Principales normativas de ciberseguridad en la India

La infraestructura digital en constante expansión de la India a raíz de la pandemia ha aumentado la demanda de mandatos regulatorios nuevos, actualizados y mejorados para fortalecer la ciberseguridad. Se han producido incidentes de ciberseguridad desenfrenados todas las semanas, lo que alarma a empresas, organizaciones e individuos en toda la India.

En 2022, los costes promedio de violación de datos en la India alcanzaron un récord de $2,2 millones, lo que representa un aumento del 6,6% con respecto a 2021 y un asombroso 25% con respecto al coste promedio de 14 millones de rupias en 2020.

En 2021, los incidentes de ciberseguridad involucraron incidentes relacionados con accesos no autorizados y datos personales comprometidos. Por ejemplo, en el caso de Air India, los archivos de datos de más de 4,5 millones de clientes se filtraron en un ciberataque. En otro incidente, se filtraron datos personales de alrededor de 180 millones de usuarios que fueron robados directamente de la base de datos de Domino’s India.

En respuesta a la rápida transformación digital, las leyes arcaicas de ciberseguridad y la falta de leyes claras e integrales sobre privacidad de datos, el gobierno indio ha comenzado a reevaluar cómo regula la ciberseguridad y el ciberdelito.

Esta guía completa seguirá las normas y la legislación de ciberseguridad más pertinentes de la India en materia de delitos informáticos. Además, este artículo examinará las leyes de ciberseguridad actuales de la India, cómo se aplican, cómo protegen a las empresas y organizaciones, y qué avances y mejoras se planean para el futuro.

Cuestiones críticas de las leyes y regulaciones de ciberseguridad de la India

Uno de los principales problemas de las regulaciones de la India en materia de ciberseguridad es que el gobierno sigue aplicando leyes poco claras o desactualizadas, lo que puede obstaculizar el progreso y la implementación de leyes y regulaciones cibernéticas adecuadas. Las organizaciones tienen dificultades para obtener las directrices y recomendaciones adecuadas a partir de leyes ambiguas y enfoques legislativos fragmentados en materia de privacidad de datos y ciberseguridad.

Para mantener estándares de ciberseguridad ampliamente aceptados, India debe aprobar leyes de ciberseguridad más completas e informativas y regulaciones y reformas más claras para desarrollar un mejor marco de ciberseguridad y una legislación de protección de datos.

De lo contrario, el gobierno indio, sus agencias de aplicación de la ley y los reguladores designados seguirán atados a leyes antiguas, lo que puede dar lugar a problemas de ciberseguridad no resueltos y abordados de forma inadecuada.

En una petición especial presentada en 2021, la Corte Suprema de la India dictaminó que los ataques cibernéticos y el robo de datos constituyen un delito según la Ley de Tecnologías de la Información de 2000 y el Código Penal de la India. Dado que el estatuto penal del CPI tiene más de 150 años, una Ley de Tecnologías de la Información más moderna y renovada de 2000 es la principal regulación contra el delito cibernético a día de hoy.

Sin embargo, es necesario realizar más trabajos y modificaciones para revisar los errores y aportar más claridad en respuesta a las nuevas amenazas emergentes de la época actual.

Principales normativas de ciberseguridad

A continuación se muestran las legislaciones actuales en materia de ciberseguridad que se utilizan en la India hoy en día:

1. Ley de Tecnología de la Información de 2000

La primera ley histórica de la India en materia de ciberseguridad fue la Ley de Tecnología de la Información de 2000.

La Ley de Tecnologías de la Información de 2000 fue promulgada por el Parlamento de la India y administrada por el Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In) para orientar la legislación india sobre ciberseguridad, instituir políticas de protección de datos y regular los delitos informáticos. También protege la gobernanza electrónica, la banca electrónica, el comercio electrónico y el sector privado, entre muchos otros.

Si bien la India no cuenta con una ley de ciberseguridad exclusiva y unitaria, utiliza la Ley de Tecnologías de la Información y otras múltiples regulaciones sectoriales para promover estándares de ciberseguridad. También proporciona un marco legal para la infraestructura de información crítica en la India.

Por ejemplo, en la Sección 43A de la Ley de TI, las empresas y organizaciones indias deben tener “prácticas y procedimientos de seguridad razonables” para proteger la información confidencial de ser comprometida, dañada, expuesta o mal utilizada.

