हमसे संपर्क करें

info@serverion.com

हमें बुलाओ

+1 (302) 380 3902

उद्यमों के लिए शीर्ष 7 डेटा एन्क्रिप्शन कानून

उद्यमों के लिए शीर्ष 7 डेटा एन्क्रिप्शन कानून

एम्ब्रोज़ अवर्गीकृत 06/08/2025

डेटा एन्क्रिप्शन अब वैकल्पिक नहीं रहा। साइबर अपराध से होने वाले नुकसान का अनुमान है 2025 तक $10.5 ट्रिलियन और गैर-अनुपालन जुर्माना तक पहुँच रहा है करोड़ों डॉलरउद्यमों के लिए एन्क्रिप्शन कानूनों को समझना बेहद ज़रूरी है। यह मार्गदर्शिका वैश्विक डेटा सुरक्षा को आकार देने वाले सात प्रमुख नियमों पर प्रकाश डालती है:

  • जीडीपीआर (ईयू): व्यक्तिगत डेटा के लिए एन्क्रिप्शन को प्रोत्साहित करता है, जिसके लिए अधिकतम जुर्माना लगाया जा सकता है €20M या 4% वार्षिक राजस्व.
  • सीपीआरए (कैलिफ़ोर्निया, अमेरिका): एन्क्रिप्शन की आवश्यकता होती है; अनएन्क्रिप्टेड डेटा के उल्लंघन पर मुकदमा चलाया जा सकता है।
  • एलजीपीडी (ब्राजील): एन्क्रिप्शन जैसे सुरक्षा उपायों की मांग; अधिकतम जुर्माना 2% राजस्व.
  • पिपेडा (कनाडा): व्यक्तिगत डेटा की सुरक्षा के लिए एन्क्रिप्शन की अनुशंसा करता है।
  • डीपीडीपीए (भारत): एन्क्रिप्शन सहित "उचित सुरक्षा प्रथाओं" को अनिवार्य करता है।
  • पीआईपीएल (चीन): अपनी सीमाओं के भीतर डेटा के लिए सरकार द्वारा अनुमोदित एन्क्रिप्शन की आवश्यकता है।
  • डोरा (यूरोपीय संघ वित्तीय क्षेत्र)वित्तीय संस्थाओं के लिए सख्त एन्क्रिप्शन मानक, जो विश्राम, पारगमन और उपयोग में डेटा को कवर करते हैं।

त्वरित तुलना:

कानून क्षेत्राधिकार एन्क्रिप्शन अधिदेश अधिकतम दंड
जीडीपीआर यूरोपीय संघ दृढ़तापूर्वक अनुशंसित €20M या 4% राजस्व
सीपीआरए कैलिफ़ोर्निया, अमेरिका उल्लंघन से सुरक्षा के लिए आवश्यक $7,500/उल्लंघन
एलजीपीडी ब्राज़िल तकनीकी सुरक्षा उपाय आवश्यक 2% राजस्व
पिपेडा कनाडा प्रोत्साहित किया गया, अनिवार्य नहीं CAD $100,000/उल्लंघन
डीपीडीपीए भारत "उचित सुरक्षा उपाय" ₹250 करोड़ या 4% टर्नओवर
पीआईपीएल चीन अनिवार्य अनुमोदित एन्क्रिप्शन ¥50M या 5% राजस्व
डोरा यूरोपीय संघ (वित्तीय क्षेत्र) वित्तीय डेटा के लिए अनिवार्य वार्षिक कारोबार का 2%

एन्क्रिप्शन व्यवसायों को उल्लंघनों, जुर्माने और प्रतिष्ठा को होने वाले नुकसान से बचाता है। इन कानूनों के बारे में विस्तृत जानकारी और इनका अनुपालन कैसे करें, इसके लिए आगे पढ़ें।

9 डेटा गोपनीयता नियम जिन्हें आपको जानना आवश्यक है

1. सामान्य डेटा संरक्षण विनियमन (GDPR) - यूरोपीय संघ

मई 2018 से प्रभावी, GDPR ने वैश्विक स्तर पर व्यक्तिगत डेटा को संभालने के तरीके को नया रूप दिया है।

क्षेत्राधिकार और भौगोलिक दायरा

जीडीपीआर केवल यूरोप तक सीमित नहीं है - इसकी पहुँच वैश्विक है। कोई भी संगठन, चाहे वह कहीं भी स्थित हो, यूरोपीय संघ के निवासियों के व्यक्तिगत डेटा को संसाधित करते समय इसका पालन करना आवश्यक है। उदाहरण के लिए, यूरोपीय संघ के ग्राहकों को सेवा प्रदान करने वाली अमेरिकी कंपनियाँ इन नियमों के अधीन हैं। यह विनियमन ज़िम्मेदारियों को अलग-अलग करता है। डेटा नियंत्रकों (जो यह तय करते हैं कि डेटा कैसे और क्यों संसाधित किया जाए) और डेटा प्रोसेसर (जो नियंत्रकों की ओर से डेटा को संभालते हैं)। यह अंतर विशेष रूप से होस्टिंग प्रदाताओं और कोलोकेशन सेवाओं का उपयोग करने वाले व्यवसायों के लिए प्रासंगिक है।

एन्क्रिप्शन आवश्यकताएँ (अनिवार्य या प्रोत्साहित)

हालाँकि GDPR द्वारा एन्क्रिप्शन को स्पष्ट रूप से अनिवार्य नहीं किया गया है, फिर भी इसे एक प्रमुख तकनीकी सुरक्षा उपाय के रूप में दृढ़ता से अनुशंसित किया जाता है। अनुच्छेद 32 व्यक्तिगत डेटा की सुरक्षा के लिए उचित तकनीकी और संगठनात्मक उपायों का आह्वान करता है, और एन्क्रिप्शन को अक्सर सबसे प्रभावी तरीकों में से एक के रूप में सुझाया जाता है। यह दोनों पर लागू होता है। स्थिर डेटा तथा पारगमन में डेटाब्रिटेन के सूचना आयुक्त कार्यालय जैसे प्राधिकारी इसका उपयोग करने की सलाह देते हैं एन्क्रिप्शन समाधान जो FIPS 140-2 और FIPS 197 जैसे मानकों को पूरा करते हैं।

एन्क्रिप्शन का एक प्रमुख लाभ उल्लंघन सूचनाओं पर इसका प्रभाव है। जीडीपीआर के तहत, संगठनों को 72 घंटों के भीतर डेटा उल्लंघनों की सूचना देनी होगी। हालाँकि, यदि एन्क्रिप्टेड डेटा से छेड़छाड़ की जाती है और हमलावरों के लिए उसे पढ़ना असंभव हो जाता है, तो इस आवश्यकता को माफ किया जा सकता है।

एंटरप्राइज़ स्टोरेज पर प्रयोज्यता

विविध भंडारण वातावरणों में डेटा प्रबंधित करने वाले उद्यमों के लिए, GDPR का अनुपालन एक चुनौती हो सकता है। यह विनियमन उन व्यक्तिगत डेटा पर लागू होता है जो समर्पित सर्वर, क्लाउड प्लेटफ़ॉर्म, या हाइब्रिड बुनियादी ढांचेकंपनियों को सही एन्क्रिप्शन उपाय निर्धारित करने के लिए डेटा को उसकी संवेदनशीलता के आधार पर वर्गीकृत करना आवश्यक है। सीमा पार डेटा स्थानांतरण के लिए विशेष सावधानी की आवश्यकता है, क्योंकि GDPR उचित सुरक्षा उपायों के बिना व्यक्तिगत डेटा को EU/EEA से बाहर ले जाने पर सख्त नियम लागू करता है। सुरक्षित अंतर्राष्ट्रीय डेटा स्थानांतरण सुनिश्चित करने के लिए एन्क्रिप्शन महत्वपूर्ण है। होस्टिंग प्रदाता, जिनमें शामिल हैं Serverion, को अपने ग्राहकों के अनुपालन प्रयासों का समर्थन करने के लिए अपने एन्क्रिप्शन प्रथाओं को GDPR मानकों के साथ संरेखित करना होगा।

गैर-अनुपालन के लिए दंड

जीडीपीआर एक स्तरीय दंड प्रणाली लागू करता है जो गैर-अनुपालन को आर्थिक रूप से कष्टदायक बना देता है। मामूली उल्लंघनों के परिणामस्वरूप $11.8 मिलियन या वैश्विक वार्षिक राजस्व के 2% तक का जुर्माना हो सकता है, जो भी अधिक हो। गंभीर उल्लंघनों के परिणामस्वरूप $23.6 मिलियन या वैश्विक राजस्व के 4% तक का जुर्माना हो सकता है। हाल के मामले इस नियम की कठोरता को दर्शाते हैं। 2023 में, डेटा स्थानांतरण की सुरक्षा में विफल रहने के लिए मेटा पर आयरिश डेटा संरक्षण आयोग द्वारा $1.2 बिलियन का जुर्माना लगाया गया था। इसी प्रकार, एचएंडएम पर 2020 में कर्मचारियों की गैरकानूनी निगरानी के लिए $41.8 मिलियन का जुर्माना लगाया गया था।

नियमों का पालन न करने पर सिर्फ़ जुर्माने से ज़्यादा कुछ हो सकता है। संगठनों को परिचालन प्रतिबंधों का सामना करना पड़ सकता है, जैसे डेटा प्रोसेसिंग रोकने के आदेश, और प्रभावित व्यक्तियों द्वारा दावा किए गए हर्जाने के लिए भी ज़िम्मेदार हो सकते हैं।

