A Kaspersky continua na vanguarda com a sua Iniciativa Global de Transparência. A empresa anunciou a conclusão com êxito da auditoria Tipo 1 de Controlo de Organizações e Sistemas (SOC 2), que confirma que o desenvolvimento e a divulgação das regras de detecção de ameaças da empresa estão protegidas por fortes mecanismos de segurança que impedem alterações não-autorizadas. O relatório final é assinado por uma das “Big Four” empresas de contabilidade.
A auditoria é parte da Iniciativa Global de Transparência, criada em 2017 pela Kaspersky para garantir aos parceiros e clientes que os produtos e serviços da Empresa não são apenas os melhores no que toca à proteção contra ciberameaças, mas também que o tratamento de dados dos clientes é feito com o maior respeito e cuidado.
“A segurança dos nossos produtos é, sem dúvida, uma das nossas principais prioridades. Estamos orgulhosos de ter concluído esta avaliação independente que assegura aos nossos clientes a garantia de segurança dos nossos produtos e a confiança dos nossos processos e controlos de Pesquisa & Desenvolvimento (I&D). Esta auditoria marca mais um passo no nosso empenho em demonstrar a transparência da nossa empresa”, afirma Andrey Efremov, diretor de tecnologia da Kaspersky.
De acordo com os termos do contrato, a Kaspersky não pode divulgar o nome da auditora, mas indicou que se trata de uma das “Big Four” da área. No entanto, a empresa pode, sob solicitação, divulgar as principais informações sobre os seus compromissos e requisitos acima mencionados no relatório SOC 2 Tipo 1.
O relatório de Controlo de Organização e Sistema (SOC) é um certificado de controlo de gestão de risco em cibersegurança reconhecido globalmente, desenvolvido pelo American Institute of Certified Public Accountants (AICPA) para informar as empresas acerca do desenvolvimento eficiente e da implementação de mecanismos de controlo de segurança. Este padrão de qualidade foi escolhido pela Kaspersky para demonstrar a confiança do seu produto e o compromisso da empresa para com a segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade – que são os princípios e critérios do Serviço de Confiança da AICPA.
A avaliação seguiu a norma SSAE 18 (Statement of Standards for Attestation Engagements) e cobre os mecanismos internos da Kaspersky sobre atualizações automáticas regulares dos bancos de dados de assinaturas, que são criados e distribuídos pela empresa para os seus produtos baseados nos sistemas Windows e Unix Servers. Na conclusão do relatório de avaliação, a auditora confirmou a idoneidade dos mecanismos mencionados e o seu adequado funcionamento numa data específica.
A Iniciativa Global de Transparência da Kaspersky engloba, entre outras medidas, o compromisso da companhia em transferir para a Suíça o armazenamento e processamento de dados dos seus clientes e a a conclusão da segunda etapa da relocalização para utilizadores europeus – processo que deve estar concluído até ao fim do ano. Além disso, a Kaspersky reforça os planos de ter pelo menos três Centros de Transparência até 2020. A empresa continua ainda a apoiar o seu Programa de Bug Bounty e está a trabalhar em vários projetos destinados a melhorar a transparência e a confiança da empresa.
Outras novidades da Iniciativa Global de Transparência
Programa Bug Bounty: recentemente, a empresa pagou a maior recompensa da história do programa (US $ 23.000) aos investigadores da Imaginary pela descoberta de um problema que poderia permitir a terceiros executar remotamente um código arbitrário num PC com privilégios de sistema. Este bug foi prontamente corrigido e a Kaspersky agradece à equipa da Imaginary pelo relatório e pela ajuda na melhoria dos produtos das empresas.
Safe Harbor para investigadores de vulnerabilidades: A empresa agora suporta o Disclose.io que fornece uma espécie de proteção para pesquisadores de vulnerabilidade preocupados com as consequências legais negativas das suas descobertas. A Kaspersky entende que os especialistas externos fornecem assistência valiosa ao identificar e reportar vulnerabilidades dos seus produtos e estão prontos a fornecer garantias adicionais para o tratamento justo dos relatórios de vulnerabilidade.
Centros de Transparência: O recém-anunciado Centro de Transparência em Madrid está oficialmente aberto aos clientes e parceiros da Kaspersky, bem como às partes interessadas do governo, desde junho deste ano. Como no caso das instalações de Zurique, a empresa oferece revisões de código-fonte e sessões informativas de segurança, por medida, sobre as práticas de processamento de dados e o funcionamento dos seus produtos.
Suporte de inteligência sobre ameaças para forças de segurança: a Kaspersky anunciou um serviço avançado, gratuito, para Forças de Segurança. Uma abordagem única e personalizada desenvolvida para maximizar os esforços no combate ao cibercrime. Este serviço consiste em três componentes:
– Relatórios de inteligência de ameaças;
– Feeds de ameaças;
– Plataforma (Kaspersky ASAP).
Ao fornecer a oferta gratuita para estas agências, a empresa pretende aumentar a consciencialização sobre o modo como os serviços da Kaspersky funcionam e como podem ajudar a combater o cibercrime e as ciberameaças sofisticadas. Mais informações sobre o serviço podem ser encontradas aqui.
