India menunda komitmen pendaftaran penyedia VPN selama tiga bulan

Pemerintah India memberi penyedia layanan VPN dan cloud tambahan tiga bulan untuk memenuhi persyaratan pendaftaran. Aturan baru akan mulai berlaku pada Senin. Dengan menunda pemberlakuan tiga bulan, India ingin memberi perusahaan lebih banyak waktu untuk mematuhi aturan baru.

Untuk menulis situs teknologi Amerika Ambil Crunchkan

India mengumumkan aturan ketat untuk menebang pohon

Pada akhir April, India mengatakan undang-undang baru untuk VPN, VPS, pusat data, dan penyedia cloud sedang dalam proses. Pemerintah mewajibkan perusahaan-perusahaan ini untuk menyimpan catatan sistem mereka mulai 27 Juni. Mereka harus mencatat, antara lain, siapa yang menggunakan layanan mereka, tanggal mulai dan berakhir langganan, alamat IP asli pengguna, alamat email, detail kontak, transaksi keuangan, dan tanggal pembatalan akun.

Pemerintah India menuntut agar tanggal di atas menjadi lima tahun setelah penghentian akun. File log sistem komputer harus disimpan selama 180 hari di India. Jika perlu, data ini harus diserahkan ke Tim Tanggap Darurat Komputer India (CERT-In). Terakhir, perusahaan teknologi diharuskan melaporkan masalah keamanan yang serius, serangan dunia maya, pelanggaran data, atau pencurian data dalam waktu enam jam.

Setelah keputusan itu, satu demi satu penyedia VPN mengumumkan penghapusan server lokasi mereka di India. Dimulai dengan ExpressVPN, diikuti oleh Surfshark dan Private Internet Access (PIA).

Perusahaan teknologi takut ‘melemahnya keamanan siber dan privasi online’

Menurut TechCrunch, CERT-In mengumumkan Senin malam bahwa penegakan aturan logging akan ditunda tiga bulan. Artinya, aturan baru itu tidak akan berlaku hingga 25 September. Batas waktu itu dimundurkan karena perusahaan meminta “perpanjangan waktu” dalam surat bersama.

Surat tersebut telah ditujukan kepada CERT-In dan Kementerian Elektronika dan Teknologi Informasi. Para penandatangan menuntut agar pemerintah tidak menerapkan “pedoman keamanan siber yang berbahaya.” Mereka menulis: “Instruksi saat ini secara tidak sengaja akan melemahkan keamanan siber dan komponen kritisnya, privasi online.”

Para penandatangan melanjutkan cerita mereka. “Kami menyadari perlunya kerangka kerja untuk melaporkan insiden dunia maya, tetapi kerangka waktu yang ditetapkan dalam instruksi pelaporan dan penyimpanan data yang berlebihan akan memiliki implikasi praktis yang negatif dan menghambat efektivitas, sementara mengorbankan privasi online dan membahayakan keselamatan.”

Menteri menggambarkan kewajiban pelaporan sebagai ‘sangat murah hati’

Rajiv Chandrasekhar, menteri elektronik dan teknologi informasi, mengatakan bulan lalu bahwa penyedia VPN yang ingin menganonimkan penggunanya “harus menarik diri” dari India. Dia juga menjelaskan bahwa dia tidak ingin membahas aturan baru. Dia juga mengatakan dia menemukan persyaratan pelaporan enam jam “sangat murah hati”. Menkeu menegaskan bahwa Indonesia dan Singapura lebih ketat dalam hal kewajiban melapor.

Di Uni Eropa, perusahaan dan organisasi memiliki waktu 72 jam untuk melaporkan pelanggaran data atau “melaporkan pelanggaran data pribadi” kepada regulator nasional. Ini diatur dalam Pasal 33 Peraturan Perlindungan Data Umum (GDPR).