernética são as Regras de Tecnologia da Informação (Práticas e Procedimentos de Segurança Razoáveis e Dados ou Informações Pessoais Confidenciais) de 2011 (Regras de Privacidade).

As alterações mais significativas incluem disposições para a regulamentação de intermediários, penalidades atualizadas e taxas de violação por crimes cibernéticos, trapaça, calúnia e publicação não consensual de imagens privadas, bem como censura/restrição de certos discursos.

>

Tanto a Lei de Tecnologia da Informação (ITA) quanto as Regras de TI são importantes para governar como as entidades e organizações indianas processam informações confidenciais, proteção de dados, retenção de dados e coleta de dados pessoais e outras informações confidenciais.

Outros setores indianos, como bancos, seguros, telecomunicações e saúde, também incluem disposições de privacidade de dados como parte de seus estatutos separados.

4. Regras SPDI indianas, 2011 para práticas de segurança razoáveis

Os regulamentos IS/ISO/IEC 27001 são identificados pelas Regras SPDI indianas, 2011, como padrões internacionais. Como tal, as empresas indianas não são obrigadas - mas são altamente aconselhadas - a implementar esses padrões, o que pode ajudar a atender às "práticas de segurança razoáveis" sob a jurisdição indiana.

As regras também podem dar aos indivíduos o direito de corrigir suas informações e impor restrições à divulgação, transferência de dados e medidas de segurança. Eles se aplicam apenas a entidades corporativas, mas não são responsáveis pela autenticidade de dados pessoais confidenciais (SPD), como orientação sexual, registros médicos e histórico, informações biométricas e senhas.

5. Política Nacional de Segurança Cibernética, 2013

Em 2013, o Departamento de Eletrônica e Tecnologia da Informação (DeitY) lançou a Política Nacional de Segurança Cibernética de 2013 como uma estrutura de segurança para organizações públicas e privadas se protegerem melhor contra ataques cibernéticos.

O objetivo por trás da Política Nacional de Segurança Cibernética é criar e desenvolver políticas mais dinâmicas para melhorar a proteção do ecossistema cibernético da Índia. A política visa criar uma força de trabalho de mais de 500.000 profissionais especializados em TI nos próximos cinco anos por meio do desenvolvimento e treinamento de habilidades.

Os outros objetivos do NSCP incluem:

  • Criando um ciberespaço resiliente e seguro para indivíduos, organizações e governo
  • Monitoramento, proteção de infraestrutura e informações cibernéticas, redução de vulnerabilidades e fortalecimento das defesas contra ataques cibernéticos
  • Criação de estruturas, recursos e estratégias de gerenciamento de vulnerabilidades para minimizar, prevenir mais rapidamente ou responder a incidentes cibernéticos e ameaças cibernéticas
  • Incentiva as organizações a desenvolver políticas de segurança cibernética alinhadas com metas estratégicas, fluxos de trabalho de negócios e melhores práticas gerais
  • Criar simultaneamente estruturas institucionais, pessoas, processos, tecnologia e cooperação para minimizar os danos causados pelo cibercrime

6. Regras de TI, 2021

Em 25 de fevereiro de 2021, o Ministério de Eletrônica e Tecnologia da Informação introduziu as Regras de Tecnologia da Informação (Diretrizes para Intermediários e Código de Ética de Mídia Digital) de 2021 como substituto das Regras de TI de 2011. Pouco mais de um ano depois, em 6 de junho de 2022, os projetos de emendas recém-atualizados foram publicados pelo MeitY indiano (Ministério de Eletrônica e TI) para melhorar a Lei de TI para acompanhar os desafios do cenário digital em constante mudança.

As novas emendas visam permitir que usuários comuns de plataformas digitais busquem compensação por suas queixas e exijam responsabilidade quando seus direitos forem violados, bem como instituir due diligence adicional nas organizações.

As regras de TI de 2021 também distinguem entre intermediários de mídia social menores e mais significativos com base no número de usuários e colocam uma carga muito maior sobre os intermediários de mídia social maiores em relação à proteção de dados pessoais.

Além disso, há mudanças nos requisitos de privacidade e transparência dos intermediários, como:

  • Exigir que os intermediários informem os usuários sobre regras e regulamentos, política de privacidade e termos e condições de uso de seus serviços
  • Exigir que os intermediários designem um oficial de reclamações que possa abordar e resolver reclamações de usuários sobre violações das Regras de TI, 2021

Leia mais sobre os mais recentes projetos de emendas às Regras de TI 2021 aqui.