"जनरल डेटा प्रोटेक्शन रेगुलेशन (GDPR) दुनिया का सबसे कठोर गोपनीयता और सुरक्षा कानून है।" – GDPR.EU

होस्टिंग और बुनियादी ढांचा प्रदाताओं के लिए, ये दंड उनके परिचालनों की सुरक्षा के लिए मजबूत एन्क्रिप्शन रणनीतियों की आवश्यकता पर बल देते हैं तथा यह सुनिश्चित करते हैं कि उनके ग्राहक अनुपालन आवश्यकताओं को पूरा करें।

इसके बाद, हम कैलिफोर्निया गोपनीयता अधिकार अधिनियम का पता लगाएंगे और देखेंगे कि उद्यमों के लिए डेटा गोपनीयता के प्रति इसका दृष्टिकोण किस प्रकार भिन्न है।

2. कैलिफ़ोर्निया गोपनीयता अधिकार अधिनियम (सीपीआरए) - संयुक्त राज्य अमेरिका

1 जनवरी, 2023 से, CPRA कैलिफोर्निया उपभोक्ता गोपनीयता अधिनियम (CCPA) को मजबूत करेगा, तथा कैलिफोर्निया निवासियों से संबंधित व्यक्तिगत जानकारी को संभालने वाले व्यवसायों के लिए सख्त नियम पेश करेगा।

क्षेत्राधिकार और भौगोलिक दायरा

सीपीआरए विशेष रूप से लक्ष्य करता है लाभ-प्राप्त व्यवसायों जो कैलिफ़ोर्निया के निवासियों से व्यक्तिगत जानकारी एकत्र करते हैं और कुछ मानदंडों को पूरा करते हैं। इनमें शामिल हैं:

  • वार्षिक सकल राजस्व से अधिक वाली कंपनियाँ $25 मिलियन.
  • ऐसे व्यवसाय जो किसी की व्यक्तिगत जानकारी खरीदते, बेचते या साझा करते हैं 100,000 या अधिक कैलिफोर्निया के निवासी, घर या डिवाइस।
  • कमाई करने वाली संस्थाएँ 50% या अधिक कैलिफोर्निया के उपभोक्ताओं की व्यक्तिगत जानकारी को बेचने या साझा करने से होने वाले उनके वार्षिक राजस्व का 10%।

जीडीपीआर के विपरीत, जिसकी वैश्विक पहुँच है, सीपीआरए केवल कैलिफ़ोर्निया के निवासियों को सेवा प्रदान करने वाली कंपनियों पर केंद्रित है, चाहे उनका भौतिक स्थान कुछ भी हो। सीपीआरए की एक प्रमुख विशेषता इसकी डेटा न्यूनीकरण सिद्धांत, जो डेटा संग्रहण और अवधारण को व्यवसाय संचालन के लिए आवश्यक तक सीमित करता है।

एन्क्रिप्शन आवश्यकताएँ (अनिवार्य या प्रोत्साहित)

सीपीआरए की धारा 1798.150 के अनुसार, व्यवसायों को व्यक्तिगत जानकारी की सुरक्षा के लिए कड़े सुरक्षा उपाय लागू करने होंगे। यदि अनएन्क्रिप्टेड डेटा का उल्लंघन होता है, तो उपभोक्ताओं को दीवानी मुकदमा दायर करने का अधिकार है। विनियमन में कहा गया है:

"कोई भी उपभोक्ता जिसकी गैर-एन्क्रिप्टेड और गैर-संशोधित व्यक्तिगत जानकारी...उचित सुरक्षा प्रक्रियाओं और प्रथाओं को लागू करने और बनाए रखने के कर्तव्य के व्यवसाय के उल्लंघन के परिणामस्वरूप अनधिकृत पहुंच और निष्कासन, चोरी या प्रकटीकरण के अधीन है...एक नागरिक कार्रवाई शुरू कर सकता है।"

कैलिफोर्निया कानून निर्धारित करता है 128-बिट एन्क्रिप्शन कुछ प्रणालियों के लिए न्यूनतम मानक के रूप में, क्रिप्टोग्राफ़िक मॉड्यूल के लिए प्रमाणन की आवश्यकता होती है एफआईपीएस 140-2 मानक। सीपीआरए पारगमन और विश्राम दोनों ही प्रकार के डेटा के लिए एन्क्रिप्शन अनिवार्य करता है, और व्यवसायों को एन्क्रिप्टेड डेटा से अलग एन्क्रिप्शन कुंजियों को संग्रहीत करने के लिए प्रोत्साहित किया जाता है। ये उपाय अनुपालन सुनिश्चित करने और एंटरप्राइज़ स्टोरेज सिस्टम की सुरक्षा के लिए महत्वपूर्ण हैं।

एंटरप्राइज़ स्टोरेज पर प्रयोज्यता

एंटरप्राइज़ स्टोरेज सिस्टम को CPRA की कठोर आवश्यकताओं के अनुरूप होना चाहिए। व्यवसायों से अपेक्षा की जाती है कि वे डेटा सुरक्षा आकलन गोपनीयता जोखिमों की पहचान करना और सभी भंडारण वातावरणों में आवश्यक सुरक्षा उपायों को लागू करना।

कानून कंपनियों को व्यक्तिगत जानकारी को पहचान-रहित या एकत्रित करने की भी आवश्यकता रखता है, जिससे डेटा के भंडारण और प्रबंधन पर असर पड़ता है। होस्टिंग सेवाओं का उपयोग करने वाले संगठनों को यह सुनिश्चित करना होगा कि उनके प्रदाता CPRA के अनुरूप हों, जिससे डेटा प्रोसेसिंग जीवनचक्र के दौरान जवाबदेही की एक श्रृंखला बने। उदाहरण के लिए, सर्वरियन की सेवाओं पर निर्भर व्यवसायों को यह सुनिश्चित करना होगा कि सभी कॉन्फ़िगरेशन में एन्क्रिप्शन मानकों का पालन किया जाए।

अनुपालन के प्रमुख तत्वों में नियमित सुरक्षा ऑडिट करना और सख्त पहुँच नियंत्रण लागू करना शामिल है। इसके अतिरिक्त, सीपीआरए कैलिफ़ोर्निया के निवासियों को स्वचालित निर्णय लेने से बाहर निकलने का अधिकार देता है, जिसके लिए ऐसी प्रणालियों की आवश्यकता होती है जो ऐसे उद्देश्यों के लिए उपयोग किए जाने वाले डेटा की पहचान और पृथक्करण कर सकें।

गैर-अनुपालन के लिए दंड

सीपीआरए का पालन न करने पर नियामक जुर्माना और निजी मुकदमे लग सकते हैं। अपर्याप्त सुरक्षा उपायों के कारण हुए डेटा उल्लंघनों से प्रभावित उपभोक्ता से लेकर तक के हर्जाने का दावा कर सकते हैं। $107 से $799 प्रति घटना.

जैसा कि पोर्जियो, ब्रोमबर्ग और न्यूमैन पीसी के प्रिंसिपल अल्फ्रेड ब्रुनेट्टी बताते हैं:

"यदि कोई व्यवसाय, सेवा प्रदाता या अन्य व्यक्ति सीपीआरए द्वारा संशोधित सीसीपीए का उल्लंघन करता हुआ पाया जाता है, तो उस पर निषेधाज्ञा लागू होगी तथा प्रत्येक उल्लंघन के लिए अधिकतम $2,500 तथा प्रत्येक जानबूझकर किए गए उल्लंघन के लिए अधिकतम $7,500 का नागरिक जुर्माना लगाया जाएगा।"

हाल की प्रवर्तन कार्रवाइयाँ इन नियमों का पालन करने के महत्व को उजागर करती हैं। उदाहरण के लिए, 2022 में, सेफोरा ने CCPA उल्लंघन के दावों का निपटारा करने के लिए $1.2 मिलियन का भुगतान किया, और 2024 में, डोरडैश को स्पष्ट सहमति के बिना ग्राहक डेटा साझा करने के लिए $375,000 का जुर्माना भुगतना पड़ा। उल्लेखनीय रूप से, CPRA ने CCPA के तहत पहले दी गई 30-दिवसीय उपचार अवधि को हटा दिया है, जिसका अर्थ है कि यदि उल्लंघनों का तुरंत समाधान नहीं किया जाता है, तो कंपनियों को तत्काल दंड का सामना करना पड़ सकता है।

इसके बाद, हम यह पता लगाने के लिए ब्राज़ील के लेई गेराल डी प्रोटेकाओ डी दादोस की जांच करेंगे कि लैटिन अमेरिका में एन्क्रिप्शन को कैसे अपनाया जाता है।

3. लेई गेराल डी प्रोटेकाओ डी दादोस (एलजीपीडी) - ब्राजील

ब्राज़ील के लेई गेराल डी प्रोटेकाओ डी दादोस (एलजीपीडी) ने व्यक्तिगत डेटा की सुरक्षा के लिए यूरोपीय संघ के जीडीपीआर से प्रेरित होकर कड़े नियम बनाए हैं।

