Mandar Patil, Kurucu Üye ve SVP – Küresel Satış ve Müşteri Başarısı, Cyble
02: 17’de SoC telefon yanıyor – tanıdık olmayan bir alan, çalışan KYC verilerinin dilimine benzeyen şeyleri ele geçirmeye başladı. Doğal olarak bir Pazar. IP şerbetçiotu ve kimlik bilgisi listeleri ile kalabalık ekranlar ve analistlerin yarı bitmiş kahveleri, gevşek ekran görüntülerinden pastebinlere, aniden 500 geri dönen bir satıcı portalına dönerken soğuyor.
O karanlık, kalabalık dakikada iki saat var. Biri saldırgana aittir ve yayından çıkmadan önce ne kadar para kazanabileceklerini ölçer. Diğeri, düzenleyicinin – süren, hassas, giderek daha fazla affedici.
Hindistan’ın Dijital Kişisel Veri Koruma (DPDP) Yasası, 2023 birkaç yıldır kitaplarda. Şimdi değişiklikler, gece yarısı “açma” dan daha az teatral ve daha çok canlanan bir kontrol odası gibi. Prosedürel ışıklar yeşile döner, engellenmeden yollar, çekicilik yolları yanar ve görevler faaliyete geçer. 28 Eylül 2025 civarında bilgilendirilmesi beklenen DPDP kuralları ile, Kanun çevresinde norm belirleme iskele, özellikle ihlal işleme, rıza yönetişimi ve yeni Veri Koruma Kurulu’nun (DPB) günlük operasyonları için ciddi bir şekilde işlev görmeye başlar.
Eğer eylem vaatse, kurallar kablo şemasıdır. Hindistan’ın Kuzey Yıldızını değiştirmiyorlar-hükmedeki işlemleri ölçekte-ancak DPO’lara ve Cisos’a ne kadar hızlı hareket edileceğini, ne kaydedileceğini, kime bildirileceğini ve tahta sorduğunda nasıl kanıtlanacağını anlatıyorlar.
Aslında ilk önce ne açar
Kurallar, DPB’nin pratik yaşamını göz önünde bulundurur: dijital ofis işlevi, toplantı süreçleri, sorular için zaman çizelgeleri ve temyiz TDSAT’a (telekom anlaşmazlıkları çözme ve temyiz mahkemesi) akıyor. Başka bir deyişle, yönetim kurulu modern bir karar ajansı gibi çalışması gereken araçları alır. Taslak metin, kurulun dijital işlemlerini, nezaket ve oylamayı, altı aylık soruşturma penceresini (gerekçeli adımlarla genişletilebilir) detaylandırır ve temyiz mekanizması TDSAT’a (dijital olarak dosyalandı) – şirketler ve şikayetçiler şikayetten temyiz için açık bir yol.
En önemlisi, Yasa uyarınca ceza mimarisi, ilk korkular kadar da olmaya devam ediyor. DPDP, kurulun en ciddi turlar için örnek başına 250 crore’a kadar para cezaları almasına izin verir (özellikle kişisel veri ihlallerini önlemek için “makul güvenlik güvenceleri” uygulanamaması). Bu tavan retorik değil – yasanın programında açıktır ve tarafsız izleyiciler ve yaygın olarak özetlenir ve yasal analiz.
İtirazlar TDSAT’a gider. Bu bir söylenti ya da bir blog söylenti değirmeni değil – eylemin yapısına pişiriliyor: Kurulun emirleri TDSAT’a itiraz edilebilir ve Sınırlı Mahkeme’ye daha fazla başvurulur. Telekom Mahkemesi olarak bir öğrenme eğrisi bekleyin Gizlilik Beat’e adım atın, ancak yol açıktır.
Ayrıca Oku: Hindistan, halkın konsültasyonu için taslak veri koruma kurallarını yayınladı
İhlal Bildirimi: Eski bir metronomlu yeni koreografi
Kanun uyarınca, veri güvenleri kişisel veri ihlali durumunda hem DPB’yi hem de etkilenen kişileri bilgilendirmelidir. DPDP Yasası kendisi hiçbir zaman sabit bir son teslim tarihi reçete etmedi ve taslak kurallar, sert bir zamanlayıcıdan ziyade “gecikmeden” ifadesini kullanarak pragmatik damarda devam ediyor. Pratik olarak, panolar günler değil, saatler olarak “gecikmeden” okuma eğilimindedir.
