دستور مرکز آفتاب: شرکت های امنیتی خارجی مراکز داده خود را به داخل کشور منتقل کنند

مرکز افتا اعلام کرده محصولات سامانه‌ها و سکوهای خارجی حوزه امنیت موظف به انجام ذخیره سازی و پردازش داده‌های کاربران ایرانی در داخل کشور هستند.

مرکز مدیریت راهبردی افتا ریاست‌جمهوری در ابلاغیه‌ای ضوابط فعالیت شرکت‌های خارجی دارای محصول، سکو و سامانه در حوزه امنیت اطلاعات و ارتباطات را اعلام کرد.

در این ابلاغیه که دیروز (۱۹ تیرماه) خطاب به دستگاه‌های اجرایی، سازمان نظام صنفی رایانه‌ای و شرکت‌های فعال در زمینه امنیت فناوری اطلاعات و ارتباطات صادر شده، گفته شده است شرکت‌های خارجی دارای محصول، سکو و سامانه در حوزه امنیت موظف به معرفی نماینده رسمی حقوقی داخلی تام‌الاختیار هستند.

این نماینده موظف است NDA و تعهدات لازم برای اجرای ضوابط ذکرشده را به مرکز مدیریت راهبردی افتا ریاست‌جمهوری ارائه کند.

براساس بند دوم دستورالعمل مذکور، محصولات سامانه‌ها و سکوهای خارجی حوزه امنیت موظف به راه‌اندازی خدمت به‌روزرسانی تجهیزات و سامانه‌های موردنیاز در داخل کشور هستند؛ به‌صورتی که تحت هیچ شرایطی در فرایند به‌روزرسانی محصولات مورداستفاده مشتریان، تأخیری ایجاد نشود.

نکته مهم دیگری که در بند سوم دستورالعمل آمده ازاین‌قرار است:

«محصولات سامانه‌ها و سکوهای خارجی حوزه امنیت موظف به ذخیره‌سازی و پردازش داده‌های کاربران ایرانی در داخل کشور هستند.»

به گزارش دیجیاتو، چندی پیش مرکز افتا دستوری مبنی‌بر خودداری دستگاه‌های اجرایی از استفاده از محصولات کسپرسکی صادر کرده بود که به نظر می‌رسید این تصمیم به‌جای اهرم فشاری بر کسپرسکی صادر شده تا داده‌هایش را به درون کشور بیاورد.

در بند ششم دستورالعمل نیز به این موضوع به‌ شکل دیگری تأکید شده است:

«محصولات، سامانه‌ها و سکوهای خارجی حوزه امنیت و تمامی دست‌اندرکاران ارائه خدمات، بدون اخذ مجوز مکتوب از مرکز مدیریت راهبردی افتا مجاز به انتقال مستقیم یا غیرمستقیم هیچ داده و اطلاعاتی، مانند معماری شبکه و دارایی‌های مشتریان، به خارج از کشور نیستند.»

تبصره همین بند نیز بیان می‌کند: «درخصوص به‌کارگیری هوش مصنوعی و ایجاد داده‌های عظیم سکو، موظف است الگوهای پردازش و خروجی‌های منعکس‌شده به خارج از کشور را به مرکز مدیرت راهبردی افتا ارائه نماید.»

بند نهم ابلاغیه نیز ارائه‌دهندگان خدمات MDR یا Managed Detection And Response خارجی را موظف به ارائه متمرکز این خدمات در داخل کشور و تحت نظارت مرکز مدیریت راهبردی افتا ریاست‌جمهوری می‌کند.

بند چهارم دستورالعمل بیان می‌کند که محصولات، سامانه‌ها و سکوهای خارجی حوزه امنیت موظف به تعیین دقیق و رسمی سطح تضمین خدمات (SLA) موردتأیید مرکز مدیریت راهبردی افتا ریاست‌جمهوری هستند. همچنین سامانه‌ها و سکوهای خارجی حوزه امنیت موظف به تعیین زمان دقیق رفع آسیب‌پذیری‌هایی هستند که مرکز مدیریت راهبردی افتا ریاست‌جمهوری گزارش‌ کرده‌اند.

این ابلاغیه تأکید می‌کند که محصولات سامانه‌ها و سکوهای خارجی حوزه امنیت و نماینده قانونی آنها هنگام وقوع رخداد سایبری برای مشتریان خود، ملزم به همکاری کامل با تیم رسیدگی به رخداد دستگاه هماهنگ‌کننده‌اند و درصورت اعلام دستگاه هماهنگ‌کننده باید حداکثر ظرف دو ساعت تیم پشتیبانی فنی نماینده قانونی برای پاسخ‌گویی به سؤالات و ابهامات در محل مشتری حاضر شوند.

در بخش دیگری از دستورالعمل نیز بر این نکته تأکید شده که شرکت‌های خارجی لازم است پروانه خدمات افتا بگیرند: «شرکت تأمین‌کننده لایسنس یا پشتیبانی‌کننده محصولات سامانه‌ها و سکوهای حوزه امنیت موظف به اخذ پروانه معتبر خدمات افتا در گرایش‌های نصب و پشتیبانی محصولات فتا و امن‌سازی و مقاوم‌سازی سامانه‌ها زیرساخت‌ها و سرویس‌ها است.»

براساس این ابلاغیه، ارائه‌دهندگان محصولات، سامانه‌ها و سکوهای خارجی حوزه امنیت فضای تولید و تبادل اطلاعات موظف‌اند حداکثر ظرف سه ماه از تاریخ ابلاغ ضوابط این دستورالعمل را اجرا کنند.