क्षेत्राधिकार और भौगोलिक दायरा

एलजीपीडी के पास एक व्यापक पहुंचयह नियम दुनिया भर के उन संगठनों पर लागू होता है जो ब्राज़ील में व्यक्तियों के व्यक्तिगत डेटा का प्रबंधन करते हैं। इसमें व्यक्तियों या संस्थाओं द्वारा डेटा प्रोसेसिंग शामिल है - चाहे वे सार्वजनिक हों या निजी। यदि आपके व्यवसाय के ग्राहक, कर्मचारी, ठेकेदार या साझेदार ब्राज़ील में हैं, तो LGPD का अनुपालन अनिवार्य है।

यह कानून निम्नलिखित पर लागू होता है:

  • ब्राज़ील के भीतर संचालित डेटा प्रसंस्करण गतिविधियाँ।
  • डेटा ब्राज़ील में एकत्र किया गया।
  • ब्राज़ील में व्यक्तियों का व्यक्तिगत डेटा, चाहे डेटा प्रोसेसर कहीं भी स्थित हो।

एन्क्रिप्शन आवश्यकताएँ (अनिवार्य या प्रोत्साहित)

यद्यपि एलजीपीडी में स्पष्ट रूप से एन्क्रिप्शन की आवश्यकता नहीं है, फिर भी यह इसकी आवश्यकता पर बल देता है उचित सुरक्षा उपाय व्यक्तिगत डेटा की सुरक्षा के लिए। अनुच्छेद 46 निर्दिष्ट करता है कि संगठनों को अनधिकृत पहुँच को रोकने के लिए तकनीकी, सुरक्षा और प्रशासनिक सुरक्षा उपाय अपनाने चाहिए। पूरी तरह से गुमनाम या पुनर्प्राप्ति से परे एन्क्रिप्टेड डेटा इन विनियमों के अधीन नहीं है।

अनुपालन के लिए, संगठनों को विभिन्न रणनीतियों का कार्यान्वयन करना चाहिए, जैसे:

  • सुरक्षा नीतियाँ और घटना प्रतिक्रिया योजनाएँ।
  • कर्मचारियों के लिए जागरूकता प्रशिक्षण।
  • प्रवेश नियंत्रण और अन्य तकनीकी उपाय।

सर्वरियन जैसे होस्टिंग समाधानों का उपयोग करने वाली कंपनियों के लिए, LGPD मानकों को पूरा करने के लिए मज़बूत एन्क्रिप्शन प्रोटोकॉल बनाए रखना महत्वपूर्ण है। विभिन्न स्टोरेज प्लेटफ़ॉर्म पर डेटा की सुरक्षा के लिए ये उपाय आवश्यक हैं।

एंटरप्राइज़ स्टोरेज पर प्रयोज्यता

एंटरप्राइज़ स्टोरेज सिस्टम को LGPD के सुरक्षा दिशानिर्देशों के अनुरूप होना चाहिए। इसका मतलब है कि व्यवसायों को यह दस्तावेज़ बनाना होगा कि डेटा कैसे एकत्र, उपयोग, संग्रहीत और साझा किया जाता है। उन्हें कानून के अनुपालन को सुनिश्चित करने के लिए अंतर्राष्ट्रीय डेटा स्थानांतरण का भी मूल्यांकन करना होगा।

प्रमुख चरणों में शामिल हैं:

  • डेटा संरक्षण ढांचे की स्थापना करना।
  • नियमित रूप से डेटा संरक्षण प्रभाव आकलन (डीपीआईए) का संचालन करना।
  • अनुपालन प्रयासों की निगरानी के लिए एक डेटा संरक्षण अधिकारी (डीपीओ) की नियुक्ति करना।
  • डेटा उल्लंघन प्रतिक्रिया योजना तैयार करना।
  • डेटा संरक्षण की सर्वोत्तम प्रथाओं पर कर्मचारियों को प्रशिक्षण देना।

सेवा प्रदाताओं को संपूर्ण डेटा प्रसंस्करण श्रृंखला में LGPD-अनुरूप सुरक्षा मानकों को भी पूरा करना होगा।

गैर-अनुपालन के लिए दंड

एलजीपीडी का पालन न करने पर भारी जुर्माना लग सकता है - ब्राज़ील में किसी कंपनी के शुद्ध राजस्व का 2% तक, जिसकी अधिकतम सीमा प्रति उल्लंघन R$50 मिलियन है। अतिरिक्त दंडों में शामिल हैं:

  • अनसुलझे मुद्दों के लिए दैनिक जुर्माना।
  • उल्लंघनों का सार्वजनिक प्रकटीकरण।
  • व्यक्तिगत डेटा को अवरुद्ध करना या हटाना।
  • डेटा प्रसंस्करण गतिविधियों का निलंबन या निषेध।

हाल के प्रवर्तन मामलों ने इस कानून की कठोरता को उजागर किया है। उदाहरण के लिए, 6 जुलाई, 2023 को, टेलीकॉल इन्फोसर्विस पर कई उल्लंघनों के लिए 14,400 ब्राज़ीलियन रियाल (लगभग 1,400,0 ...

वित्तीय दंड के अलावा, अनुपालन न करने पर प्रभावित व्यक्तियों द्वारा मुकदमा दायर किया जा सकता है, कंपनी की प्रतिष्ठा को नुकसान पहुँच सकता है, और यहाँ तक कि डेटा प्रोसेसिंग विशेषाधिकार भी छिन सकते हैं। ब्राज़ील में संचालित व्यवसायों के लिए, LGPD आवश्यकताओं को पूरा करना केवल जुर्माने से बचने के लिए ही नहीं है - यह विश्वास और परिचालन निरंतरता बनाए रखने के लिए भी आवश्यक है।

इसके बाद, हम देखेंगे कि कनाडा का PIPEDA इसी प्रकार की डेटा सुरक्षा चुनौतियों से कैसे निपटता है।

4. व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम (PIPEDA) - कनाडा

कनाडा के व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम (PIPEDA) यह निजी क्षेत्र के संगठनों द्वारा व्यक्तिगत जानकारी के प्रबंधन के लिए नियम निर्धारित करता है। निष्पक्ष सूचना सिद्धांतों पर आधारित, इसका उद्देश्य प्रभावी व्यावसायिक संचालन को समर्थन देते हुए व्यक्तिगत गोपनीयता की रक्षा करना है।

क्षेत्राधिकार और भौगोलिक दायरा

PIPEDA कनाडा में संचालित उन व्यवसायों पर लागू होता है जो अंतर-प्रांतीय या अंतर्राष्ट्रीय लेनदेन में व्यक्तिगत जानकारी का प्रबंधन करते हैं। यह देश भर के निजी क्षेत्र के संगठनों को नियंत्रित करता है और इसमें संघीय रूप से विनियमित उद्योगों के कर्मचारियों की व्यक्तिगत जानकारी शामिल होती है। यदि आपका व्यवसाय प्रांतीय या अंतर्राष्ट्रीय सीमाओं को पार करने वाले डेटा को संसाधित करता है, तो PIPEDA का अनुपालन अनिवार्य है।

एन्क्रिप्शन आवश्यकताएँ (अनिवार्य या प्रोत्साहित)

PIPEDA विशिष्ट सुरक्षा तकनीकों का निर्देश नहीं देता है, लेकिन संगठनों को व्यक्तिगत जानकारी की सुरक्षा के लिए सुरक्षा उपाय लागू करने के लिए दृढ़ता से प्रोत्साहित करता है। सिद्धांत 7 (सुरक्षा उपाय)व्यवसायों को व्यक्तिगत डेटा को हानि, चोरी या अनधिकृत पहुँच जैसे जोखिमों से सुरक्षित रखना आवश्यक है। भंडारण और संचरण के दौरान संवेदनशील जानकारी की सुरक्षा के लिए एन्क्रिप्शन एक अनुशंसित उपाय है। हालाँकि, यह समस्या का केवल एक पहलू है। एक व्यापक सुरक्षा रणनीति में मज़बूत पासवर्ड, फ़ायरवॉल और नियमित अपडेट जैसे उपकरण, भौतिक और संगठनात्मक नियंत्रणों के साथ, शामिल होने चाहिए।

सुरक्षा उपायों का चुनाव डेटा की संवेदनशीलता, उसकी मात्रा, उसके वितरण का तरीका, भंडारण प्रारूप और उससे जुड़े संभावित जोखिमों जैसे कारकों पर निर्भर करता है। सर्वरियन जैसे होस्टिंग समाधानों का उपयोग करने वाली कंपनियों के लिए, डेटा प्रोसेसिंग गतिविधियों में मज़बूत एन्क्रिप्शन लागू करने से PIPEDA की लचीली सुरक्षा अपेक्षाओं को पूरा करने में मदद मिल सकती है।

प्रभावी सुरक्षा बनाए रखने के लिए सुरक्षा प्रोटोकॉल की नियमित समीक्षा आवश्यक है। इन उपायों को एक व्यापक गोपनीयता प्रबंधन ढाँचे में एकीकृत किया जाना चाहिए ताकि यह सुनिश्चित हो सके कि एंटरप्राइज़ स्टोरेज सिस्टम अनुपालन मानकों को पूरा करते हैं।

