India DPDP Act Compliance
Das indische Digital Personal Data Protection Act verpflichtet Data Fiduciaries zur Umsetzung angemessener security safeguards. Erfahren Sie, wie ImmuniWeb beim web and mobile application testing unterstützt.
Einhaltung der indischen DPDPA
What Is India's DPDP Act?
The DPDP Act is a consent-based law governing how Data Fiduciaries process the digital personal data of Data Principals. It grants individuals rights over their data, imposes obligations on Data Fiduciaries, and places enhanced duties on Significant Data Fiduciaries (SDFs), including audits and assessments.
Die DPDP Rules 2025 operationalisieren diese Verpflichtungen – sie legen angemessene Security Safeguards, Fristen für die Breach-Notification, Aufbewahrungsregeln und den Schutz von Kinderdaten fest – wobei mehrere Verpflichtungen, einschließlich der Security Safeguards, schrittweise über einen Implementierungszeitraum eingeführt werden.
See how ImmuniWeb helps you implement DPDP 'reasonable security safeguards'- securing the apps that process personal data. Request a demo· or run a free Community Edition test.
Who Must Comply with DPDP Act?
Das DPDP-Gesetz gilt für:
- Datenverantwortliche – jede Entität, die den Zweck und die Mittel zur Verarbeitung digitaler personenbezogener Daten festlegt.
- Organizations outside India that process personal data in connection with offering goods or services to people in India.
- Significant Data Fiduciaries – mit zusätzlichen Audit- und Bewertungspflichten.
Jeder Data Fiduciary, der Web- und mobile Anwendungen betreibt, die personenbezogene Daten verarbeiten, muss diese absichern und testen.
Wichtige DPDP-Anforderungen an die Anwendungssicherheit
Application security is driven by the reasonable-security-safeguards duty:
- Section 8(5) - Reasonable security safeguards: Data Fiduciaries müssen reasonable security safeguards implementieren, um personal data breaches zu verhindern.
- Regel 6-Kontrollen: Ein Mindestsatz, der Verschlüsselung, Zugriffskontrollen und Zugriffsprotokolle, Maskierung, Überwachung/Protokollierung, Backups, Protokollaufbewahrung und vertragliche Sicherheitsmaßnahmen mit Prozessoren umfasst.
- § 8 Abs. 6 – Meldung von Datenschutzverletzungen: Den Board und die betroffenen Data Principals binnen 72 Stunden über eine Datenschutzverletzung zu informieren und einen detaillierten Bericht einzureichen.
DPDP Security Requirements in Depth
Angemessene Sicherheitsmaßnahmen (Abschnitt 8(5) / Regel 6)
Datenverwalter müssen angemessene Sicherheitsvorkehrungen implementieren und aufrechterhalten, um Sicherheitsverletzungen zu verhindern. Penetrationstests und Schwachstellenscans von Web- und mobilen Anwendungen sowie APIs, die personenbezogene Daten verarbeiten, sind praktische Methoden, um zu überprüfen, ob Kontrollmaßnahmen wie Zugriffskontrolle, Verschlüsselung und Überwachung tatsächlich wirksam sind.
Meldepflicht bei Datenverletzungen
On becoming aware of a breach, a Data Fiduciary must notify the Board and affected Data Principals, with a detailed report within 72 hours. Reducing breach likelihood through regular application testing is the most effective way to avoid triggering this duty - and the highest penalty under the Act (up to INR 250 crore) applies to failing to implement reasonable security safeguards.
Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind
Datenschutzverletzungen haben häufig ihren Ursprung in verwundbaren Web- und mobilen Anwendungen. Die zu testenden Risiken entsprechen weitgehend den OWASP Top 10:
- Broken Access Control — Nutzer erreichen Daten oder Aktionen, auf die sie keinen Zugriff haben sollten.
- Kryptografische Fehler – schwache oder fehlende Verschlüsselung, die sensible Daten offenlegt.
- Injection — SQL-, Command- oder andere Injection via unvalidierter Eingabe.
- Unsicheres Design – fehlende Sicherheitskontrollen im Design, nicht nur durch Bugs.
- Sicherheitsmiskonfiguration — Standard-, unvollständige oder unsichere Konfiguration.
- Anfällige und veraltete Komponenten — ungepatchte Bibliotheken und Frameworks.
- Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
- Software & Data Integrity Failures — untrusted updates, insecure CI/CD pipelines.
