دستور مرکز افتا: شرکتهای خارجی امنیتی دیتاسنترهای خود را به داخل کشور منتقل کنند
مرکز افتا اعلام کرده محصولات سامانهها و سکوهای خارجی حوزه امنیت موظف به انجام ذخیره سازی و پردازش دادههای کاربران ایرانی در داخل کشور هستند.
مرکز مدیریت راهبردی افتا ریاستجمهوری در ابلاغیهای ضوابط فعالیت شرکتهای خارجی دارای محصول، سکو و سامانه در حوزه امنیت اطلاعات و ارتباطات را اعلام کرد.
در این ابلاغیه که دیروز (۱۹ تیرماه) خطاب به دستگاههای اجرایی، سازمان نظام صنفی رایانهای و شرکتهای فعال در زمینه امنیت فناوری اطلاعات و ارتباطات صادر شده، گفته شده است شرکتهای خارجی دارای محصول، سکو و سامانه در حوزه امنیت موظف به معرفی نماینده رسمی حقوقی داخلی تامالاختیار هستند.
این نماینده موظف است NDA و تعهدات لازم برای اجرای ضوابط ذکرشده را به مرکز مدیریت راهبردی افتا ریاستجمهوری ارائه کند.
براساس بند دوم دستورالعمل مذکور، محصولات سامانهها و سکوهای خارجی حوزه امنیت موظف به راهاندازی خدمت بهروزرسانی تجهیزات و سامانههای موردنیاز در داخل کشور هستند؛ بهصورتی که تحت هیچ شرایطی در فرایند بهروزرسانی محصولات مورداستفاده مشتریان، تأخیری ایجاد نشود.
نکته مهم دیگری که در بند سوم دستورالعمل آمده ازاینقرار است:
«محصولات سامانهها و سکوهای خارجی حوزه امنیت موظف به ذخیرهسازی و پردازش دادههای کاربران ایرانی در داخل کشور هستند.»
به گزارش دیجیاتو، چندی پیش مرکز افتا دستوری مبنیبر خودداری دستگاههای اجرایی از استفاده از محصولات کسپرسکی صادر کرده بود که به نظر میرسید این تصمیم بهجای اهرم فشاری بر کسپرسکی صادر شده تا دادههایش را به درون کشور بیاورد.
در بند ششم دستورالعمل نیز به این موضوع به شکل دیگری تأکید شده است:
«محصولات، سامانهها و سکوهای خارجی حوزه امنیت و تمامی دستاندرکاران ارائه خدمات، بدون اخذ مجوز مکتوب از مرکز مدیریت راهبردی افتا مجاز به انتقال مستقیم یا غیرمستقیم هیچ داده و اطلاعاتی، مانند معماری شبکه و داراییهای مشتریان، به خارج از کشور نیستند.»
تبصره همین بند نیز بیان میکند: «درخصوص بهکارگیری هوش مصنوعی و ایجاد دادههای عظیم سکو، موظف است الگوهای پردازش و خروجیهای منعکسشده به خارج از کشور را به مرکز مدیرت راهبردی افتا ارائه نماید.»
بند نهم ابلاغیه نیز ارائهدهندگان خدمات MDR یا Managed Detection And Response خارجی را موظف به ارائه متمرکز این خدمات در داخل کشور و تحت نظارت مرکز مدیریت راهبردی افتا ریاستجمهوری میکند.
بند چهارم دستورالعمل بیان میکند که محصولات، سامانهها و سکوهای خارجی حوزه امنیت موظف به تعیین دقیق و رسمی سطح تضمین خدمات (SLA) موردتأیید مرکز مدیریت راهبردی افتا ریاستجمهوری هستند. همچنین سامانهها و سکوهای خارجی حوزه امنیت موظف به تعیین زمان دقیق رفع آسیبپذیریهایی هستند که مرکز مدیریت راهبردی افتا ریاستجمهوری گزارش کردهاند.
این ابلاغیه تأکید میکند که محصولات سامانهها و سکوهای خارجی حوزه امنیت و نماینده قانونی آنها هنگام وقوع رخداد سایبری برای مشتریان خود، ملزم به همکاری کامل با تیم رسیدگی به رخداد دستگاه هماهنگکنندهاند و درصورت اعلام دستگاه هماهنگکننده باید حداکثر ظرف دو ساعت تیم پشتیبانی فنی نماینده قانونی برای پاسخگویی به سؤالات و ابهامات در محل مشتری حاضر شوند.
در بخش دیگری از دستورالعمل نیز بر این نکته تأکید شده که شرکتهای خارجی لازم است پروانه خدمات افتا بگیرند: «شرکت تأمینکننده لایسنس یا پشتیبانیکننده محصولات سامانهها و سکوهای حوزه امنیت موظف به اخذ پروانه معتبر خدمات افتا در گرایشهای نصب و پشتیبانی محصولات فتا و امنسازی و مقاومسازی سامانهها زیرساختها و سرویسها است.»
براساس این ابلاغیه، ارائهدهندگان محصولات، سامانهها و سکوهای خارجی حوزه امنیت فضای تولید و تبادل اطلاعات موظفاند حداکثر ظرف سه ماه از تاریخ ابلاغ ضوابط این دستورالعمل را اجرا کنند.
برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.