एंटरप्राइज़ स्टोरेज पर प्रयोज्यता

उद्यमों के लिए, भंडारण प्रणालियों को PIPEDA के गोपनीयता सिद्धांतों के अनुरूप बनाना अनिवार्य है। इसमें एक गोपनीयता प्रबंधन कार्यक्रम विकसित करना, डेटा प्रोसेसिंग के उद्देश्यों का स्पष्ट रूप से दस्तावेज़ीकरण करना और सख्त पहुँच नियंत्रण लागू करना शामिल है। गोपनीयता प्रभाव आकलन (पीआईए) यह मूल्यांकन करने के लिए एक महत्वपूर्ण कदम है कि व्यावसायिक संचालन व्यक्तिगत गोपनीयता को कैसे प्रभावित करते हैं। अन्य प्रमुख उपायों में व्यक्तिगत जानकारी के लिए स्पष्ट अवधारण अवधि निर्धारित करना और कर्मचारियों को गोपनीयता संबंधी सर्वोत्तम प्रथाओं का प्रशिक्षण देना शामिल है।

"एक संगठन को व्यक्तिगत जानकारी के प्रबंधन से संबंधित अपनी नीतियों और प्रथाओं के बारे में विशिष्ट जानकारी व्यक्तियों को आसानी से उपलब्ध करानी चाहिए।" - PIPEDA अनुभाग 4.8.1

संगठनों को पहुँच पैटर्न की निगरानी और अनधिकृत गतिविधियों का पता लगाने के लिए नियमित ऑडिट करने हेतु सख्त प्रक्रियाएँ भी स्थापित करनी चाहिए। गोपनीयता संबंधी शिकायतों का कुशलतापूर्वक समाधान करना और व्यक्तिगत जानकारी की सटीकता सुनिश्चित करना अनुपालन बनाए रखने के लिए समान रूप से महत्वपूर्ण है।

गैर-अनुपालन के लिए दंड

PIPEDA का पालन न करने पर वित्तीय और प्रतिष्ठा संबंधी, दोनों तरह के गंभीर परिणाम हो सकते हैं। वित्तीय दंड अधिकतम 50,000 डॉलर तक हो सकता है। प्रति उल्लंघन CAD $100,000, और आगे की कानूनी कार्रवाई के लिए मामलों को कनाडा के अटॉर्नी जनरल के पास भी भेजा जा सकता है। जुर्माने के अलावा, व्यक्तिगत डेटा का गलत इस्तेमाल किसी कंपनी की प्रतिष्ठा को गंभीर रूप से नुकसान पहुँचा सकता है, खासकर तब जब जनता का 92% उन्होंने इस बात पर चिंता व्यक्त की है कि उनकी जानकारी का प्रबंधन किस प्रकार किया जाता है।

PIPEDA के तहत संगठनों को उन डेटा उल्लंघनों की भी रिपोर्ट करनी होती है जिनसे गंभीर नुकसान का वास्तविक खतरा होता है। ऐसी घटनाओं की सूचना दी जानी चाहिए कनाडा के गोपनीयता आयुक्त, और प्रभावित व्यक्तियों को आवश्यक होने पर सूचित किया जाना चाहिए। प्रभावी घटना प्रतिक्रिया योजना के लिए सभी उल्लंघनों का विस्तृत रिकॉर्ड रखना महत्वपूर्ण है।

ये आवश्यकताएँ कनाडाई बाज़ार में काम करने वाले या वहाँ सेवाएँ देने वाले व्यवसायों के लिए मज़बूत अनुपालन उपायों के महत्व को उजागर करती हैं। एन्क्रिप्शन, अन्य सुरक्षा उपायों के साथ, यह सुनिश्चित करने में महत्वपूर्ण भूमिका निभाता है कि एंटरप्राइज़ स्टोरेज सिस्टम PIPEDA के मानकों को पूरा करें।

5. डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम (डीपीडीपीए) - भारत

भारत का डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम (DPDPA) मजबूत गोपनीयता सुरक्षा उपायों पर जोर देते हुए व्यक्तिगत डेटा के प्रबंधन के लिए स्पष्ट दिशानिर्देश निर्धारित करता है।

क्षेत्राधिकार और भौगोलिक दायरा

डीपीडीपीए भारत में व्यक्तिगत डेटा का प्रबंधन करने वाली सभी संस्थाओं पर लागू होता है, चाहे वे घरेलू हों या अंतर्राष्ट्रीय। यह भारतीय निवासियों और यहाँ तक कि विदेशी निवासियों के व्यक्तिगत डेटा के प्रसंस्करण को नियंत्रित करता है, जब उनका डेटा विदेशी संस्थाओं के साथ अनुबंधों के तहत भारत में संसाधित किया जाता है। अनिवार्य रूप से, यदि आपका व्यवसाय भारत में संचालित होता है या भारतीय निवासियों के डेटा का प्रसंस्करण करता है, तो अनुपालन अनिवार्य है।

यह कानून एक क्षेत्रीय दृष्टिकोण अपनाता है, जिसका अर्थ है कि भारत के बाहर स्थित कंपनियों को भी, यदि वे भारतीय सीमाओं के भीतर व्यक्तियों के व्यक्तिगत डेटा का प्रसंस्करण करती हैं, तो उन्हें इसका अनुपालन करना होगा। यह क्षेत्रीय पहुँच, भारतीय ग्राहकों को सेवा प्रदान करने वाली या इस क्षेत्र में साझेदारी बनाए रखने वाली वैश्विक कंपनियों के लिए अनुपालन को प्राथमिकता देना महत्वपूर्ण बनाती है। नीचे वर्णित एन्क्रिप्शन और अन्य सुरक्षा उपाय इन आवश्यकताओं को पूरा करने में महत्वपूर्ण भूमिका निभाते हैं।

एन्क्रिप्शन आवश्यकताएँ

डीपीडीपीए का अधिदेश "उचित सुरक्षा उपाय" व्यक्तिगत डेटा की सुरक्षा के लिए। इनमें एन्क्रिप्शन, अस्पष्टीकरण, मास्किंग, या आधारभूत उपायों के रूप में वर्चुअल टोकन का उपयोग शामिल है। संवेदनशील डेटा की सुरक्षा के लिए बहुस्तरीय सुरक्षा सुनिश्चित करने हेतु संगठनों को इन तकनीकी और संगठनात्मक सुरक्षा उपायों को लागू करना होगा।

नियमित लॉग समीक्षाओं के साथ विस्तृत एक्सेस नियंत्रण भी आवश्यक हैं। इसके अतिरिक्त, व्यवसायों को डेटा हानि या सिस्टम व्यवधान की स्थिति में निरंतरता सुनिश्चित करने के लिए डेटा बैकअप बनाए रखना चाहिए। उपयोग करने वाली कंपनियों के लिए एंटरप्राइज़ होस्टिंग समाधानमज़बूत एन्क्रिप्शन, DPDPA की कठोर आवश्यकताओं के अनुरूप है। संगठनों को उल्लंघन का पता लगाने, जाँच करने और रोकथाम में सहायता के लिए कम से कम एक वर्ष तक डेटा और एक्सेस लॉग बनाए रखना आवश्यक है।

एंटरप्राइज़ स्टोरेज पर प्रयोज्यता

एंटरप्राइज़ स्टोरेज सिस्टम को व्यक्तिगत डेटा को वर्गीकृत करके और उसकी प्रोसेसिंग आवश्यकताओं को परिभाषित करके DPDPA के ढाँचे का अनुपालन करना होगा। प्रभावी अनुपालन रणनीतियों के निर्माण के लिए यह वर्गीकरण आवश्यक है।

व्यवसायों को डेटा प्रोसेसरों के साथ स्पष्ट अनुबंध भी स्थापित करने होंगे, ताकि यह सुनिश्चित हो सके कि संपूर्ण प्रसंस्करण श्रृंखला में सुरक्षा उपायों और दायित्वों का पालन किया जाए। इन समझौतों में प्राथमिक डेटा न्यासी के समान विशिष्ट ज़िम्मेदारियाँ और सुरक्षा उपाय शामिल होने चाहिए। औपचारिक डेटा प्रसंस्करण समझौते डीपीडीपीए के तहत एक कानूनी आवश्यकता हैं।

"व्यवसायों को गोपनीयता बढ़ाने वाली तकनीकों में निवेश करके, नियामक जोखिम आकलन करके और उपयोगकर्ता-केंद्रित डेटा गवर्नेंस मॉडल लागू करके सक्रिय अनुपालन रणनीतियों को अपनाना शुरू कर देना चाहिए।" - श्री गौरव भल्ला, पार्टनर, अहलावत एंड एसोसिएट्स

घटना प्रतिक्रिया प्रक्रियाएँ एक और महत्वपूर्ण तत्व हैं। संगठनों को सूचित करने के लिए तैयार रहना चाहिए भारतीय डेटा संरक्षण बोर्ड (डीपीबीआई) और उल्लंघन की स्थिति में प्रभावित व्यक्तियों के लिए। डीपीडीपीए द्वारा परिभाषित उल्लंघन में व्यक्तिगत डेटा की कोई भी अनधिकृत पहुँच, आकस्मिक प्रकटीकरण, दुरुपयोग, परिवर्तन, विनाश या हानि शामिल है जो इसकी गोपनीयता, अखंडता या उपलब्धता से समझौता करती है। ये आवश्यकताएँ व्यापक उद्यम अनुपालन रणनीतियों के अनुरूप हैं।

गैर-अनुपालन के लिए दंड

अनुपालन न करने पर वित्तीय दंड बहुत अधिक है, तथा जुर्माना 10 लाख रुपये तक हो सकता है। ₹250 करोड़ (लगभग $30 मिलियन) या 4% का वैश्विक कारोबारये दंड कानून का पालन करने और मजबूत सुरक्षा उपायों को लागू करने के महत्व को रेखांकित करते हैं।

