A SOC (Service Organization Controls) keretrendszer a kiberbiztonsági kockázatok kezelési kontrolljaival foglalkozó globálisan elismert jelentéstételi rendszer, amelyet az Amerikai Bejegyzett Könyvvizsgálók Intézete (American Institute of Certified Public Accountants (AICPA)) dolgozott ki. A jelentések célja az ügyfelek tájékoztatása a biztonsági kontrollok hatékony megtervezéséről és megvalósításáról. Az ügyfelei irányában felelős és átlátható vállalatként a Kaspersky ezt a szabványt választotta termékei megbízhatóságának igazolására, valamint az AICPA megbízható szolgáltatással kapcsolatos elvei és kritériumai (biztonság, elérhetőség, feldolgozás integritása, biztonságos kezelés és adatvédelem) iránti elkötelezettsége bizonyítására.
Az SSAE 18 (Statement of Standards for Attestation Engagements) szabvány szerint végzett vizsgálat a Kaspersky Windows és Unix szervereken futó termékeihez készített és terjesztett antivírus-adatbázisok rendszeres automatikus frissítései feletti belső kontrollokra terjedt ki. A végleges jelentésében a négy nagy közé tartozó független könyvvizsgáló cég a fenti kontrollok megfelelőségét és egy adott időpontban való megfelelő működését állapította meg.
"A termékeink biztonsága mindenképpen az egyik legfőbb prioritásunk. Büszkék vagyunk arra, hogy sikerrel teljesítettük ezt a független értékelést, amely bizonyosságot ad ügyfeleinknek a termékeink biztonságosságát illetően, és megerősíti a K+F folyamatainkba és kontrolljainkba vetett bizalmukat. Ez az audit egy újabb lépést jelent a vállalat átláthatóságának bizonyítására irányuló munkánkban" - mondta el Andrej Jefremov, a Kaspersky technológiai igazgatója.
A szerződés rendelkezései szerint a Kaspersky nem hozhatja nyilvánosságra a négy nagy könyvvizsgáló cég közé tartozó külső auditor nevét. A vállalat azonban kérésre közölheti a főbb információkat az 1-es típusú SOC 2 jelentésben szereplő fenti kötelezettségvállalásokkal és követelményekkel kapcsolatban.
Az auditra a Kaspersky által 2017-ben meghirdetett Globális Átláthatósági Kezdeményezés keretében került sor azzal a céllal, hogy a partnerek és az ügyfelek további bizonyosságot szerezhessenek arról, hogy a vállalat termékei és szolgáltatásai nemcsak a legjobbak a kiberfenyegetések elleni védelem terén, hanem az ügyfelek adatait is a legnagyobb fokú tisztelettel és gondossággal kezelik. A vállalat többek között az ügyféladatok tárolásának és feldolgozásának Svájcba történő átköltöztetése iránt is elkötelezett. A cég a mai napon fejezte be az európai felhasználókat érintő fenti tevékenységek átköltöztetésének második szakaszát, és a tervek szerint 2019 végére teljesen elkészül vele.
Az adatok átköltöztetésén túlmenően a Kaspersky 2020-ig legalább három átláthatósági központot kíván létrehozni. A vállalat tovább támogatja a Bug Bounty (hibavadász) Programot, és számos egyéb olyan projektet folytat, amelyek célja a vállalat átláthatóságának és megbízhatóságának fokozása.
A Globális Átláthatósági Kezdeményezés további fejleményei
Bug Bounty (hibavadász) Program: A Kaspersky folyamatosan dolgozik Bug Bounty Programjának továbbfejlesztésén. A vállalat a közelmúltban 23 000 $ jutalmat (a program történetének eddigi legmagasabb összegű jutalma) fizetett az Imaginary csapat kutatóinak a Kaspersky egy olyan biztonsági problémájának felfedezéséért, amely potenciálisan lehetővé tette a külső felek számára egy tetszőleges kód távolról történő futtatását egy felhasználó számítógépén rendszergazdai jogosultságokkal. A hibát azonnal kijavították. A Kaspersky köszönetet mond az Imaginary csapatának a jelentésükért és a vállalat termékeinek javításában nyújtott segítségükért.
Biztonságos központ a sérülékenység-kutatóknak: A vállalat már a Disclose.io keretrendszert is támogatja, amely azon sérülékenység-kutatók számára nyújt biztonságos helyet, akik felfedezéseik negatív jogi következményei miatt aggódnak. A Kaspersky elismeri, hogy a külső szakértők a vállalat termékeiben található sérülékenységek felfedezésével és bejelentésével értékes segítséget nyújtanak, ezért kész arra, hogy további garanciákat biztosítson a sérülékenységi bejelentések méltányos kezelésére vonatkozóan.
Átláthatósági Központok: A közelmúltban bejelentett madridi Átláthatósági Központ júniustól kezdődően hivatalosan is megnyitotta kapuit a Kaspersky ügyfelei és partnerei, valamint a kormányzati érdekelt felek előtt. A zürichi létesítményhez hasonlóan ez a központ is lehetőséget biztosít a forráskód áttekintésére, valamint testre szabott biztonsági tájékoztatást nyújt a vállalat adatfeldolgozási gyakorlatairól és termékeinek működéséről.
Fenyegetéselemzési támogatás a bűnüldöző szervek számára: A vállalat a kiberbiztonsági szolgáltatók közül elsőként tett közzé egy korszerű ingyenes szolgáltatást a rendvédelmi szervek számára. A határokon átnyúló kiberbűnözés elleni harcban folytatott erőfeszítések maximalizálását szolgáló egyedi, testre szabott megközelítés három elemből tevődik össze:
· Fenyegetéselemzési jelentések
· Fenyegetésekkel kapcsolatos adatszolgáltatás,
· Automated Security Awareness Platform, vagyis automatizált biztonság-tudatossági platform (Kaspersky ASAP).
A bűnüldöző szervek számára biztosított ingyenes szolgáltatással a vállalat azt szeretné elérni, hogy az érintett szervek jobban megismerjék a Kaspersky szolgáltatásainak működését, és megtudják, hogy ezek hogyan segíthetnek a kiberbűnözés és a kifinomult kiberfenyegetések elleni küzdelemben. A szolgáltatásról itt található bővebb információ.
A Kaspersky folytatja Globális Átláthatósági Kezdeményezésének továbbfejlesztését, és rendszeres időközönként tájékoztatást ad a fejleményekről.
A Kasperskyről
A Kaspersky egy 1997-ben alapított globális kiberbiztonsági vállalat. A Kaspersky internetes fenyegetésekkel kapcsolatos tudását és biztonsági szakértelmét folyamatosan innovatív biztonsági megoldások és szolgáltatások fejlesztésére használja, hogy védelmet kínáljon vállalkozások, a kritikus infrastruktúra, a kormányok és a fogyasztók számára világszerte. A vállalat széleskörű biztonsági portfóliójába vezető végpont védelmi és számos speciális biztonsági megoldás és szolgáltatás tartozik, az összetett és fejlődő digitális veszélyekkel elleni küzdelem érdekében. Több mint 400 millió felhasználót védenek a Kaspersky technológiái, valamint 270.000 vállalati ügyfélnek segítenek megóvni azt, ami a legfontosabb számukra. További információ: www.kaspersky.com