Pour garantir la meilleure expérience de navigation, veuillez activer JavaScript dans votre navigateur web. Sans cela, de nombreuses fonctionnalités du site seront inaccessibles.


Tests totaux:
485,773,462
737,046
130,956

India DPDP Act Compliance

Le Digital Personal Data Protection Act indien exige que les Data Fiduciaries mettent en œuvre des mesures de sécurité raisonnables. Découvrez comment ImmuniWeb vous aide à réaliser des tests d'applications web et mobiles.

Temps de lecture:8 min. Mise à jour:8 juillet 2025
Conformité à la loi indienne sur la protection des données personnelles numériques (DPDPA)
Veuillez remplir les champs surlignés en rouge ci-dessous.

Talk to a Specialist about
India PDPDPA Compliance

  • Lancez votre essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
Privé et confidentielVos données seront privées et confidentielles.

Conformité au PDPDPA indien

What Is India's DPDP Act?

La loi DPDP est une législation basée sur le consentement qui régit la manière dont les Data Fiduciaries traitent les données personnelles numériques des Data Principals. Elle accorde aux individus des droits sur leurs données, impose des obligations aux Data Fiduciaries et des devoirs renforcés aux Significant Data Fiduciaries (SDF), incluant audits et évaluations.

Les Règles DPDP de 2025 concrétisent ces obligations — en prescrivant des mesures de sécurité raisonnables, des délais de notification des violations, des règles de conservation et des mesures de protection des données des enfants — plusieurs obligations, notamment les mesures de sécurité, entrant en vigueur progressivement au cours d’une période de mise en œuvre.

See how ImmuniWeb helps you implement DPDP 'reasonable security safeguards'- securing the apps that process personal data. Request a demo· or run a free Community Edition test.

Qui doit se conformer à la loi DPDP?

La loi DPDP s'applique à:

  • Data Fiduciaries - toute entité qui détermine les finalités et les moyens du traitement des données personnelles numériques.
  • Les organisations situées hors d’Inde qui traitent des données personnelles dans le cadre de l'offre de biens ou de services à des personnes en Inde.
  • Significant Data Fiduciaries – soumis à des obligations supplémentaires en matière d’audit et d’évaluation.

Any Data Fiduciary running web and mobile applications that process personal data must secure and test them.

Key DPDP Requirements for Application Security

Application security is driven by the reasonable-security-safeguards duty:

  • Article 8(5) – Mesures de sécurité raisonnables: Les Data Fiduciaries doivent mettre en œuvre des mesures de sécurité raisonnables pour prévenir les violations de données personnelles.
  • Contrôles de la Règle 6: un ensemble minimal comprenant le chiffrement, les contrôles d'accès et les journaux d'accès, le masquage, la surveillance/journalisation, les sauvegardes, la rétention des journaux et les garanties contractuelles avec les sous-traitants.
  • Section 8(6) - Breach notification: intimate the Board and affected Data Principals of a breach, with a detailed report within 72 hours.

DPDP Security Requirements in Depth

Mesures de sécurité raisonnables (Section 8(5) / Rule 6)

Les fiduciaires de données doivent mettre en œuvre et maintenir des mesures de sécurité raisonnables pour prévenir les violations. Les tests d'intrusion et l'analyse de vulnérabilités des applications web et mobiles ainsi que des API traitant des données personnelles constituent des moyens concrets de vérifier que les contrôles, tels que le contrôle d'accès, le chiffrement et la surveillance, sont effectivement efficaces.

Notification de violation

On becoming aware of a breach, a Data Fiduciary must notify the Board and affected Data Principals, with a detailed report within 72 hours. Reducing breach likelihood through regular application testing is the most effective way to avoid triggering this duty - and the highest penalty under the Act (up to INR 250 crore) applies to failing to implement reasonable security safeguards.

Risques courants des applications Web et mobiles à remédier

Les fuites de données personnelles commencent souvent par des applications web et mobiles vulnérables. Les risques à tester correspondent étroitement au Top 10 de l’OWASP:

  • Contrôle d'accès cassé — des utilisateurs accédant à des données ou actions interdites.
  • Échecs cryptographiques — chiffrement faible ou absent exposant des données sensibles.
  • Injection — injection SQL, de commandes ou autre via des entrées non validées.
  • Insecure Design — contrôles de sécurité manquants par conception, pas seulement à cause d'un bug.
  • Mauvaise configuration de sécurité — configuration par défaut, incomplète ou non sécurisée.
  • Composants vulnérables et obsolètes — bibliothèques et frameworks non patchés.
  • Identification & Authentication Failures — weak login, session or credential handling.
  • Échecs d’intégrité des logiciels et des données — mises à jour non fiables, pipelines CI/CD non sécurisés.
  • Échecs de la journalisation et de la surveillance de la sécurité — attaques non détectées.
  • Server-Side Request Forgery (SSRF) — the server tricked into making malicious requests.

Pour les applications mobiles, le OWASP Mobile Top 10 constitue la référence équivalente (stockage de données non sécurisé, communication non sécurisée, cryptographie faible, etc.). Identifier fiablement ces problèmes nécessite de tester l'application en cours d'exécution, et non de se limiter à une revue de documentation.