Según la Sección 72A de la Ley de TI, cualquier intermediario o persona que divulgue datos personales sin el consentimiento del propietario (con mala intención y causando daños) será castigado con penas de prisión de hasta tres años, una multa de hasta 500.000 rupias o ambas.

2. Ley de Tecnología de la Información (modificación) de 2008

La Ley de modificación de la Ley de Tecnología de la Información de 2008 (Ley de TI de 2008) se aprobó en octubre de 2008 y entró en vigor al año siguiente como una importante adición a la Ley de TI de 2000. Estas modificaciones ayudaron a mejorar el proyecto de ley original, que en un principio no había logrado allanar el camino para un mayor desarrollo relacionado con la TI. Fue aclamada como un paso innovador y largamente esperado hacia un marco mejorado de ciberseguridad en la India.

La Ley de Tecnologías de la Información de 2008 agregó términos actualizados y redefinidos para su uso actual, ampliando la definición de delito cibernético y la validación de firmas electrónicas. También alienta firmemente a las empresas a implementar mejores prácticas de seguridad de datos y las hace responsables de las violaciones de datos.

La Ley de Tecnologías de la Información de 2008 se aplica a cualquier persona, empresa u organización (intermediarios) que utilice recursos informáticos, redes informáticas u otras tecnologías de la información en la India. También incluye a los proveedores de servicios de alojamiento web, Internet, redes y telecomunicaciones. Y a las organizaciones extranjeras que tienen presencia en la India y a las empresas fuera del país que tienen operaciones en la India.

La nueva Ley de Modificación de Tecnología de la Información de 2008, que abarca importantes prácticas de seguridad de la información para el ciberdelito y la protección de datos con más de nueve capítulos y 117 secciones, incluye las siguientes responsabilidades:

  • Mejorar las medidas de ciberseguridad y la investigación forense.
  • Exigir a los intermediarios y personas jurídicas que notifiquen los incidentes de ciberseguridad al CERT-In.
  • Prevención del uso no autorizado o ilegal de un sistema informático.
  • Protección de datos e información privados contra el terrorismo cibernético, ataques DDoS , phishing , malware y robo de identidad.
  • Reconocimiento legal de la ciberseguridad de las organizaciones.
  • Protección de los pagos electrónicos y las transacciones electrónicas y supervisión y descifrado de registros electrónicos.
  • Establecer un marco jurídico para las firmas digitales.
  • Reconocimiento y regulación de los intermediarios.

Es importante señalar que el mayor problema de la Ley de TI de 2008 está en la Subsección 69, que autoriza al gobierno indio a interceptar, monitorizar, descifrar, bloquear y eliminar rápidamente datos y contenidos a su discreción, lo que puede plantear serios problemas de privacidad.

La violación de la Ley de TI puede acarrear sanciones que van desde $1,250 a 3 años de prisión, mientras que las sanciones por delitos más graves y delitos cibernéticos pueden alcanzar penas de prisión de hasta 10 años.

3. Normas sobre tecnología de la información, 2011

Según la Ley de TI, otro segmento importante de la legislación sobre ciberseguridad son las Reglas de Tecnología de la Información (Prácticas y Procedimientos de Seguridad Razonables y Datos o Información Personal Sensible) de 2011 (Reglas de Privacidad).

Los cambios más significativos incluyen disposiciones para regular a los intermediarios, sanciones actualizadas y tarifas por infracciones en casos de delitos cibernéticos, engaños, calumnias y publicación no consentida de imágenes privadas, así como la censura/restricción de ciertas expresiones.

Tanto la Ley de Tecnología de la Información (ITA) como las Reglas de TI son importantes para regular cómo las entidades y organizaciones indias procesan información confidencial, protección de datos, retención de datos y recopilación de datos personales y otra información confidencial.

Otros sectores indios, como la banca, los seguros, las telecomunicaciones y la atención sanitaria, también incluyen disposiciones sobre privacidad de datos como parte de sus estatutos separados.