7. Estratégia Nacional de Segurança Cibernética 2020

A Estratégia Nacional de Segurança Cibernética de 2020 foi o tão esperado plano de acompanhamento do governo indiano para melhorar ainda mais os esforços de segurança cibernética. Embora o plano ainda esteja em desenvolvimento e pendente de revisão pelo Secretariado do Conselho de Segurança Nacional, o principal objetivo do plano é servir como orientação oficial para as partes interessadas, formuladores de políticas e líderes corporativos para prevenir incidentes cibernéticos, terrorismo cibernético e espionagem no ciberespaço.

A estratégia visa melhorar a qualidade da auditoria de segurança cibernética para que as organizações possam realizar melhores análises de sua arquitetura e conhecimento de segurança cibernética. A esperança é que, uma vez implementada a política, os auditores cibernéticos melhorem seus padrões de segurança, incentivando as organizações a intensificar seus programas de segurança.

8. KYC (Conheça seu cliente)

Os processos KYC (Know Your Customer) são padrões e práticas usados em todo o mundo e exigidos pelo RBI (Reserve Bank of India). KYC é o rastreamento e monitoramento da segurança dos dados do cliente para maior proteção contra fraudes e roubo de credenciais de pagamento. Exige que bancos, seguradoras e quaisquer outras empresas de pagamento digital que realizem transações financeiras verifiquem e identifiquem todos os seus clientes.

Para conformidade adequada com KYC e para atender aos requisitos regulatórios financeiros, as empresas precisam incluir as seguintes etapas de segurança cibernética:

  • Ter um teste de questionário baseado em conhecimento para verificar as identidades dos clientes
  • Implementação de métodos de verificação KYC de pré-triagem, como verificação de e-mail, verificação por telefone, inteligência de ID de dispositivo e dados de reputação, entre outros
  • Uso de tecnologia baseada em IA e aprendizado de máquina para verificar documentos e identidades emitidas pelo governo
  • Usando biometria como impressão digital e reconhecimento facial para verificar a identidade de um usuário
  • Manter um banco de dados de clientes para fins de verificação

As empresas com políticas KYC garantem aos clientes que possuem as soluções relevantes de gerenciamento de conformidade e antifraude para proteger suas identidades digitais e dados de transações de pagamento. Com o KYC Compliance, os comerciantes indianos podem ficar tranquilos com o processamento de pagamentos seguro e protegido, cumprindo os regulamentos do SEBI, bem como estabelecendo confiança com os clientes.

Por não seguirem as instruções do KYC, bancos, empresas e corporações podem enfrentar uma penalidade monetária de ₹ 2 lakh (₹ 200,000).

9. Lei do Banco da Reserva da Índia de 2018

O Reserve Bank of India introduziu a Lei RBI em 2018, que detalha as diretrizes e estruturas de segurança cibernética para UCBs (bancos cooperativos urbanos) e operadores de pagamento.

A Lei RBI de 2018 visa:

  • Criar padrões que equalizem as estruturas de segurança de bancos e operadoras de pagamento de acordo com a forma como eles se adaptam às novas tecnologias e à digitalização
  • Obrigar as instituições de crédito a criarem e apresentarem os seus planos de gestão de cibercrises
  • Obrigar os bancos a implementar políticas de segurança da informação aprovadas pela empresa (aprovadas pelo conselho) que descrevam com sucesso a preparação para a segurança cibernética
  • Exigir que os bancos implementem notificações obrigatórias de violação, nas quais os UCBs devem detectar e relatar prontamente incidentes de segurança cibernética ao RBI dentro de 2 a 6 horas após a descoberta para responder melhor aos ataques
  • Incentive os bancos a agendar regularmente auditorias de avaliação de ameaças
  • Ajude os bancos a implementar seus próprios domínios de e-mail com tecnologia anti-phishing e anti-malware, bem como aplicar controles de segurança DMARC

Todos os bancos indianos devem seguir essas diretrizes para padronizar as estruturas de segurança cibernética de processamento de pagamentos e combater as complicações de negócios cada vez maiores em um ambiente digital.

A Lei RBI de 2018 impõe multas aos bancos e ao setor financeiro em casos de não conformidade com seus requisitos de segurança cibernética. As penalidades podem ser de até ₹ 10 lakh (₹ 1,000,000).

