भाग 13.2 / 7

CERT-In Directions 2022

28 April 2022 के Directions का विस्तृत विश्लेषण - Applicability, 6-hour Reporting, Log Retention, VPN/Cloud Requirements।

13.2.1 Directions का Overview

28 April 2022 को CERT-In ने IT Act 2000 की धारा 70B(6) के तहत नए Directions जारी किए जो 28 June 2022 से प्रभावी हुए।

Directions का उद्देश्य

  • Incident Response: Faster और Better Incident Response
  • Log Availability: Investigation के लिए Logs उपलब्ध कराना
  • Accountability: Service Providers की जवाबदेही बढ़ाना
  • National Security: Cyber Security Posture मजबूत करना
Timeline

28 April 2022: Directions जारी | 28 June 2022: प्रभावी (MSMEs और Individuals को बाद में Extension दिया गया - 25 September 2022)

13.2.2 Applicability (किन पर लागू)

Covered Entities

  • Service Providers: Internet, Telecom, Network Service Providers
  • Intermediaries: IT Act के तहत Intermediaries
  • Data Centres: Data Storage और Processing Centres
  • Body Corporates: IT Act की परिभाषा के अनुसार
  • Government Organizations: सभी Government Entities

Special Categories

Categoryविशेष Requirements
VPN Service ProvidersKYC और Log Maintenance
Cloud Service ProvidersCustomer Data Retention
Virtual Asset ProvidersTransaction Records
Virtual Asset ExchangeKYC और Transaction Data
Custodian Wallet ProvidersCustomer और Transaction Records

13.2.3 Key Requirements

मुख्य आवश्यकताएं

RequirementTimeline/DurationDetails
Incident Reporting6 घंटेIncident Notice होने के 6 घंटे के भीतर
Log Retention180 दिनRolling basis पर India में Store
Time SynchronizationReal-timeNTP Server से ICT Clock Sync
POC DesignationOngoingPoint of Contact नियुक्त और Register
KYC (VPN/Cloud)5 वर्षSubscription समाप्त होने के बाद भी
6 Hour Rule

यह विश्व में सबसे कड़े Incident Reporting Timelines में से एक है। GDPR में 72 घंटे हैं, जबकि CERT-In Directions में केवल 6 घंटे

13.2.4 Point of Contact (POC)

POC की आवश्यकता

  • Designation: प्रत्येक Entity को POC Designate करना होगा
  • Registration: CERT-In के साथ POC Register करना होगा
  • Availability: POC CERT-In से Communication के लिए उपलब्ध रहे
  • Update: POC बदलने पर तुरंत Update करें

POC की जिम्मेदारियां

  • CERT-In से Communication का Single Point
  • Incident Reporting सुनिश्चित करना
  • CERT-In के Requests का Response देना
  • Internal Coordination

13.2.5 VPN और Cloud Service Providers

VPN Service Providers के लिए

  • KYC: Subscribers का पूर्ण KYC अनिवार्य
  • Records: Validated Names, Addresses, Contact
  • Purpose: VPN Hire करने का कारण
  • IP Addresses: Allocated IPs का Record
  • Retention: 5 वर्ष (Cancellation के बाद भी)

Cloud Service Providers के लिए

  • Customer Information: पूर्ण Customer Details
  • IP Addresses: IPs का Accurate Record
  • Tenure: Service Period की जानकारी
  • Ownership Patterns: Services का Ownership
5 Year Retention

VPN, Cloud, और Virtual Asset Providers को Customer Data 5 वर्ष तक रखना होगा, भले ही Customer ने Service Cancel कर दी हो।

13.2.6 Virtual Asset Service Providers

Covered Entities

  • Exchanges: Cryptocurrency Exchanges
  • Custodian Wallets: Wallet Service Providers
  • Trading Platforms: Virtual Asset Trading

Requirements

  • KYC: पूर्ण Customer Identification
  • Transaction Records: सभी Transactions का Record
  • Retention: 5 वर्ष
  • Availability: Law Enforcement को उपलब्ध कराना

मुख्य बिंदु (Key Takeaways)

  • Date: 28 April 2022 को जारी, 28 June 2022 से प्रभावी
  • 6 Hours: Incident Reporting की Strict Timeline
  • 180 Days: Log Retention Period
  • 5 Years: VPN/Cloud KYC Retention
  • POC: Point of Contact Mandatory
  • NTP Sync: Time Synchronization अनिवार्य