Şimdi Hindistan’ın sertifika rejimini kapsıyor-2022’den beri işaretleyen metronom. Çok çeşitli siber olaylar için Cert-in, “fark ettikten” veya bir olaydan haberdar edildikten sonraki 6 saat içinde raporlamayı gerektiriyor. Bu yükümlülük gitmedi; DPDP çerçevesi buna ek olarak oturur. İhlal Yanıt Runbook’unuz iki paralel bildirim almalıdır: biri Cert-In (6 saat) ve diğeri DPB/Bireylere (taslak kurallar altında, bildirilen metinden okunacak son zaman çizelgeleri). İkisini karıştırmayın
Sonuç: Yalnızca mağdurlar şikayet ettiğinde ihlalleri keşfederseniz, zaman çizelgesini zaten kaybettiniz. Altı saatlik ve “gecikmeden” pencereleri izlemenin tek yolu:
- Sürekli algılama (ağ, uç nokta, kimlik ve karanlık web yüzeyleri arasında)
- Önceden onaylanmış iletişim şablonları ve karar ağaçları
- Bir soruşturmada ayakta duran kanıt yakalama
Onay Yöneticileri: ‘Birlikte çalışabilir onay katmanı‘ Gerçekleşiyor
Kurallar Onay Yöneticisi Kayıt ve Yükümlülükleri: Kurul, kullanıcıların birden fazla veri güvenine vermelerini, yönetmesini, geri çekmesini ve denetlemelerini sağlayan platformları kaydedebilir; Ayrıca, uyumsuzluk kayıtlarını askıya alabilir veya iptal edebilir. Programlar, şeffaflık görevlerini, denetim mekanizmalarını, çıkar çatışması korkuluklarını ve kayıt tutmayı özetlemektedir (örneğin, en az yedi yıl boyunca onay günlüklerini korumak). Bildirildikten sonra, bu birlikte çalışabilir katman temiz bildirimler ve izlenebilir, iptal edilebilir rıza için teşvikleri sıkılaştırmaya başlamalıdır.
DPOS için bu, müşteriye bakan UX önceliklerini bir gecede değiştirir. “Güzel” artık yeterli değil – tutarlı, doğrulanabilir, taşınabilir ve kanıtlanabilir olmalıdır.
1. günde her şey inmez
Bazı yükümlülükler ilk 12-24 ay boyunca, özellikle hükümetin önemli veri güvenleri (SDF) olarak belirlediği kuruluşlar için aşamalı olacaktır. SDFS Omuz Ek Görevleri: Hindistan’da kıdemli bir DPO atayın, yüksek riskli işleme, periyodik bağımsız denetimler için Veri Koruma Etki Değerlendirmeleri (DPIA’lar) ve sığır eti şikayet ve düzeltme işlemlerinin sürdürülmesi. Sınır ötesi transferlere negatif liste yaklaşımı (hükümetin özellikle kısıtladığı ülkeler hariç varsayılan olarak izin verilen transfer) bildirimler geldikçe daha netleşecektir.
Nihai kurallar ortaya çıktıkça izlenecek iki tema:
- Çocuk verileri: Doğrulanabilir ebeveyn rızası ve yaş kapma standartları taslaktaki özgüllükle açıklanmıştır ve onay kutusu ritüelleri yerine muhtemelen teknik kontrollere (örn. Dijital dolap belirteçleri) ihtiyaç duyacaktır.
- Veri saklama, silme istemleri ve günlükler: Kurallar, algılama ve araştırmayı desteklemek için silme için ayrıntılı tetikleyiciler ve bir yıllık minimum log tutma-pratik olay tepkisine doğrudan bir baş sallama.
Hint DPO’ları (ve onların panoları) için bir gün hayatta kalma kiti
- Harita ve en aza indirin. Veri akışlarınızı üç sayfada çekemezseniz – ne toplar, neden, nereye gider, kim işler, sildiğinizde – bir soruşturma yerine keşiften kurtulmazsınız. Bildirimler, rızalar ve SDF riskli eşleme ile başlayın. (Nüfus ölçeğinde çalışırsanız, ileri profil oluşturma veya finansal sisteme dokunursanız, SDF konuşmalarını bekleyin.)
- İki bildirim kası oluşturun. Hard Wire Cert-In’in IR Playbook’larınıza altı saatlik zamanlayıcısı ve ayrı ayrı: teknik soruları cevaplayabilecek bir kişiyle “Gecikmeden” şablonlu DPB + Data-Principal Bildirimleri. Bir olaydan sonra bunları hazırlamak için beklemeyin.
- “Makul güvenlik önlemlerini” bir terim değil, yasal bir kontrol olarak ele alın. Kanunun en ağır cezası (la 250 crore’a kadar) burada başarısızlıklara bağlı. Dinlenme ve transit olarak şifreleme ve tokenizasyonu düşünün; kimlik segmentasyonu; izleme ve log tutma; tedarikçi sertleştirme; ve olay prova. Makul olma bağlamsaldır, ancak ihmal keşfedilebilir.
- Rıza yöneticilerine hazırlanın. Web ve uygulama yığınlarınız standart rıza sinyallerini alamazsa ve talep üzerine makine tarafından okunabilir günlükleri ortaya çıkaramazsa, şikayet işlemesinde ve sonunda kurul işlemlerinde hissedersiniz.