जुर्माने के अलावा, अनुपालन न करने से भारतीय बाज़ार में प्रतिष्ठा को नुकसान और ग्राहकों का विश्वास भी कम हो सकता है। इन जोखिमों को कम करने के लिए, कंपनियों को एक व्यापक दृष्टिकोण अपनाना चाहिए, जिसमें एक विशेषज्ञ की नियुक्ति भी शामिल है। डेटा संरक्षण अधिकारी (डीपीओ) भारत में स्थित एक नियामक संपर्क अधिकारी के रूप में कार्य करने के लिए एक टीम। स्वचालित खतरा पहचान प्रणालियाँ और उल्लंघन सूचना टेम्पलेट भी घटनाओं पर त्वरित प्रतिक्रिया सुनिश्चित करने में मदद कर सकते हैं।

नियमित भेद्यता आकलन और जोखिम-आधारित तकनीकी एवं संगठनात्मक उपाय आवश्यक हैं। व्यवसायों को सीमा-पार डेटा स्थानांतरण पर संभावित प्रतिबंधों का भी मूल्यांकन करना चाहिए और पूरी तरह से अनुपालन बनाए रखने के लिए स्थानीय डेटा मिररिंग या स्टोरेज जैसे विकल्पों पर विचार करना चाहिए। इन आवश्यकताओं को समझना और उनका समाधान करना, एंटरप्राइज़ स्टोरेज सिस्टम को स्थानीय और वैश्विक, दोनों डेटा सुरक्षा मानकों के अनुरूप बनाने के लिए महत्वपूर्ण है।

6. व्यक्तिगत सूचना संरक्षण कानून (पीआईपीएल) - चीन

चीन का व्यक्तिगत सूचना संरक्षण कानून (पीआईपीएल) डेटा संरक्षण और एन्क्रिप्शन के लिए सख्त नियम लागू करता है, जो वैश्विक स्तर पर अनुपालन के लिए उच्च मानक निर्धारित करता है।

क्षेत्राधिकार और भौगोलिक दायरा

पीआईपीएल चीन के भीतर व्यक्तियों की व्यक्तिगत जानकारी का प्रबंधन करने वाले किसी भी संगठन पर लागू होता है। इसकी पहुँच चीन की सीमाओं से परे है, और यह घरेलू और अंतर्राष्ट्रीय दोनों व्यवसायों को प्रभावित करता है। यदि कोई कंपनी चीन में व्यक्तियों से संबंधित डेटा एकत्र करती है, संग्रहीत करती है, उपयोग करती है या संसाधित करती है – भले ही उसकी चीन में भौतिक उपस्थिति न हो – तो उसे इसका पालन करना होगा। इसमें चीनी उपयोगकर्ताओं को उत्पाद या सेवाएँ प्रदान करने वाले या उनके व्यवहार का विश्लेषण करने वाले व्यवसाय शामिल हैं।

सीमा पार डेटा हस्तांतरण के मामले में, कानून कड़े प्रतिबंध लगाता है। कंपनियों को यह सुनिश्चित करना होगा कि डेटा का कोई भी विदेशी प्राप्तकर्ता PIPL के तहत निर्धारित सुरक्षा मानकों का पालन करे। इसके अतिरिक्त, व्यवसायों को अनुपालन की निगरानी और किसी भी कानूनी ज़िम्मेदारी को पूरा करने के लिए चीन में एक घरेलू प्रतिनिधि नियुक्त करना आवश्यक है।

एन्क्रिप्शन आवश्यकताएँ

एन्क्रिप्शन PIPL के तकनीकी सुरक्षा उपायों का आधार है। संगठनों को इसका पालन करना होगा। वाणिज्यिक एन्क्रिप्शन विनियम, जो सरकार द्वारा अनुमोदित एन्क्रिप्शन एल्गोरिदम के उपयोग को अनिवार्य बनाते हैं। AES जैसे सामान्य एन्क्रिप्शन मानकों की अनुमति तब तक नहीं है जब तक कि चीनी अधिकारियों द्वारा विशेष रूप से प्रमाणित न किया गया हो। इसके अलावा, सभी एन्क्रिप्टेड संवेदनशील डेटा और एन्क्रिप्शन कुंजियों को चीन की सीमाओं के भीतर संग्रहीत किया जाना चाहिए। बहुराष्ट्रीय कंपनियों के लिए, यह महत्वपूर्ण बाधाएँ पैदा करता है, क्योंकि उन्हें स्थानीय एन्क्रिप्शन एल्गोरिदम और कुंजी प्रबंधन प्रणालियों के अनुकूल होना पड़ता है।

एंटरप्राइज़ स्टोरेज पर प्रयोज्यता

पीआईपीएल चीन में एंटरप्राइज़ डेटा स्टोरेज के लिए भी स्पष्ट नियम निर्धारित करता है। व्यक्तिगत जानकारी आमतौर पर देश के भीतर ही रहनी चाहिए, जब तक कि सीमा पार स्थानांतरण की सख्त शर्तें पूरी न हों। सावधानी बरतने के लिए, व्यवसाय अक्सर अनिश्चित डेटा को "महत्वपूर्ण डेटा" के रूप में वर्गीकृत कर देते हैं, जिससे उन्नत एन्क्रिप्शन आवश्यकताओं सहित अतिरिक्त सुरक्षा प्रोटोकॉल लागू हो जाते हैं।

अनुपालन के लिए, कंपनियों को व्यक्तिगत जानकारी को उल्लंघन, चोरी या आकस्मिक विलोपन से बचाने के लिए एन्क्रिप्शन और डी-आइडेंटिफिकेशन जैसे उपाय लागू करने होंगे। नियमित अनुपालन जाँच आवश्यक है, जिसमें एन्क्रिप्शन प्रथाओं का ऑडिट, स्वीकृत एल्गोरिदम का सत्यापन और यह सुनिश्चित करना शामिल है कि एन्क्रिप्शन कुंजियाँ चीनी क्षेत्राधिकार के भीतर रहें। इन आवश्यकताओं की जटिलता को देखते हुए, अनुपालन चुनौतियों से निपटने के लिए स्थानीय कानूनी और सुरक्षा विशेषज्ञों के साथ काम करना महत्वपूर्ण है।

गैर-अनुपालन के लिए दंड

पीआईपीएल का उल्लंघन करने पर कठोर दंड का प्रावधान है। चीन का साइबरस्पेस प्रशासन (CAC) कानून लागू करता है और भारी जुर्माना या अन्य प्रतिबंध लगा सकता है। मामूली उल्लंघनों पर 1 मिलियन युआन (लगभग $150,000) तक का जुर्माना हो सकता है, और ज़िम्मेदार व्यक्तियों पर 10,000 से 100,000 युआन ($1,500–$15,000) तक का जुर्माना लगाया जा सकता है। गंभीर उल्लंघनों पर 50 मिलियन युआन (लगभग $7.7 मिलियन) या कंपनी के पिछले वर्ष के राजस्व का 5%, जो भी अधिक हो, तक का जुर्माना लगाया जा सकता है। गंभीर उल्लंघनों में शामिल व्यक्तियों को 7 साल तक की जेल हो सकती है।

हाल के चर्चित मामलों ने दिखाया है कि ये दंड कितने गंभीर हो सकते हैं, जिनमें करोड़ों युआन का जुर्माना और जेल की सज़ा शामिल है। ऐसे परिणामों से बचने के लिए, कंपनियों को नियमित निगरानी, ऑडिट और डेटा उल्लंघन सूचना प्रक्रियाओं सहित मज़बूत अनुपालन ढाँचे स्थापित करने होंगे। इस कठोर नियामक परिदृश्य में सही दिशा में बने रहने के लिए ये उपाय आवश्यक हैं।

7. डिजिटल ऑपरेशनल रेजिलिएंस एक्ट (DORA) - यूरोपीय संघ (वित्तीय क्षेत्र)

डिजिटल ऑपरेशनल रेजिलिएंस एक्ट (DORA) यूरोपीय संघ (EU) के भीतर कार्यरत वित्तीय संस्थाओं के लिए सख्त साइबर सुरक्षा और ऑपरेशनल रेजिलिएंस मानक निर्धारित करता है। इसका उद्देश्य यह सुनिश्चित करना है कि वित्तीय क्षेत्र साइबर खतरों और व्यवधानों का प्रभावी ढंग से सामना कर सके।

क्षेत्राधिकार और भौगोलिक दायरा

DORA यूरोपीय संघ के भीतर वित्तीय संस्थाओं की एक विस्तृत श्रृंखला पर लागू होता है, जिनमें बैंक, निवेश फर्म, क्रेडिट संस्थान, क्रिप्टो-एसेट सेवा प्रदाता और क्राउडफंडिंग प्लेटफ़ॉर्म शामिल हैं। यह तृतीय-पक्ष ICT प्रदाताओं पर भी लागू होता है, यहाँ तक कि यूरोपीय संघ के बाहर स्थित संस्थाओं पर भी, बशर्ते वे यूरोपीय संघ के वित्तीय संस्थानों की सेवा करते हों। इसमें क्रेडिट रेटिंग एजेंसियों और डेटा एनालिटिक्स फर्मों जैसे आवश्यक सेवा प्रदाता भी शामिल हैं। 2025 से, यूरोपीय पर्यवेक्षी प्राधिकरण - ESMA, EBA और EIOPA - बेहतर निगरानी के लिए महत्वपूर्ण तृतीय-पक्ष ICT सेवा प्रदाताओं की पहचान करेंगे। हालाँकि छोटी संस्थाओं को सरलीकृत अनुपालन आवश्यकताओं से लाभ हो सकता है, लेकिन अधिकांश संगठनों को विनियमन के पूर्ण दायरे का पालन करना होगा।