4. Normas SPDI de la India de 2011 sobre prácticas de seguridad razonables

Las normas IS/ISO/IEC 27001 están identificadas por las normas SPDI indias de 2011 como estándares internacionales. Como tal, las empresas indias no están obligadas (pero se les recomienda encarecidamente) a implementar estos estándares, que pueden ayudar a cumplir con las «prácticas de seguridad razonables» bajo la jurisdicción india.

Las normas también pueden otorgar a las personas el derecho a corregir su información e imponer restricciones a la divulgación, transferencia de datos y medidas de seguridad. Solo se aplican a las entidades corporativas, pero no son responsables de la autenticidad de los datos personales confidenciales (SPD), como la orientación sexual, los registros y el historial médico, la información biométrica y las contraseñas.

5. Política Nacional de Seguridad Cibernética, 2013

En 2013, el Departamento de Electrónica y Tecnología de la Información (DeitY) publicó la Política Nacional de Seguridad Cibernética 2013 como marco de seguridad para que las organizaciones públicas y privadas se protejan mejor de los ataques cibernéticos.

El objetivo de la Política Nacional de Seguridad Cibernética es crear y desarrollar políticas más dinámicas para mejorar la protección del ecosistema cibernético de la India. La política apunta a crear una fuerza laboral de más de 500.000 profesionales expertos en TI durante los próximos cinco años mediante el desarrollo de habilidades y la capacitación.

Otros objetivos del NSCP incluyen:

  • Creación de un ciberespacio resiliente y seguro para las personas, las organizaciones y el gobierno.
  • Monitorización, protección de la infraestructura y la información cibernética, reducción de vulnerabilidades y fortalecimiento de las defensas contra ataques cibernéticos.
  • Creación de marcos, capacidades y estrategias de gestión de vulnerabilidades para minimizar, prevenir más rápidamente o responder a incidentes y amenazas cibernéticas.
  • Alienta a las organizaciones a desarrollar políticas de ciberseguridad que se alineen con los objetivos estratégicos, los flujos de trabajo comerciales y las mejores prácticas generales.
  • Crear simultáneamente estructuras institucionales, personas, procesos, tecnología y cooperación para minimizar el daño causado por el ciberdelito.

6. Normas de TI, 2021

El 25 de febrero de 2021, el Ministerio de Electrónica y Tecnología de la Información introdujo las Normas de Tecnología de la Información (Directrices para intermediarios y Código de ética de medios digitales) de 2021 como reemplazo de las Normas de TI de 2011. Poco más de un año después, el 6 de junio de 2022, el MeitY (Ministerio de Electrónica y TI) de la India publicó las enmiendas preliminares recientemente actualizadas para mejorar la Ley de TI y mantenerse al día con los desafíos del panorama digital en constante cambio.

Las nuevas enmiendas tienen como objetivo permitir a los usuarios comunes de plataformas digitales reclamar compensación por sus agravios y exigir responsabilidades cuando se vulneren sus derechos, además de instituir una diligencia debida adicional para las organizaciones.

El Reglamento de TI de 2021 también distingue entre intermediarios de redes sociales más pequeños y más importantes en función del número de usuarios e impone una carga mucho más pesada a los intermediarios de redes sociales más grandes en lo que respecta a la protección de datos personales.

Además, hay cambios en los requisitos de privacidad y transparencia de los intermediarios, tales como:

  • Exigir a los intermediarios que informen a los usuarios sobre las normas y reglamentos, la política de privacidad y los términos y condiciones de uso de sus servicios.
  • Exigir a los intermediarios que designen un oficial de quejas que pueda abordar y resolver las quejas de los usuarios sobre violaciones de las normas de TI, 2021

7. Estrategia Nacional de Ciberseguridad 2020

La Estrategia Nacional de Seguridad Cibernética de 2020 fue el esperado plan de seguimiento del gobierno indio para seguir mejorando las iniciativas de ciberseguridad. Si bien el plan aún se encuentra en desarrollo y pendiente de revisión por parte de la Secretaría del Consejo de Seguridad Nacional, su principal objetivo es servir como guía oficial para las partes interesadas, los responsables de las políticas y los líderes corporativos para prevenir los incidentes cibernéticos, el ciberterrorismo y el espionaje en el ciberespacio.