10. Lei de Proteção de Dados Pessoais Digitais de 2023 (DPDP)

Em 11 de agosto de 2023, o governo central indiano aprovou sua tão esperada Lei de Proteção de Dados Pessoais Digitais (DPDP). A lei empresta sua ampla definição de dados pessoais do Regulamento Geral de Proteção de Dados (GDPR) da UE e visa proteger os princípios de dados e restringir as atividades dos fiduciários de dados.

O DPDP obriga os fiduciários de dados a:

  • Nomear ou envolver apenas processadores de dados terceirizados que sejam obrigados a seguir os procedimentos do DPDP por um contrato legal
  • Certifique-se de que os dados pessoais estejam completos e precisos antes de usá-los para tomar uma decisão que afete o principal dos dados ou antes de participar da transferência de dados pessoais
  • Implementar medidas organizacionais e protocolos técnicos necessários para garantir a conformidade contínua
  • Implementar salvaguardas e auditorias de segurança razoáveis para proteger os dados pessoais e evitar violações de dados pessoais
  • Notifique todas as entidades de segurança de dados afetadas e o Conselho de Proteção de Dados sobre toda e qualquer violação de dados conhecida
  • Apagar e destruir com segurança todos os dados pessoais após a retirada do consentimento de um titular de dados (a menos que a retenção de tais dados seja exigida por lei)

Além disso, o DPDP estabeleceu o Conselho de Proteção de Dados da Índia e delineou uma nova classe de fiduciários de dados. Fiduciários de dados significativos são organizações determinadas a representar um risco maior com base em uma avaliação do governo. As organizações determinadas como fiduciárias de dados significativas devem cumprir requisitos adicionais.

Principais órgãos reguladores de segurança cibernética indianos

Para fazer cumprir os regulamentos de segurança cibernética, esses são os principais órgãos reguladores que garantem que as leis e padrões sejam mantidos por todas as organizações indianas.

1. Equipe de Resposta a Emergências de Computador (CERT-In)

Oficializada em 2004, a Equipe de Resposta a Emergências de Computadores (CERT-In) é a agência nodal nacional para coletar, analisar, prever e disseminar incidentes não críticos de segurança cibernética.

Além de relatar e notificar incidentes de segurança cibernética, a diretiva de segurança cibernética CERT-In também ajuda a emitir diretrizes para organizações indianas, oferecendo as melhores práticas de segurança da informação para gerenciar e prevenir incidentes de segurança cibernética.

A Jurisdição das Regras de Tecnologia da Informação de 2013 é responsável por exigir todos os data centers, provedores de serviços e seus intermediários indianos. Todos os intermediários são obrigados a relatar quaisquer incidentes de segurança cibernética ao CERT-In.

O CERT-In atua como a principal força-tarefa que:

  • Analisa ameaças cibernéticas, vulnerabilidades e informações de alerta
  • Responde a incidentes de segurança cibernética e violações de dados
  • Coordena a resposta adequada a incidentes cibernéticos e conduz perícia para tratamento de incidentes
  • Identificar, definir e tomar medidas adequadas para mitigar os riscos cibernéticos
  • Recomendar melhores práticas, diretrizes e precauções às organizações para gerenciamento de incidentes cibernéticos para que possam responder de forma eficaz

As funções e funções do CERT-In foram posteriormente esclarecidas em uma emenda adicional nas Regras de Tecnologia da Informação (Equipe Indiana de Resposta a Emergências de Computadores e Maneira de Executar Funções e Deveres) (Regras de TI, 2013).

CERT-In Mais novo prazo de relatório de violação de dados de 6 horas

Os regulamentos mais recentes do CERT-In abordam os relatórios de segurança cibernética, exigindo que todas as empresas, provedores de serviços, intermediários, data centers e empresas indianas relatem incidentes de segurança cibernética identificados e violações de dados dentro de um prazo de 6 horas.

No entanto, muitas organizações indianas desaprovaram o requisito impossível, afirmando que a curta janela de relatório é insuficiente para responder a incidentes de segurança cibernética com um relatório detalhado.

Apesar da reação, as organizações afetadas que não seguirem esses regulamentos enfrentam até um ano de prisão, penalidades significativas e multas por não conformidade se não relatarem incidentes de segurança cibernética ao CERT-In.