एन्क्रिप्शन आवश्यकताएँ

DORA डेटा एन्क्रिप्शन के लिए एक व्यापक दृष्टिकोण अपनाता है, जिसके तहत वित्तीय संस्थाओं को तीन अवस्थाओं में डेटा सुरक्षित करने की आवश्यकता होती है: विश्राम में, पारगमन में, और उपयोग मेंयह अंतिम आवश्यकता, डेटा-इन-यूज़ एन्क्रिप्शन, विशेष रूप से उल्लेखनीय है क्योंकि इसे वैश्विक स्तर पर व्यापक रूप से लागू नहीं किया गया है।

विनियमन में यह अनिवार्य किया गया है कि वित्तीय संस्थाएँ ऐसी आईसीटी सुरक्षा नीतियाँ स्थापित करें जो डेटा की उपलब्धता, प्रामाणिकता, अखंडता और गोपनीयता को प्राथमिकता दें। इसमें जोखिम-आधारित एन्क्रिप्शन रणनीतियाँ तैयार करना और उभरते साइबर सुरक्षा खतरों से निपटने के लिए नियमित मूल्यांकन करना शामिल है।

"वित्तीय संस्थाएँ आईसीटी सुरक्षा नीतियों, प्रक्रियाओं, प्रोटोकॉल और उपकरणों को डिज़ाइन, प्राप्त और कार्यान्वित करेंगी जिनका उद्देश्य आईसीटी प्रणालियों की लचीलापन, निरंतरता और उपलब्धता सुनिश्चित करना है, विशेष रूप से उन प्रणालियों के लिए जो महत्वपूर्ण या महत्त्वपूर्ण कार्यों का समर्थन करती हैं, और डेटा की उपलब्धता, प्रामाणिकता, अखंडता और गोपनीयता के उच्च मानकों को बनाए रखना है, चाहे वह स्थिर हो, उपयोग में हो या पारगमन में हो।" - DORA, अनुच्छेद 9.2

DORA वित्तीय संस्थाओं को विश्वसनीय नेटवर्क के भीतर साइबर खतरों और कमजोरियों के बारे में जानकारी साझा करने के लिए भी प्रोत्साहित करता है ताकि पूरे क्षेत्र में लचीलापन मजबूत हो सके।

एंटरप्राइज़ स्टोरेज पर प्रयोज्यता

यह विनियमन उद्यम भंडारण प्रणालियों पर विशेष रूप से महत्वपूर्ण वित्तीय डेटा का प्रबंधन करने वाले संस्थानों के लिए ज़ोर देता है। संगठनों को यह सुनिश्चित करना होगा कि उनके भंडारण समाधानों में मज़बूत बैकअप क्षमताएँ, पुनर्प्राप्ति तंत्र और तृतीय-पक्ष प्रदाताओं की निरंतर निगरानी शामिल हो।

उदाहरण के लिए, सर्वरियन के होस्टिंग समाधानों – जैसे समर्पित सर्वर, वीपीएस, या कोलोकेशन सेवाओं – का उपयोग करने वाली कंपनियों को यह सुनिश्चित करना होगा कि ये सिस्टम DORA की कड़ी सुरक्षा और लचीलापन आवश्यकताओं के अनुरूप हों। नियमों का पालन बनाए रखने के लिए नियमित ऑडिट और स्वचालित अनुपालन जाँच अत्यंत महत्वपूर्ण हैं। ये उपाय वित्तीय क्षेत्र में सुरक्षित भंडारण और पुनर्प्राप्ति रणनीतियों के महत्व को रेखांकित करते हैं।

गैर-अनुपालन के लिए दंड

DORA का पालन न करने पर भारी जुर्माना लग सकता है। वित्तीय संस्थानों को अधिकतम 50,000 तक का जुर्माना लग सकता है। उनके कुल वार्षिक वैश्विक कारोबार का 2% या उनके औसत दैनिक कारोबार का 1%बड़े संगठनों के लिए, इसका मतलब करोड़ों डॉलर का जुर्माना हो सकता है। इसके अतिरिक्त, विशिष्ट दंडों में शामिल हैं:

  • तक का जुर्माना $1.09 मिलियन अधिकारियों और कंपनियों के लिए।
  • महत्वपूर्ण तृतीय-पक्ष आईसीटी प्रदाताओं को अधिकतम जुर्माना का सामना करना पड़ सकता है $5.45 मिलियन कंपनियों के लिए या $545,000 व्यक्तियों के लिए.
  • साइबर सुरक्षा में विफलता के कारण अधिकतम जुर्माना हो सकता है $2.18 मिलियन या वार्षिक कारोबार का 2%.
  • घटना की देरी से सूचना देने पर जुर्माना लग सकता है $272,000.

"हालांकि साइबर सुरक्षा एक प्राथमिकता बनी हुई है, वित्तीय संस्थानों के लिए इन जोखिमों की ज़िम्मेदारी को वरिष्ठ स्तर तक बढ़ाने की ज़रूरत है। कई वित्तीय संस्थान (FI) अभी भी साझा ज़िम्मेदारी मॉडल को पूरी तरह से नहीं समझ पाए हैं, और ग़लतफ़हमी में हैं कि SaaS सेवाओं का लचीलापन पूरी तरह से आपूर्तिकर्ता के हाथ में है।" - वेन स्कॉट, एस्कोड में नियामक अनुपालन समाधान प्रमुख

विश्लेषकों का अनुमान है कि 17 जनवरी, 2025 तक, 99% लागू वित्तीय संस्थाएँ DORA अनुपालन के लिए तैयार नहीं थीं। इन गंभीर दंडों से बचने के लिए, संगठनों को एन्क्रिप्शन को प्राथमिकता देनी होगी, नियमित साइबर सुरक्षा ऑडिट करने होंगे, समर्पित अनुपालन दल स्थापित करने होंगे, अधिकारियों को उनकी कानूनी ज़िम्मेदारियों के बारे में प्रशिक्षित करना होगा, और सिस्टम की लचीलापन और सटीक घटना रिपोर्टिंग सुनिश्चित करने के लिए अनुभवी साइबर सुरक्षा प्रदाताओं के साथ सहयोग करना होगा।

डेटा एन्क्रिप्शन कानूनों की तुलनात्मक तालिका

डेटा एन्क्रिप्शन कानून क्षेत्राधिकार के आधार पर व्यापक रूप से भिन्न होते हैं। प्रत्येक विनियमन एन्क्रिप्शन आवश्यकताओं, दंडों और प्रवर्तन तकनीकों को अपने तरीके से निर्धारित करता है। नीचे दी गई तालिका इन कानूनों के प्रमुख विवरणों पर प्रकाश डालती है, जो आगे के अनुभागों में बताई गई अनुपालन रणनीतियों के लिए एक उपयोगी आधार प्रदान करती है।

कानून क्षेत्राधिकार एन्क्रिप्शन आवश्यकताएँ डेटा कवर किए गए राज्य अधिकतम दंड प्राथमिक उद्योग
जीडीपीआर यूरोपीय संघ एन्क्रिप्शन सहित "उचित तकनीकी उपाय" विश्राम में, पारगमन में €20 मिलियन या 4% का वैश्विक कारोबार सभी क्षेत्रों
सीपीआरए कैलिफ़ोर्निया, अमेरिका "उचित सुरक्षा प्रक्रियाएँ" विश्राम में, पारगमन में जानबूझकर उल्लंघन करने पर $7,500 सभी क्षेत्रों
एलजीपीडी ब्राज़िल एन्क्रिप्शन सहित "तकनीकी सुरक्षा उपाय" विश्राम में, पारगमन में 2% राजस्व, अधिकतम ~$9.3 मिलियन सभी क्षेत्रों
पिपेडा कनाडा "उचित सुरक्षा उपाय" विश्राम में, पारगमन में एन/ए सभी क्षेत्रों
डीपीडीपीए भारत "उचित सुरक्षा प्रथाएँ" विश्राम में, पारगमन में एन/ए सभी क्षेत्रों
पीआईपीएल चीन एन्क्रिप्शन सहित "तकनीकी उपाय" विश्राम में, पारगमन में एन/ए सभी क्षेत्रों
डोरा यूरोपीय संघ (वित्तीय) अनिवार्य एन्क्रिप्शन विश्राम में, पारगमन में एन/ए केवल वित्तीय सेवाएँ

दृष्टिकोण में प्रमुख अंतर

एन्क्रिप्शन की ज़रूरतें इस बात में अलग-अलग होती हैं कि उन्हें कितनी स्पष्टता से परिभाषित किया गया है। उदाहरण के लिए, GDPR "उचित तकनीकी उपायों" का आह्वान करता है, जो कार्यान्वयन में लचीलापन प्रदान करता है। दूसरी ओर, DORA स्पष्ट रूप से एन्क्रिप्शन को अनिवार्य बनाता है, खासकर वित्तीय सेवाओं के लिए। यह अंतर विभिन्न नियमों द्वारा प्रदान की गई विशिष्टता के विभिन्न स्तरों को दर्शाता है।