- Mängel in der Sicherheitsprotokollierung und -überwachung — Angriffe, die unentdeckt bleiben.
- Server-Side Request Forgery (SSRF) — Der Server wird dazu verleitet, bösartige Anfragen zu stellen.
Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.
Wie Sie die Anwendungssicherheit gemäß DPDP mit ImmuniWeb angehen
- Kartieren Sie Ihre Angriffsfläche. Erstellen Sie mit ImmuniWeb Discovery eine Bestandsaufnahme Ihrer internetzugänglichen Apps und Assets.
- Testen Sie Webanwendungen mit On-Demand (Penetrationstests) und Neuron (Scanning).
- Testen Sie mobile Anwendungen mit MobileSuite und Neuron Mobile.
- Beheben Sie Schwachstellen und testen Sie erneut mit umsetzungsorientierten Berichten ohne False Positives.
- Keep testing continuously with Continuous in CI/CD and periodic re-testing.
- Überwachen Sie Datenlecks mit der Dark Web-Überwachung von Discovery, um auf Datenschutzverletzungen vorbereitet zu sein.
So unterstützt Sie ImmuniWeb bei der Compliance mit dem DPDP Act
ImmuniWeb helps Data Fiduciaries implement and verify the reasonable security safeguards the DPDP Act requires.
| Anforderung | Was erforderlich ist | ImmuniWeb-Produkte |
|---|---|---|
| Angemessene Sicherheitsvorkehrungen | Prevent breaches with effective technical controls. | On-Demand, Neuron, Discovery, Continuous |
| Apps & Daten | Sichere Web-/Mobile-Apps, die personenbezogene Daten verarbeiten. | On-Demand, Neuron, MobileSuite, Neuron Mobile |
| Bereitschaft auf Datenschutzverletzungen | Detect exposure and leaked data; keep attack surface mapped. | Discovery (ASM / Dark Web) |
ImmuniWeb On-Demand und MobileSuite liefern Web- und Mobile-Penetrationstests; Neuron und Neuron Mobile bieten automatisiertes Scanning; Continuous integriert Tests in CI/CD; und Discovery kartiert Ihre externe Angriffsfläche und überwacht das Dark Web auf geleakte personenbezogene Daten.
DPDP Act vs. internationale Frameworks
Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:
| Framework | Aspekt der Anwendungssicherheit | Wie ImmuniWeb abbildet |
|---|---|---|
| Indien DPDP Act | Angemessene Sicherheitsvorkehrungen (Abschnitt 8(5)) | Web-/Mobile-Penetrationstests, Scans, ASM, Dark Web-Monitoring |
| EU-DSGVO | Artikel 32 Sicherheit der Verarbeitung | Dieselben Tests decken beide ab |
| Singapur PDPA | § 24 Schutzpflicht | Dieselben Tests decken beide ab |
| ISO/IEC 27001 | Anhang A technische Kontrollen | Tests als Kontrollnachweis |
Penetrationstests vs. Security Scanning
Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.
Compliance-Checkliste (Anwendungssicherheit)
- Inventarisierung der Internet-exponierten Apps und exponierten Assets
- Webanwendungen, die nach OWASP Top 10 getestet wurden
- Mobile Anwendungen, die gegen die OWASP Mobile Top 10 getestet wurden
- Angemessene Sicherheitsmaßnahmen implementiert und verifiziert (Regel 6)
- Auftragsverarbeiter, die an vertragliche Sicherheitsvorkehrungen gebunden sind
- Mängel behoben und erneut getestet; Aufzeichnungen aufbewahrt.
- Breach-notification process aligned with the Board (72 hours)
Warum die Einhaltung des DPDP Act wichtig ist
Das DPDP Act sieht in seinen Bestimmungen die höchste Strafe – bis zu 250 Crore INR – vor, wenn angemessene Security Safeguards nicht implementiert werden, und die Data Protection Board of India ist nun befugt, Verstöße zu untersuchen und Strafen zu verhängen. Significant Data Fiduciaries unterliegen zusätzlichen Audit-Pflichten.
Da Web- und mobile Anwendungen ein führender Angriffsvektor sind, ist die nachweisbare Absicherung und Prüfung dieser Anwendungen einer der klarsten Wege, der Pflicht zur Umsetzung angemessener Sicherheitsvorkehrungen in einem der weltweit größten digitalen Märkte nachzukommen.