La estrategia tiene como objetivo mejorar la calidad de las auditorías de ciberseguridad para que las organizaciones puedan realizar mejores revisiones de su arquitectura y conocimientos sobre ciberseguridad. La esperanza es que, una vez que se implemente la política, los auditores cibernéticos mejoren sus estándares de seguridad, lo que en última instancia alentará a las organizaciones a intensificar sus programas de seguridad.

8. KYC (Conozca a su cliente)

Los procesos KYC (Conozca a su cliente) son estándares y prácticas que se utilizan en todo el mundo y que exige el RBI (Banco de la Reserva de la India). KYC es el seguimiento y la supervisión de la seguridad de los datos de los clientes para mejorar la protección contra el fraude y el robo de credenciales de pago. Exige a los bancos, las compañías de seguros y cualquier otra empresa de pagos digitales que realice transacciones financieras que verifiquen e identifiquen a todos sus clientes.

Para cumplir con los requisitos regulatorios financieros y cumplir con los requisitos de KYC, las empresas deben incluir los siguientes pasos de ciberseguridad:

  • Disponer de una prueba de cuestionario basada en conocimientos para verificar la identidad de los clientes.
  • Implementar métodos de verificación KYC de preselección, como verificación de correo electrónico, verificación de teléfono, inteligencia de identificación de dispositivo y datos de reputación, entre otros.
  • Uso de tecnología basada en inteligencia artificial y aprendizaje automático para verificar documentos e identificaciones emitidas por el gobierno.
  • Uso de datos biométricos como huellas dactilares y reconocimiento facial para verificar la identidad de un usuario.
  • Mantener una base de datos de clientes para fines de verificación.

Las empresas con políticas KYC garantizan a los clientes que cuentan con las soluciones de gestión de cumplimiento y antifraude pertinentes para proteger sus identidades digitales y los datos de las transacciones de pago. Con KYC Compliance, los comerciantes indios pueden tener la tranquilidad de contar con un procesamiento de pagos seguro y protegido, cumpliendo con las regulaciones de SEBI y generando confianza con los clientes.

En caso de no cumplir con las instrucciones de KYC, los bancos, empresas y corporaciones pueden enfrentar una multa monetaria de ₹ 200,000 rupias.

9. Ley del Banco de la Reserva de la India de 2018

El Banco de la Reserva de la India introdujo la Ley RBI en 2018 , que detalla las pautas y los marcos de ciberseguridad para los UCB (bancos cooperativos urbanos) y los operadores de pagos.

La Ley del RBI de 2018 tiene como objetivo:

  • Crear estándares que igualen los marcos de seguridad de los bancos y operadores de pagos según cómo se adapten a las nuevas tecnologías y la digitalización.
  • Obligar a los bancos a crear y presentar sus planes de gestión de crisis cibernéticas.
  • Obligar a los bancos a implementar políticas de seguridad de la información aprobadas por la corporación (aprobadas por la junta directiva) que describan con éxito la preparación para la ciberseguridad.
  • Exigir a los bancos que implementen notificaciones obligatorias de infracciones, en las que los UCB deben detectar e informar rápidamente los incidentes de ciberseguridad al RBI dentro de las 2 a 6 horas posteriores al descubrimiento para responder mejor a los ataques.
  • Incentivar a los bancos a programar periódicamente auditorías de evaluación de amenazas.
  • Ayudar a los bancos a implementar sus propios dominios de correo electrónico con tecnología antiphishing y antimalware , así como a aplicar controles de seguridad DMARC.

Todos los bancos indios deben seguir estas pautas para estandarizar los marcos de ciberseguridad del procesamiento de pagos y combatir las complicaciones comerciales cada vez mayores en un entorno digital.

La Ley del Banco de la Reserva de la India de 2018 impone multas a los bancos y al sector financiero en caso de incumplimiento de sus requisitos de ciberseguridad. Las sanciones pueden ascender a 10 lakhs de rupias (1 000 000 de rupias).

10. Ley de Protección de Datos Personales Digitales de 2023 (DPDP)

El 11 de agosto de 2023, el Gobierno central de la India aprobó su tan esperada Ley de Protección de Datos Personales Digitales (DPDP). La ley toma prestada su amplia definición de datos personales del Reglamento General de Protección de Datos (GDPR) de la UE y tiene como objetivo proteger a los titulares de los datos y restringir las actividades de los fiduciarios de datos.