2. Centro Nacional de Proteção de Infraestrutura de Informações Críticas (NCIIPC)

O Centro Nacional de Proteção de Infraestrutura de Informação Crítica (NCIIPC) foi estabelecido em 16 de janeiro de 2014 pelo governo indiano, sob a Seção 70A da Lei de TI de 2000 (alterada em 2008).

Com sede em Nova Delhi, o NCIIPC foi nomeado como a agência nodal nacional em termos de Proteção de Infraestrutura de Informação Crítica. Além disso, o NCIIPC é considerado uma unidade da Organização Nacional de Pesquisa Técnica (NTRO) e, portanto, está sob o Gabinete do Primeiro Ministro (PMO).

O Parlamento indiano divide a segurança cibernética em dois segmentos: "Infraestrutura Não Crítica (NCI), pela qual o CERT-In é responsável, e "Infraestrutura de Informação Crítica (CII"), pela qual o NCIIPIC é responsável. O CII é definido pelo Parlamento indiano como "instalações, sistemas ou funções cuja incapacidade ou destruição causaria um impacto debilitante na segurança nacional, governança, economia e bem-estar social de uma nação. ”

O NCIIPC é obrigado a monitorar e relatar ameaças em nível nacional à infraestrutura crítica de informações. Os setores críticos incluem:

  • Potência e energia
  • Bancos, serviços financeiros e seguros
  • Telecomunicações e informação
  • Transporte
  • Governo
  • Empresas estratégicas e públicas

O NCIIPC implementou com sucesso várias diretrizes para orientação de políticas, compartilhamento de conhecimento e conscientização sobre segurança cibernética para que as organizações conduzam medidas preventivas desses importantes setores, especialmente em energia e energia. As diretrizes representam o primeiro meio de regulamentação de tais setores e exigem "cumprimento obrigatório por todos os entes responsáveis. ”

Além disso, o governo indiano aprovou o Esquema do Setor de Distribuição Renovado em agosto de 2021. O principal objetivo deste regulamento é melhorar as operações das DISCOMs (empresas de distribuição), aprimorando a infraestrutura cibernética com soluções baseadas em IA. Em última análise, isso ajudará organizações e empresas a atingir os objetivos da estrutura.

3. Tribunal de Apelação de Regulamentos Cibernéticos (CRAT)

De acordo com a Lei de TI de 2000, Seção 62, o Governo Central da Índia criou o Tribunal de Apelação de Regulamentos Cibernéticos (CRAT) como um órgão governamental principal e autoridade para apuração de fatos, recebimento de evidências cibernéticas e interrogatório de testemunhas.

Embora o CRAT não tenha tanta jurisdição para notificação de segurança cibernética quanto o CERT-In, o governo também serve para responder e agir em incidentes e violações de segurança cibernética relacionados.

De acordo com o Tribunal Civil e o Código de Processo Civil de 1908, o CRAT tem o poder de:

  • Receba evidências em depoimentos
  • Garantir que todas as evidências e registros eletrônicos e cibernéticos sejam apresentados ao tribunal
  • Aplicar, convocar e emitir comissões regulares para interrogar testemunhas, documentos e pessoas sob juramento
  • Revise as decisões finais do tribunal para resolver incidentes e casos
  • Aprovar, indeferir ou declarar os pedidos do inadimplente como ex-parte

4. Conselho de Valores Mobiliários (SEBI) da Índia

Estabelecido em 1988, o SEBI (Securities and Exchange Board of India) é o órgão regulador dos mercados de valores mobiliários e commodities na Índia sob o Ministério das Finanças. Atua como uma entidade governamental executiva com poderes estatutários graças à Lei SEBI de janeiro de 1992. O SEBI garante que as necessidades dos intermediários de mercado, investidores e emissores de valores mobiliários sejam atendidas, incluindo a proteção de seus dados, dados de clientes e transações.

Em abril de 2022, o SEBI tinha seis membros do comitê que são obrigados a supervisionar a orientação para iniciativas de segurança cibernética para o mercado indiano e aconselhar o SEBI a desenvolver e manter os requisitos de segurança cibernética seguindo os padrões globais da indústria.

Além disso, o SEBI também se comunica com outras agências como CERT-In, NCSC (Centro Nacional de Coordenação Cibernética), DoT (Departamento de Telecomunicações) e Ministério de Eletrônica e Tecnologia da Informação (MeitY).

O SEBI implementou diretrizes que se aplicam a organizações dentro de seu escopo - corretoras de valores, bolsas de valores, AMCs (empresas de gestão de ativos), fundos mútuos e participantes depositários, entre outros.