- Gizliliği iş avantajı ile hizalayın. Kurul uyumsuzluğu cezalandıracak, ancak güven 1,4 milyar kullanıcı bir pazarda daha büyük ödül. Tasarlanan gizlilikteki erken hareket edenler, reklamı yapacak ve üzerine dönüştürecek. Yasa size bir sopa verir; havuç al.
Cyble’ın uyduğu (ve dikkatli olması gereken yer)
Bu Cyble tarafından Cyber Express ve nötr gözlemcileriz gibi davranmayacağım. Vantage noktamız, ana akımlara çarpmadan önce ilk önce karanlık ağda çiçek açmayı izlemek, aynı dersi ortaya çıkarır: Geç algılamaya başlarsanız araştırma süresini sıkıştıramazsınız. Küratörlü ihlal istihbaratı ile eşleştirilen karanlık web pazarlarının ve kapalı kanalların sürekli izlenmesi, DPO’ların şu anda yaşadığı iki saat olan “NOTICE Saati” ve “EVENTSEDEDE” i maddi olarak kısaltır.
“Sadece” karanlık web istihbaratının sizi cezalardan kurtarabileceğini söylemek cazip gelebilir. Uyum böyle çalışmaz. Alçakgönüllülükle ve sıkıca söyleyebileceğimiz şey, kara ağda, mesajlaşma uygulamaları, ihlal pist ekosistemleri ve kimlik bilgisi dökümlerinde gerçek zamanlı sızıntı görünürlüğü olan kuruluşların, kağıt üzerinde imkansız görünen raporlama pencerelerini sürekli olarak karşılamasıdır, çünkü ilk sinyalleri fidye e-postasından daha erken gelmiştir. Ekiplerimiz, sektörel müdahale ekipleri ve ulusal olay kanallarıyla zaten (yasal ve uygun şekilde) irtibat kuruyor, böylece müşteriler DPB anlatısını “gecikmeden” birleştirirken Cert-In’in altı saatlik yükselişlerini karşılayabiliyorlar.
Daha önce buradaydık. Daha önceki yıllarda, Hindistan’ın kişisel veri yasası hala komitede olduğunda, Cyble, uygulayıcı perspektiflerini parlamento süreciyle paylaşmaya davet edildi, bu da iç gizlilik konuşmasının her zaman cephe zekası ve müdahale seslerini içerdiğini hatırlattı.
’72-HAYRAYA ‘
Bu hafta koridorlarda “72 saat” duyacaksınız. Bu bir GDPR refleksi ve bazı sektörel belgeler ve satıcı yazıları onu yansıtıyor. DPDP Yasası, 72 saatlik zor bir ihlal son tarihi içermiyor ve DPDP kuralları, kurul ve etkilenen bireylere yönelik “gecikmeden” diyor. Nihai kurallar veya rehberlik belirli bir zamanlayıcıya girebilir mi? Muhtemelen. Ancak bugünün güvenli okuması: cert-in = 6 saat, dpdp = derhal/gecikmeden. Daha katı zamanlayıcı için tasarım ve yanlış olmayacaksınız.
Uzun Yol: Çocuklar, DPIA’lar ve Transferler
Doğrulanabilir ebeveyn rızasının pop-up’ların ötesinde gelişmesini bekleyin; Taslak eskizler, bir çocuk hesabı oluşturulmadan önce yetişkin kimliğini onaylamak için dijital dolap veya benzeri güven çerçevelerini kullanan akar. DPIA’lar SDF’ler için raf işi olmayı bırakacaktır; Kurul sormadan önce risk seçimlerini haklı çıkaran belgeler olacaklar. Ve sınır ötesi transferler, olumsuz bir liste yaklaşımı altında resmileştirir: kısıtlı olarak bildirilen ülkeler dışında, düzenleyicilerin kendi raylarını eklediği sektörel kaplamalar dışında varsayılan olarak izin verilir.
Bunların hiçbiri icracı değildir. İtirazlar TDSAT’a inerken, dava kanununu “makul korumaların”, “gecikmeden” ve “DPIA kalitesi” nin ne anlama geldiğini göreceğiz-Hindistan’da ödünç alınan ifadeler değil, ancak Hindistan standartları olarak Hint mahkemelerinde doğdu.
Önlediğiniz ihlal haber vermeyecek. Erken tespit ettiğiniz ihlal, içsel olarak, yakın bir kaçırma gibi hissedecektir. Temiz ve hızlı bir şekilde bilgilendirdiğiniz ihlal acıyor, ama öğretecek. Hindistan’ın gizlilik rejimi büyüyor – bazılarından bazılarından daha kaslı bir kural. DPB ona çalışan bir omurga verir; TDSAT, bir emniyet valfi; Cezalar, keskin bir hafıza.
DPO’lar ve panolar için hedef düzenleyiciyi aşmak değil. Kendi gecikmenizi aşmaktır – ilk sinyal ile ilk belirleyici eylem arasındaki zamanı koruyun. Bu boşlukta itibarlar yaşıyor veya ölüyor.