El DPDP obliga a los fiduciarios de datos a:

  • Designar o involucrar únicamente a procesadores de datos de terceros que estén obligados a seguir los procedimientos DPDP mediante un contrato legal.
  • Asegurarse de que los datos personales estén completos y sean precisos antes de utilizarlos para tomar una decisión que afecte al titular de los datos o antes de participar en la transferencia de datos personales.
  • Implementar las medidas organizativas y los protocolos técnicos necesarios para garantizar el cumplimiento continuo.
  • Implementar medidas de seguridad y auditorías razonables para proteger los datos personales y evitar violaciones de datos personales.
  • Notificar a todos los titulares de datos afectados y al Consejo de Protección de Datos sobre todas y cada una de las violaciones de datos conocidas.
  • Borrar y destruir de forma segura todos los datos personales cuando el titular de los datos retire su consentimiento (a menos que la retención de dichos datos sea requerida por ley).

Además, la DPDP creó la Junta de Protección de Datos de la India y describió una nueva clase de fiduciarios de datos. Los fiduciarios de datos importantes son organizaciones que, según una evaluación gubernamental, representan un riesgo mayor. Las organizaciones que se consideran fiduciarios de datos importantes deben cumplir con requisitos adicionales.

Principales organismos reguladores de la ciberseguridad

Para hacer cumplir las regulaciones de ciberseguridad, estos son los principales organismos reguladores que garantizan que todas las organizaciones indias respeten las leyes y los estándares.

1. Equipo de respuesta ante emergencias informáticas (CERT-In)

Oficializado en 2004, el Equipo de Respuesta a Emergencias Informáticas (CERT-In) es la agencia nodal nacional para recopilar, analizar, pronosticar y difundir incidentes de ciberseguridad no críticos.

Además de informar y notificar incidentes de ciberseguridad, la directiva de ciberseguridad CERT-In también ayuda a emitir pautas para las organizaciones indias, ofreciendo las mejores prácticas de seguridad de la información para gestionar y prevenir incidentes de ciberseguridad.

Las Normas de Jurisdicción de Tecnologías de la Información de 2013 son las encargadas de obligar a todos los centros de datos, proveedores de servicios y sus intermediarios de la India a informar a CERT-In sobre cualquier incidente de ciberseguridad.

CERT-In actúa como el grupo de trabajo principal que:

  • Analiza amenazas cibernéticas, vulnerabilidades e información de advertencia.
  • Responde a incidentes de ciberseguridad y violaciones de datos.
  • Coordina la respuesta adecuada a incidentes de ataques cibernéticos y realiza análisis forenses para el manejo de incidentes.
  • Identifica, define y toma medidas adecuadas para mitigar los riesgos cibernéticos.
  • Recomienda las mejores prácticas, pautas y precauciones a las organizaciones para la gestión de incidentes cibernéticos para que puedan responder de manera eficaz.

Los roles y funciones del CERT-In se aclararon posteriormente en una enmienda adicional en las Reglas de Tecnología de la Información (El Equipo de Respuesta a Emergencias Informáticas de la India y la Manera de Realizar Funciones y Deberes) (Reglas de TI, 2013).

CERT-In: nuevo plazo de seis horas para informar sobre violaciones de datos

Las regulaciones más recientes de CERT-In abordan los informes de ciberseguridad y obligan a todas las empresas, proveedores de servicios, intermediarios, centros de datos y negocios de la India a informar los incidentes de ciberseguridad y las violaciones de datos identificados en un plazo de seis horas.

Sin embargo, muchas organizaciones indias desaprobaron este requisito imposible, afirmando que el breve plazo de presentación de informes es insuficiente para responder a los incidentes de ciberseguridad con un informe detallado.

A pesar de la reacción, las organizaciones afectadas que no cumplan con estas regulaciones enfrentan hasta un año de prisión, sanciones significativas y multas por incumplimiento si no informan los incidentes de ciberseguridad a CERT-In.

2. Centro Nacional de Protección de Infraestructuras Críticas de Información (NCIIPC)

El Centro Nacional de Protección de Infraestructura de Información Crítica (NCIIPC) fue establecido el 16 de enero de 2014 por el gobierno de la India, de conformidad con la Sección 70A de la Ley de TI de 2000 (enmendada en 2008).