Comment aborder la sécurité des applications DPDP avec ImmuniWeb

  1. Cartographiez votre exposition. Recensez les applications et les actifs exposés à Internet avec ImmuniWeb Discovery.
  2. Testez les applications web avec On-Demand (pentesting) et Neuron (scanning).
  3. Test mobile applications with MobileSuite and Neuron Mobile.
  4. Remédiez et retestez avec des rapports exploitables et sans faux positifs.
  5. Continuez à tester en continu avec Continuous dans CI/CD et des retests périodiques.
  6. Surveillez les fuites grâce à la surveillance du Dark Web par Discovery pour vous préparer aux violations de données.

Comment ImmuniWeb vous aide à vous conformer au DPDP Act

ImmuniWeb helps Data Fiduciaries implement and verify the reasonable security safeguards the DPDP Act requires.

Exigence Ce que cela nécessite Produits ImmuniWeb
Reasonable security safeguards Prévenez les violations grâce à des contrôles techniques efficaces. On-Demand, Neuron, Discovery, Continuous
Applications et données Sécuriser les applications web et mobiles traitant des données personnelles. On-Demand, Neuron, MobileSuite, Neuron Mobile
Préparation aux incidents de sécurité Détectez les expositions et les fuites de données ; maintenez la surface d'attaque cartographiée. Discovery (ASM / Dark Web)

ImmuniWeb On-Demand et MobileSuite proposent des tests d’intrusion web et mobiles ; Neuron et Neuron Mobile fournissent des scans automatisés ; Continuous intègre les tests dans le cycle CI/CD ; et Discovery cartographie votre surface d’attaque externe et surveille le Dark Web pour détecter les fuites de données personnelles.

DPDP Act vs International Frameworks

Si vous respectez déjà des normes internationales, les mêmes tests ImmuniWeb les couvrent toutes:

Framework Perspective sécurité des applications Comment ImmuniWeb s'aligne
India DPDP Act Mesures de sécurité raisonnables (Section 8(5)) Tests d’intrusion Web/mobile, analyse, ASM, surveillance du Dark Web
RGPD Article 32 sécurité du traitement Les mêmes tests couvrent les deux
Singapore PDPA Section 24: Obligation de protection Les mêmes tests couvrent les deux
ISO/IEC 27001 Annexe A: contrôles techniques Tests comme preuve de contrôle

Tests d'intrusion vs scans de sécurité

Les deux sont nécessaires. Le scan automatisé (DAST) offre une couverture large et fréquente et est idéal pour les tests continus dans le CI/CD ; le penetration testing manuel trouve les vulnérabilités de logique métier et complexes que les scanners manquent et produit la profondeur attendue par les auditeurs et les régulateurs. Combinez le scanning continu avec du penetration testing manuel périodique, et re-testez après des changements significatifs.

Liste de contrôle de conformité (Sécurité des applications)

  • Inventaire des applications exposées sur Internet et des actifs exposés
  • Applications web testées contre le Top 10 OWASP
  • Applications mobiles testées par rapport à la liste OWASP Mobile Top 10
  • Reasonable security safeguards implemented and verified (Rule 6)
  • Processors bound by contractual security safeguards
  • Les failles identifiées sont corrigées et retestées ; les enregistrements sont conservés
  • Breach-notification process aligned with the Board (72 hours)

Why DPDP Act Compliance Matters

The DPDP Act sets the highest penalty in its schedule - up to INR 250 crore - for failing to implement reasonable security safeguards, and the Data Protection Board of India is now empowered to inquire into breaches and impose penalties. Significant Data Fiduciaries face additional audit obligations.

Les applications web et mobiles étant un vecteur de violation majeur, sécuriser et les tester de manière démonstrable est l'un des moyens les plus clairs de respecter l'obligation de mises en œuvre de mesures de sécurité raisonnables sur l'un des plus grands marchés numériques au monde.

Foire aux questions

  • Q
    What is India's DPDP Act?
    A
    La Digital Personal Data Protection Act, 2023, première loi indienne complète en matière de protection des données, mise en œuvre par les DPDP Rules, 2025 (notifiées le 14 novembre 2025).
  • Q
    Qui applique la loi DPDP?
    A
    Le Conseil indien de protection des données.
  • Q
    Qui doit se conformer à la loi DPDP?
    A
    Les responsables de traitement traitant des données personnelles numériques en Inde, ainsi que les entités situées hors d'Inde proposant des biens ou des services aux personnes en Inde.
  • Q
    What security does the DPDP Act require?
    A
    Mesures de sécurité raisonnables (Section 8(5)), détaillées dans la Rule 6 — notamment le chiffrement, les access controls, la journalisation, la surveillance et les sauvegardes.
  • Q
    Comment ImmuniWeb aide-t-il à la conformité DPDP?
    A
    En testant et en sécurisant les applications web et mobiles qui traitent les données à caractère personnel, et en surveillant la surface d'attaque pour détecter les expositions.
  • Q
    What are the penalties under the DPDP Act?
    A
    Up to INR 250 crore for failing to implement reasonable security safeguards, and up to INR 200 crore for breach-notification failures.
Veuillez remplir les champs surlignés en rouge ci-dessous.

Talk to a Specialist about
India PDPDPA Compliance

  • Lancez votre essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
Privé et confidentielVos données seront privées et confidentielles.
Parlez à un expert