यूरोपीय बैंकिंग प्राधिकरण अनुपालन के लिए विस्तृत मार्गदर्शन प्रदान करता है, जिसमें कहा गया है:

"पीएसपी को यह सुनिश्चित करना चाहिए कि इंटरनेट के माध्यम से संवेदनशील डेटा का आदान-प्रदान करते समय, संबंधित संचार सत्र के दौरान संचार करने वाले पक्षों के बीच सुरक्षित एंड-टू-एंड एन्क्रिप्शन लागू किया जाए, ताकि डेटा की गोपनीयता और अखंडता की रक्षा की जा सके, मजबूत और व्यापक रूप से मान्यता प्राप्त एन्क्रिप्शन तकनीकों का उपयोग किया जा सके।"

दंड संरचनाएं

अनुपालन न करने के वित्तीय परिणाम काफ़ी अलग-अलग होते हैं। जीडीपीआर कुछ सबसे ज़्यादा जुर्माने लगाता है, जिनकी राशि €20 मिलियन या वैश्विक कारोबार के 4% तक पहुँच सकती है। वहीं, सीपीआरए प्रति-उल्लंघन दंड मॉडल का उपयोग करता है, जिसके परिणामस्वरूप बार-बार उल्लंघन करने पर जुर्माने में वृद्धि हो सकती है। अन्य नियमों के लिए, दंड का विवरण कम स्पष्ट रूप से परिभाषित है, जिससे स्थानीय प्रवर्तन प्रथाओं को समझने की आवश्यकता पर बल मिलता है।

भौगोलिक और उद्योग क्षेत्र

जबकि अधिकांश नियम अपने अधिकार क्षेत्र के अंतर्गत सभी उद्योगों पर लागू होते हैं, DORA एक अपवाद है, जो विशेष रूप से वित्तीय सेवाओं पर केंद्रित है। यह लक्षित दृष्टिकोण वित्तीय संचालन में डेटा सुरक्षा के महत्वपूर्ण महत्व को दर्शाता है। दिलचस्प बात यह है कि सेक्टिगो द्वारा किए गए एक अध्ययन में पाया गया कि 25% यूरोपीय बैंकों में अभी भी विस्तारित सत्यापन का अभाव है। एसएसएल प्रमाणपत्रसुरक्षा मानकों को पूरा करने में जारी चुनौतियों पर प्रकाश डाला गया।

प्रवर्तन विविधताएँ

प्रवर्तन दर्शन भी भिन्न होते हैं। कुछ कानून विकसित होती तकनीकों के अनुकूल होने के लिए लचीलापन प्रदान करते हैं, जबकि अन्य, जैसे DORA, सख्त दिशानिर्देश प्रदान करते हैं, जैसे कि इंटरनेट डेटा एक्सचेंजों के लिए सुरक्षित एंड-टू-एंड एन्क्रिप्शन की आवश्यकता। ये अंतर विशिष्ट नियामक आवश्यकताओं के अनुरूप एन्क्रिप्शन रणनीतियों को अनुकूलित करने के महत्व को रेखांकित करते हैं।

विभिन्न क्षेत्रों में काम करने वाले व्यवसायों के लिए, इन बारीकियों को समझना ज़रूरी है। चाहे आप समर्पित सर्वर, वीपीएस, या सर्वरियन जैसे प्रदाताओं की कोलोकेशन सेवाओं का उपयोग कर रहे हों, एन्क्रिप्शन प्रथाओं को स्थानीय कानूनों के अनुरूप बनाना अनुपालन की दिशा में एक महत्वपूर्ण कदम है।

उद्यम अनुपालन आवश्यकताओं को कैसे पूरा कर सकते हैं

एन्क्रिप्शन अनुपालन आवश्यकताओं का पालन करने के लिए, उद्यमों को केवल उन्नत सुरक्षा उपकरणों से कहीं अधिक की आवश्यकता होती है - उन्हें एक संरचित अनुपालन ढाँचे की आवश्यकता होती है। इसमें निरंतर निगरानी, नियमित ऑडिट, विस्तृत दस्तावेज़ीकरण और नीतियों का निरंतर प्रवर्तन शामिल है। यहाँ बताया गया है कि संगठन इन माँगों को प्रभावी ढंग से कैसे पूरा कर सकते हैं।

नियमित लेखापरीक्षा प्रथाओं की स्थापना

ऑडिट किसी भी अनुपालन रणनीति की रीढ़ होते हैं। आंतरिक और बाह्य दोनों ऑडिट महत्वपूर्ण भूमिका निभाते हैं। आंतरिक ऑडिट संभावित कमियों की पहचान करने के लिए संगठन के गहन ज्ञान का लाभ उठाते हैं, जबकि बाह्य ऑडिट एक नया, निष्पक्ष दृष्टिकोण प्रदान करते हैं जो अनदेखी की गई कमज़ोरियों को उजागर कर सकता है। ये ऑडिट मिलकर यह सुनिश्चित करते हैं कि सुरक्षा उपाय न केवल लागू हों, बल्कि समय के साथ प्रभावी भी रहें।

मजबूत दस्तावेज़ीकरण प्रणाली का निर्माण

नियामक अनुपालन के लिए स्पष्ट और विस्तृत दस्तावेज़ीकरण अत्यंत महत्वपूर्ण है। जैसा कि साइबर स्टाफिंग एवं रिक्रूटिंग बिज़नेस इनोवेटर एवं स्ट्रैटेजिस्ट, और पूर्व CISO, पीटर श्वाकर कहते हैं:

"नीति प्रबंधन की मंशा का स्पष्ट बयान होती है। यह संगठन का ध्रुव तारा है। इसके बिना, संरेखण हासिल करना मुश्किल से असंभव है। और अगर आप लोगों को जवाबदेह ठहरा भी पाते हैं, तो जवाबदेही बहुत पेचीदा मामला बन जाती है।"

संगठनों को एन्क्रिप्शन कुंजी प्रबंधन, डेटा हैंडलिंग प्रोटोकॉल और घटना प्रतिक्रिया योजनाओं का दस्तावेज़ीकरण करना आवश्यक है। उदाहरण के लिए, उचित रूप से अनुरक्षित घटना प्रतिक्रिया योजनाएँ डाउनटाइम को काफ़ी कम कर सकती हैं और उल्लंघनों के प्रभाव को कम कर सकती हैं। यह विशेष रूप से महत्वपूर्ण है क्योंकि वैश्विक साइबर अपराध की लागत 2025 तक सालाना 1 ट्रिलियन 4 ट्रिलियन 10.5 ट्रिलियन तक पहुँचने का अनुमान है।

नीतियों को लगातार लागू करना

नीति प्रवर्तन में निरंतरता अनुपालन संबंधी कमियों से बचने की कुंजी है। नीति निर्माण में विभिन्न विभागों के कर्मचारियों को शामिल करने से यह सुनिश्चित होता है कि दिशानिर्देश व्यावहारिक और प्रासंगिक हों। इन नीतियों के नियमित अद्यतन संगठनों को बदलते खतरों और नियामक परिवर्तनों के साथ तालमेल बनाए रखने में मदद करते हैं, जिससे अनुपालन एक बार की प्रक्रिया के बजाय एक सतत प्रक्रिया बन जाता है।

सही बुनियादी ढांचे का चयन

सही बुनियादी ढाँचा अनुपालन को और अधिक प्रबंधनीय बना सकता है। अंतर्निहित सुरक्षा सुविधाओं, जैसे DDoS सुरक्षा, SSL प्रमाणपत्र और सुरक्षित डेटा सेंटर संचालन, वाले होस्टिंग प्रदाता एक मज़बूत आधार प्रदान करते हैं। उदाहरण के लिए, सर्वरियन का वैश्विक बुनियादी ढाँचा अपनी मज़बूत सुरक्षा प्रथाओं और डेटा रेजिडेंसी विकल्पों के साथ अनुपालन का समर्थन करता है, जिससे उद्यमों के लिए नियामक मानकों को पूरा करना आसान हो जाता है।

प्रशिक्षण और संस्कृति में सुरक्षा को शामिल करना

नियमित प्रशिक्षण कार्यक्रम यह सुनिश्चित करते हैं कि कर्मचारी एन्क्रिप्शन मानकों और अनुपालन को बनाए रखने में अपनी भूमिका समझें। ऐसी संस्कृति को बढ़ावा देकर जहाँ सुरक्षा एक साझा ज़िम्मेदारी हो, संगठन ऐसा वातावरण बना सकते हैं जहाँ अनुपालन स्वाभाविक हो जाए।

निरंतर निगरानी और सुधार

सिस्टम और साइबर खतरों, दोनों के विकास के साथ, निरंतर निगरानी आवश्यक है। इसमें एक्सेस नियंत्रणों की समीक्षा, एन्क्रिप्शन कुंजी रोटेशन का प्रबंधन और सुरक्षा प्रमाणपत्रों का नवीनीकरण शामिल है। स्वचालित उपकरण संभावित अनुपालन समस्याओं को वास्तविक समय में चिह्नित कर सकते हैं, जिससे टीमें त्वरित सुधारात्मक कार्रवाई कर सकती हैं और अपनी सुरक्षा स्थिति को लगातार मजबूत कर सकती हैं।