Con sede en Nueva Delhi, el NCIIPC fue designado organismo nodal nacional en materia de protección de infraestructuras de información crítica. Además, el NCIIPC se considera una unidad de la Organización Nacional de Investigación Técnica (NTRO) y, por lo tanto, depende de la Oficina del Primer Ministro (PMO).

El Parlamento indio divide la ciberseguridad en dos segmentos: “Infraestructura no crítica (NCI)”, de la que es responsable CERT-In, e “Infraestructura de información crítica (CII)”, de la que es responsable NCIIPIC. El Parlamento indio define la CII como “instalaciones, sistemas o funciones cuya incapacidad o destrucción causaría un impacto debilitante en la seguridad nacional, la gobernanza, la economía y el bienestar social de una nación”.

La NCIIPC debe supervisar e informar sobre las amenazas a nivel nacional a la infraestructura de información crítica . Los sectores críticos incluyen:

  • Poder y energía
  • Banca, servicios financieros y seguros
  • Telecomunicaciones e información
  • Transporte
  • Gobierno
  • Empresas estratégicas y públicas

La NCIIPC implementó con éxito varias pautas para la orientación de políticas, el intercambio de conocimientos y la concientización sobre la ciberseguridad para que las organizaciones implementen medidas preventivas en estos importantes sectores, especialmente en el sector eléctrico y energético. Las pautas representan el primer medio para regular dichos sectores y exigir el «cumplimiento obligatorio por parte de todas las entidades responsables».

Además, el gobierno indio aprobó el Plan de Renovación del Sector de Distribución en agosto de 2021. El objetivo principal de esta regulación es mejorar las operaciones de las DISCOM (empresas de distribución) mediante la mejora de la infraestructura cibernética con soluciones basadas en IA. En última instancia, esto ayudará a las organizaciones y empresas a cumplir los objetivos del marco.

3. Tribunal de Apelaciones sobre Regulaciones Cibernéticas (CRAT)

En virtud de la Ley de TI de 2000, Sección 62, el Gobierno central de la India creó el Tribunal de Apelaciones de Regulaciones Cibernéticas (CRAT) como órgano rector y autoridad principal para la investigación de hechos, la recepción de pruebas cibernéticas y el examen de testigos.

Si bien CRAT no tiene tanta jurisdicción para la notificación de ciberseguridad como CERT-In, el gobierno también actúa para responder y actuar ante incidentes y violaciones de ciberseguridad relacionados.

De acuerdo con el Tribunal Civil y el Código de Procedimiento Civil de 1908, el CRAT tiene el poder de:

  • Recibir evidencia en declaraciones juradas
  • Asegurarse de que todas las pruebas y registros electrónicos y cibernéticos se presenten ante el tribunal.
  • Hacer cumplir, citar y expedir comisiones periódicas para el examen de testigos, documentos y personas bajo juramento.
  • Revisar las decisiones finales del tribunal para resolver incidentes y casos.
  • Aprobar, desestimar o declarar ex parte las solicitudes del incumplidor.

4. Junta de Valores y Bolsa (SEBI) de la India

Fundada en 1988, la SEBI (Junta de Valores e Intercambio de la India) es el organismo regulador de los mercados de valores y materias primas de la India, dependiente del Ministerio de Finanzas. Actúa como una entidad gubernamental ejecutiva con poderes legales gracias a la Ley SEBI de enero de 1992. La SEBI garantiza que se satisfagan las necesidades de los intermediarios del mercado, los inversores y los emisores de valores, incluida la protección de sus datos, los datos de los clientes y las transacciones.

A partir de abril de 2022, SEBI cuenta con seis miembros del comité que deben supervisar la orientación de las iniciativas de ciberseguridad para el mercado indio y asesorar a SEBI para desarrollar y mantener los requisitos de ciberseguridad siguiendo los estándares de la industria global.

Además, SEBI también se comunica con otras agencias como CERT-In, NCSC (Centro Nacional de Coordinación Cibernética) , DoT (Departamento de Telecomunicaciones) y el Ministerio de Electrónica y Tecnología de la Información (MeitY).

SEBI implementó pautas que se aplican a las organizaciones dentro de su ámbito: corredores de bolsa, bolsas de valores, AMC (compañías de gestión de activos), fondos mutuos y participantes depositarios, entre otros.

