Globāls, caurredzams, uzticams: uzņēmums Kaspersky sekmīgi iziet neatkarīgu SOC 2 auditu

18. jūlijs 2019
Kaspersky ir sekmīgi pabeidzis Service Organization Control for Service Organizations (SOC 2) Type 1 auditu. Nobeiguma ziņojumā, ko publicējis viens no „lielā četrinieka” auditoru uzņēmumiem, ir apstiprināts, ka Kaspersky apdraudējumu atklāšanas noteikumu datubāzu (AV datubāzu) izstrāde un izplatīšana ir aizsargāta pret neautorizētām izmaiņām ar stingrām drošības procedūrām. Kaspersky arī ziņo par jaunumiem savā Starptautiskajā caurredzamības iniciatīvā.

Pārskatu sistēma Service Organization Control (SOC) sniedz visā pasaulē atzītu kiberdrošības risku vadības vērtējumu, ko izstrādā American Institute of Certified Public Accountants (AICPA), lai informētu uzņēmumu klientus par efektīvas drošības kontroles izstrādi un ieviešanu. Būdams saviem klientiem atbildīgs un caurredzams uzņēmums, Kaspersky ir izvēlējies šo standartu, lai demonstrētu savu produktu uzticamību un savu apņemšanos ievērot AICPA uzticamo pakalpojumu principus un kritērijus: drošību, pieejamību, datu apstrādes integritāti, konfidencialitāti un privātumu.





Pārbaude, kas veikta saskaņā ar standartu SSAE 18, aptver Kaspersky izstrādāto un uzņēmuma produktiem Windows un Unix serveros izplatīto regulāro automātisko antivīrusu datubāzu atjauninājumu iekšējo kontroli. Nobeiguma ziņojumā neatkarīgais audita uzņēmums konstatējis iepriekš minēto pārbaužu piemērotību un pareizību noteiktā datumā.

Saskaņā ar līguma noteikumiem Kaspersky nedrīkst atklāt „lielā četrinieka” auditorfirmas nosaukumu. Tomēr uzņēmums drīkst pēc pieprasījuma izpaust galveno informāciju par iepriekš minēto apņemšanos un prasībām SOC 2 Type 1 ziņojumā.

Audits tika veikts Starptautiskās caurredzamības iniciatīvas ietvaros; Kaspersky izziņoja šo iniciatīvu 2017. gadā, lai turpmāk nodrošinātu saviem partneriem un klientiem, ka uzņēmuma produkti un pakalpojumi ir ne tikai vislabākie aizsardzībai pret kiberdraudiem, bet arī apstrādā klientu datus ar vislielāko cieņu un rūpību. Cita starpā uzņēmums apņēmās pārvietot uz Šveici savu klientu datu glabāšanu un apstrādi. Šodien uzņēmums ir pabeidzis Eiropas lietotāju datu pārcelšanas otro posmu un plāno pabeigt šīs izmaiņas līdz 2019. gada beigām. 

Līdz ar datu pārvietošanu Kaspersky mērķis ir arī līdz 2020. gadam izveidot vismaz trīs Caurredzamības centrus. Uzņēmums turpina atbalstīt ievainojamību atklāšanas atlīdzības programmu (Bug Bounty Program) un strādā pie vairākiem citiem projektiem, kuru mērķis ir uzlabot uzņēmuma caurredzamību un uzticamību.

Starptautiskās caurredzamības iniciatīvas turpmākā attīstība 

Ievainojamību atklāšanas atlīdzības programma: Kaspersky nepārtraukti turpina attīstīt savu ievainojamību atklāšanas atlīdzības programmu (Bug Bounty Program). Nesen uzņēmums izmaksāja 23 000 ASV dolāru — līdz šim lielāko atlīdzību programmas vēsturē — komandas Imaginary pētniekiem par drošības problēmas atklāšanu Kaspersky programmatūrā. Kļūda tika nekavējoties izlabota. Kaspersky pateicas komandai Imaginary par ziņojumu un par palīdzību uzņēmuma produktu uzlabošanā. 

„Drošā osta” ievainojamību pētniekiem: Uzņēmums tagad atbalsta sistēmu Disclose.io, kas gādā par to ievainojamību pētnieku drošību, kuriem ir bažas par viņu atklājumu negatīvām juridiskajām sekām. Kaspersky saprot, ka ārējie eksperti sniedz vērtīgu palīdzību, meklējot un ziņojot par uzņēmuma produktu ievainojamībām, un ir gatavs sniegt papildu garantijas, ka ievainojamību ziņojumi tiks taisnīgi izskatīti. 

Caurredzamības centri: Nesen izziņotais caurredzamības centrs Madridē ir, sākot no jūnija, oficiāli atvērts Kaspersky klientiem un partneriem, kā arī ieinteresētām personām no valdību puses. Tāpat kā Cīrihes caurredzamības centrā, arī Madridē uzņēmums piedāvā pirmkoda caurskatīšanu un pielāgotus ieskatus uzņēmuma datu apstrādes praksē un tā produktu darbībā. 

Palīdzība tiesībaizsardzības iestādēm apdraudējumu analīzē: Kaspersky kā pirmais no kiberdrošības risinājumu piegādātājiem paziņoja par bezmaksas pakalpojumu tiesībaizsardzības iestādēm (TAI). Uzņēmuma unikālā un pielāgotā pieeja, kas izstrādāta, lai maksimāli veicinātu šo TAI centienus apkarot kibernoziegumus bez robežām,  sastāv no trim komponentiem: 
  • apdraudējumu informācijas ziņojumi;
  • apdraudējumu identifikācijas datu plūsmas;
  • automatizētā kiberdrošības apmācības platforma (Kaspersky ASAP). 
Nodrošinot bezmaksas piedāvājumu tiesībaizsardzības iestādēm, uzņēmums vēlas vairot izpratni par to, kā notiek Kaspersky pakalpojumi un kā tie var palīdzēt cīņā ar kibernoziegumiem un sarežģītiem kiberdraudiem. Plašāka informācija pakalpojumu ir pieejama šeit (PDF).

Kaspersky turpina attīstīt savu Starptautisko caurredzamības iniciatīvu un regulāri par to informēs.

Par Kaspersky

Kaspersky ir starptautisks kiberdrošības risinājumu ražotājs ar pārvaldītājsabiedrību Apvienotajā Karalistē un digitālo infrastruktūru, kas tiek migrēta uz Šveici. Tam ir izpētes centri 3 kontinentos, biroji 5 kontinentos, vairāk kā 4000 darbinieku un tas darbojas gandrīz 200 valstīs un teritorijās.

Kaspersky strādā informācijas drošības jomā kopš 1997. gada. Dziļas speciālās zināšanas un pieredze veido pamatu aizsardzības risinājumiem un pakalpojumiem, kas nodrošina uzņēmumu, kritiskās infrastruktūras, valsts iestāžu un mājas lietotāju drošību visā pasaulē. Kaspersky plašais piedāvājumu klāsts ietver inovatīvus izstrādājumus galiekārtu aizsardzībai, kā arī vairākus specializētos risinājumus un pakalpojumus cīņai ar sarežģītiem un nepārtraukti evolucionējošiem kiberdraudiem. Kaspersky tehnoloģijas aizsargā vairāk nekā 400 miljonus lietotāju un 270 tūkstošus korporatīvo klientu, palīdzot saglabāt tiem svarīgo.