As penalidades por não conformidade com o SEBI, por exemplo, violação dos regulamentos de divulgação, são impostas com uma multa de ₹ 20.000 por dia até que as empresas atinjam a conformidade.

5. Autoridade Reguladora e de Desenvolvimento de Seguros (IRDAI)

O setor de seguros da Índia é regulamentado pelo IRDAI, que emite diretrizes de segurança da informação para seguradoras e aborda a importância de manter a integridade e a confidencialidade dos dados.

Com estas novas Diretrizes de Informação e Segurança Cibernética para Seguradoras, o IRDAI:

  • Obriga as seguradoras a ter um CISO (diretor de segurança da informação)
  • Monta um comitê de segurança da informação
  • Cria planos para gerenciar crises cibernéticas
  • Cria e implementa programas de garantia de segurança cibernética
  • Implementa métodos adequados para proteger dados
  • Mantém os processos de identificação e mitigação de riscos

O setor de seguros da Índia se concentra principalmente em áreas de maior risco, incluindo ataques de ransomware, fraudes de transações, vazamentos de dados e riscos de violação de direitos de propriedade intelectual. De acordo com um relatório da Sophos, 68% das organizações indianas foram afetadas por ransomware e recorreram ao pagamento de resgate para recuperar seus dados.

Em 9 de outubro de 2022, o IRDAI introduziu uma estrutura aprimorada de segurança cibernética focada nas principais preocupações de segurança das seguradoras. O objetivo é incentivar as seguradoras a estabelecer e manter um plano robusto de avaliação de risco, melhorar os métodos de mitigação de ameaças internas e externas, prevenir ataques de ransomware e outros tipos de fraude e implementar uma continuidade de negócios forte e robusta.

Dependendo da gravidade da violação, seguradoras e empresas podem ser penalizadas em mais de ₹ 1 lakh (₹ 100,000). Se as seguradoras não protegerem os dados, elas podem ser multadas em até ₹ 5 crores por pessoa afetada. As Diretrizes do IRDAI para Informações e Segurança Cibernética para Seguradoras se aplicam a todas as seguradoras regulamentadas pela Regulamentação de Seguros.

6. Autoridade Reguladora de Telecomunicações da Índia (TRAI) e Departamento de Telecomunicações (DoT)

A Autoridade Reguladora de Telecomunicações da Índia, juntamente com o DoT (Departamento de Telecomunicações), endureceu os regulamentos para a privacidade dos dados do usuário e como eles são usados.

A TRAI é um órgão regulador e o DoT é um departamento executivo separado do Ministério das Comunicações da Índia. Embora a TRAI tenha recebido mais poderes regulatórios, ambas trabalham juntas para governar e regular as operadoras de telefonia e os provedores de serviços.

Em 16 de junho de 2018, a TRAI divulgou recomendações para provedores de telecomunicações sobre "Privacidade, Segurança e Propriedade dos Dados no Setor de Telecomunicações. " Nas diretrizes mais recentes, a TRAI aborda as responsabilidades mais recentes que regem os dados do consumidor, porque a maioria das transações digitais na Índia é feita por meio de telefones celulares.

A TRAI aborda a proteção de dados com os seguintes objetivos:

  • Definir e compreender o escopo de "Dados pessoais, propriedade e controle de dados", ou seja, os dados dos usuários dos provedores de serviços de telecomunicações
  • Compreender e identificar os "Direitos e Responsabilidades dos Controladores de Dados"
  • Avaliar e identificar a eficiência de como os dados são protegidos e quais medidas de proteção de dados estão atualmente em vigor no setor de telecomunicações
  • Identificar e resolver problemas críticos relacionados à proteção de dados
  • Coletar e controlar dados de usuários de serviços TISP (provedores de serviços de informações de tráfego)

O DoT colaborou com o ministério de TI indiano para impor regras de consentimento de dados em camadas que protegem o processamento de dados pessoais. Isso dá aos usuários a liberdade de decidir se consentirão ou não com o uso de seus dados pessoais e o direito de retirar o consentimento a qualquer momento.

As novas regras estabelecem que as organizações e empresas terão apenas que coletar os detalhes necessários do usuário e que os dados podem ser retidos apenas pelo tempo necessário. Além disso, os provedores de serviços de telecomunicações indianos estão em conformidade com padrões comuns como ISO 27000, 3GPP e 3GPP2 e ISO/IEC 15408.