निष्कर्ष

वैश्विक डेटा एन्क्रिप्शन कानूनों का पालन करना सिर्फ़ कानूनी जाँच-पड़ताल करने तक सीमित नहीं है - यह आपके व्यवसाय को भारी वित्तीय नुकसान और प्रतिष्ठा को होने वाले नुकसान से बचाने का एक महत्वपूर्ण कदम है। आँकड़े बहुत कुछ बयां करते हैं: कंपनियों को कितना नुकसान हो सकता है? उनकी बाजार हिस्सेदारी का 25% साइबर हमले के बाद, और गैर-अनुपालन लागत चौंका देने वाली है 2.71 गुना अधिक अनुपालन बनाए रखने के लिए ज़रूरी खर्चों से ज़्यादा। अगर यह बात इस तात्कालिकता को रेखांकित नहीं करती, तो कुछ भी नहीं करेगा।

नियामक प्रवर्तन पर दोगुना ज़ोर दे रहे हैं, और चूक के परिणाम पहले से कहीं ज़्यादा कठोर हैं। हाल के मामले लापरवाही की भारी कीमत को उजागर करते हैं। उदाहरण के लिए, सोलारा मेडिकल सप्लाइज़ को ही लीजिए - 114,000 से ज़्यादा लोगों का संवेदनशील स्वास्थ्य डेटा उजागर करने के बाद, उन्हें $3 मिलियन का जुर्माना यह मामला एक गंभीर चेतावनी है कि अनुपालन को छोड़ने से पैसा नहीं बचता; यह लंबे समय में बहुत अधिक महंगा पड़ता है।

वकील जोआन व्राबेट्ज़ ने इसे बिल्कुल सही कहा है: गोपनीयता अब एक मात्र कानूनी आवश्यकता से बढ़कर एक अनिवार्य आवश्यकता बन गई है। केंद्रीय व्यावसायिक रणनीतिएन्क्रिप्शन अब बाजार के नेताओं के लिए एक प्रमुख विभेदक के रूप में कार्य कर रहा है।

इन जोखिमों को कम करने के लिए, व्यवसायों को सुरक्षित बुनियादी ढाँचे में निवेश करके अभी से कदम उठाने की ज़रूरत है। इसका मतलब है होस्टिंग प्रदाताओं के साथ साझेदारी जो अंतर्निहित सुरक्षा सुविधाएँ प्रदान करते हैं जैसे डीडीओएस सुरक्षा, एसएसएल प्रमाणपत्र, और वैश्विक कवरेज के साथ सुरक्षित डेटा केंद्र। उदाहरण के लिए, सर्वरियन मज़बूत सुरक्षा उपाय और लचीले डेटा रेजिडेंसी विकल्प प्रदान करता है, जिससे कंपनियों को परिचालन दक्षता से समझौता किए बिना जटिल नियामक मांगों को पूरा करने में मदद मिलती है।

जैसे-जैसे सरकारें सख्त डेटा संरक्षण नियम लागू कर रही हैं, एन्क्रिप्शन और सुरक्षित भंडारण समाधानों को प्राथमिकता देने वाले संगठन आज की डिजिटल अर्थव्यवस्था में अग्रणी के रूप में खुद को स्थापित करेंगे।

पूछे जाने वाले प्रश्न

GDPR और CPRA की डेटा एन्क्रिप्शन आवश्यकताएं किस प्रकार भिन्न हैं?

The सामान्य डेटा संरक्षण विनियमन (GDPR) और यह कैलिफ़ोर्निया गोपनीयता अधिकार अधिनियम (CPRA) डेटा एन्क्रिप्शन और उनके समग्र फोकस की बात करें तो ये अलग-अलग दृष्टिकोण अपनाते हैं। जीडीपीआर सख्त आवश्यकताएं लागू करता है, जिससे संगठनों को इसे अपनाने की अनिवार्यता होती है तकनीकी और संगठनात्मक उपायोंएन्क्रिप्शन की तरह, यह व्यक्तिगत डेटा की सुरक्षा और उल्लंघनों को रोकने के लिए है। इसका दायरा व्यापक है, जो यूरोपीय संघ के निवासियों के सभी व्यक्तिगत डेटा को कवर करता है, और यह डेटा सुरक्षा पर सक्रिय रुख पर ज़ोर देता है।

इसके विपरीत, सीपीआरए का झुकाव अधिक है उपभोक्ता अधिकार और पारदर्शिता कैलिफ़ोर्निया के निवासियों के लिए। हालाँकि यह एन्क्रिप्शन को एक अच्छी प्रथा के रूप में प्रोत्साहित करता है, लेकिन यह इसे एक सख्त आवश्यकता नहीं बनाता। इसके बजाय, CPRA कठोर निवारक उपायों को लागू करने के बजाय, उल्लंघन की सूचना देने और घटना घटने के बाद जोखिमों के प्रबंधन पर ज़्यादा ध्यान केंद्रित करता है। ये अंतर प्रत्येक विनियमन की मुख्य प्राथमिकताओं को उजागर करते हैं - GDPR का उद्देश्य मज़बूत डेटा सुरक्षा है, जबकि CPRA उल्लंघनों के बाद उपभोक्ता नियंत्रण और जवाबदेही को प्राथमिकता देता है।

उद्यमों को यह सुनिश्चित करने के लिए क्या कदम उठाने चाहिए कि उनकी एन्क्रिप्शन विधियां अंतर्राष्ट्रीय डेटा संरक्षण कानूनों के अनुरूप हों?

अंतर्राष्ट्रीय डेटा संरक्षण कानूनों का अनुपालन करने के लिए, व्यवसायों को निम्नलिखित को लागू करने की आवश्यकता है: मजबूत एन्क्रिप्शन मानकोंसममित एन्क्रिप्शन के लिए, AES-256 एक विश्वसनीय विकल्प है, जबकि 2048-बिट या उससे बड़ी कुंजियों वाला RSA असममित एन्क्रिप्शन के लिए अच्छा काम करता है। उतना ही महत्वपूर्ण है एन्क्रिप्शन कुंजी प्रबंधन, जिसमें अनधिकृत पहुंच को रोकने के लिए कुंजियों को सुरक्षित रूप से उत्पन्न करना, संग्रहीत करना, वितरित करना और रद्द करना शामिल है।

जीडीपीआर जैसे विशिष्ट कानूनी ढाँचों पर अपडेट रहना भी ज़रूरी है, जो सुरक्षित डेटा प्रोसेसिंग पर ज़ोर देता है और एन्क्रिप्शन को एक ज़रूरी तकनीकी सुरक्षा उपाय मानता है। एन्क्रिप्शन प्रोटोकॉल की नियमित समीक्षा और उन्हें अपडेट करना ज़रूरी है। वर्तमान उद्योग प्रथाओं यह सुनिश्चित करता है कि विभिन्न क्षेत्रों में व्यवसाय अनुपालन बनाए रखें। सुरक्षा और लचीलेपन पर ध्यान केंद्रित करना डेटा सुरक्षा नियमों के निरंतर बदलते परिदृश्य के साथ तालमेल बनाए रखने की कुंजी है।

उन व्यवसायों के लिए क्या जोखिम हैं जो DORA और PIPL जैसे डेटा एन्क्रिप्शन कानूनों का अनुपालन नहीं करते हैं?

डेटा एन्क्रिप्शन कानूनों का गैर-अनुपालन जैसे डोरा तथा पीआईपीएल व्यवसायों के लिए गंभीर परिणाम हो सकते हैं। उदाहरण के लिए, DORA के तहत, कंपनियों पर उनके वैश्विक वार्षिक कारोबार के 2% तक का जुर्माना लगाया जा सकता है। इसी तरह, PIPL उल्लंघनों के परिणामस्वरूप ¥50 मिलियन (लगभग $7.2 मिलियन) या वार्षिक आय के 5% तक का जुर्माना लगाया जा सकता है।

लेकिन इसके नतीजे सिर्फ़ आर्थिक दंड तक ही सीमित नहीं हैं। कंपनियों को इससे भी निपटना पड़ सकता है कानूनी कार्रवाई, लाइसेंस निलंबन और परिचालन व्यवधानये सभी जोखिम उनकी वित्तीय सेहत को नुकसान पहुँचा सकते हैं और उनकी प्रतिष्ठा को धूमिल कर सकते हैं। अनुपालन बनाए रखना केवल इन जोखिमों से बचने के बारे में नहीं है - यह डेटा की सुरक्षा के प्रति दृढ़ प्रतिबद्धता दिखाकर ग्राहकों और भागीदारों के साथ विश्वास को मज़बूत करने का भी एक तरीका है।

संबंधित ब्लॉग पोस्ट

एक्स
उद्यमों के लिए शीर्ष 7 डेटा एन्क्रिप्शन कानून

दूर दूर तक, शब्द मौन तान के पीछे, देशों से दूर वोकलिया और कोनसोन्टेनिया, वहाँ अंधे ग्रंथ रहते हैं। अलग वे समुद्र के किनारे पर बुकमार्कस्ग्रोव में रहते हैं

  • 759 पाइनवुड एवेन्यू

    मार्क्वेट, मिशिगन
अभी खरीदो
hi_IN
hi_IN en_US nl_NL_formal ar ca zh_CN hr cs_CZ da_DK fi fr_FR de_DE_formal hu_HU is_IS id_ID it_IT ja kab nn_NO pl_PL pt_PT pt_BR es_ES sv_SE ro_RO ru_RU tr_TR uk