Las sanciones por incumplimiento de SEBI, por ejemplo, violar las normas de divulgación, contemplan una multa de ₹20,000 por día hasta que las empresas alcancen el cumplimiento.

5. Autoridad de Regulación y Desarrollo de Seguros (IRDAI)

El sector de seguros de la India está regulado por IRDAI, que emite pautas de seguridad de la información para las aseguradoras y aborda la importancia de mantener la integridad y la confidencialidad de los datos.

Con estas nuevas Directrices sobre Información y Ciberseguridad para Aseguradoras, el IRDAI:

  • Obliga a las compañías de seguros a tener un CISO (director de seguridad de la información)
  • Reúne un comité de seguridad de la información
  • Crea planes para gestionar crisis cibernéticas
  • Crea e implementa programas de garantía de ciberseguridad.
  • Implementa métodos adecuados para proteger los datos.
  • Mantiene procesos de identificación y mitigación de riesgos.

El sector de seguros de la India se centra principalmente en áreas de mayor riesgo, incluidos los ataques de ransomware, los fraudes transaccionales, las fugas de datos y los riesgos de violación de los derechos de propiedad intelectual. Según un informe de Sophos, el 68 % de las organizaciones indias se vieron afectadas por ransomware y recurrieron al pago de rescates para recuperar sus datos.

El 9 de octubre de 2022, IRDAI presentó un marco de ciberseguridad mejorado centrado en las principales preocupaciones de seguridad de las aseguradoras. Su objetivo es alentar a las compañías de seguros a establecer y mantener un plan de evaluación de riesgos sólido, mejorar los métodos de mitigación de amenazas internas y externas, prevenir ataques de ransomware y otros tipos de fraude e implementar una continuidad comercial sólida.

Dependiendo de la gravedad de la infracción, las aseguradoras y las empresas pueden ser sancionadas con más de ₹100,000 rupias. Las Pautas de la IRDAI para la Seguridad de la Información y la Ciberseguridad para Aseguradoras se aplican a todas las aseguradoras reguladas por la Autoridad Reguladora de Seguros.

6. Autoridad Reguladora de Telecomunicaciones de la India (TRAI) y Departamento de Telecomunicaciones (DoT)

La Autoridad Reguladora de Telecomunicaciones de la India, junto con el DoT (Departamento de Telecomunicaciones), han endurecido las regulaciones sobre la privacidad de los datos de los usuarios y su uso.

La TRAI es un organismo regulador y el DoT es un departamento ejecutivo independiente del Ministerio de Comunicaciones de la India. Aunque la TRAI ha recibido más poderes regulatorios, ambos trabajan juntos para gobernar y regular a los operadores telefónicos y proveedores de servicios.

En 2018, la TRAI publicó recomendaciones para los proveedores de telecomunicaciones sobre “Privacidad, seguridad y propiedad de los datos en el sector de las telecomunicaciones”. En las directrices más recientes, la TRAI aborda nuevas responsabilidades que rigen los datos de los consumidores, ya que la mayoría de las transacciones digitales en la India se realizan a través de teléfonos móviles.

TRAI aborda la protección de datos con los siguientes objetivos:

  • Definir y comprender el alcance de “Datos personales, propiedad y control de los datos”, es decir, los datos de los usuarios de los proveedores de servicios de telecomunicaciones.
  • Comprender e identificar los “derechos y responsabilidades de los responsables del tratamiento de datos”.
  • Evaluar e identificar la eficacia de la protección de datos y las medidas de protección de datos actualmente implantadas en el sector de las telecomunicaciones.
  • Identificar y abordar problemas críticos relacionados con la protección de datos.
  • Recopilar y controlar los datos de los usuarios de los servicios TISP (proveedores de servicios de información de tráfico).

El DoT ha colaborado con el Ministerio de Tecnologías de la Información de la India para imponer normas de consentimiento de datos en capas que salvaguarden el procesamiento de datos personales. Esto les da a los usuarios la libertad de decidir si consentirán o no el uso de sus datos personales y el derecho a retirar el consentimiento en cualquier momento.

Las nuevas normas establecen que las organizaciones y empresas solo tendrán que recopilar los datos necesarios de los usuarios y que estos podrán conservarse solo durante el tiempo que sea necesario.