Перейти к основному разделу

Подход «Лаборатории Касперского» к обработке данных

В основе подхода «Лаборатории Касперского» к обработке персональных данных – уважение и защита конфиденциальности пользователей, а также приверженность идеям прозрачности и подотчетности.

Чтобы предоставлять нашим клиентам лучшие решения в области кибербезопасности, мы обрабатываем данные с учетом трех основных задач: (а) поддержка ключевых функциональных возможностей продуктов; (б) повышение производительности и эффективности компонентов защиты; (в) предложение клиентам высококачественных и подходящих под их потребности решений и предоставление им соответствующего контента. Более подробную информацию можно найти в Политике конфиденциальности продуктов и сервисов.

Для достижения этих целей данные не обязательно привязывать к конкретному пользователю, поэтому их можно анонимизировать при любой возможности. С этой целью «Лаборатория Касперского» удаляет данные учетных записей из передаваемых URL-адресов, получает хеш-суммы угроз вместо точных файлов, скрывает IP-адреса пользователей и так далее.

В большинстве случаев пользователи решений «Лаборатории Касперского» могут решить, хотят ли они предоставлять компании свои персональные данные и в каком размере, в зависимости от функций решений, сервисов и веб-сайтов. Они также могут отказаться передавать данные напрямую «Лаборатории Касперского». 

«Лаборатория Касперского» всегда предоставляет подробную информацию, касающуюся обработки данных (в частности, полный список данных, которые будут подвергнуты обработке), чтобы клиенты могли принимать обоснованные решения. «Лаборатория Касперского» постоянно проверяет, какого рода данные обрабатываются ее решениями, чтобы обеспечить приватность клиентов и соблюдение последних законодательных требований.

Все обрабатываемые и (или) передаваемые данные надежно защищаются с помощью шифрования, цифровых сертификатов, разделения хранилища, строгих политик доступа к данным и других методов. Кроме того, у компании есть Платформа безопасной разработки программного обеспечения (SSDF) и средства управления рисками в цепочке поставок для обеспечения безопасности своей инфраструктуры и систем обработки данных.

Каждые шесть месяцев в нашем отчете о прозрачности мы публично делимся информацией о том, сколько запросов на данные мы получили от наших пользователей и обработали.




Обрабатываете ли вы персональные данные?

Согласно некоторым правовым нормам (например, GDPR), информация, обрабатываемая «Лабораторией Касперского», может содержать данные, которые могут рассматриваться как персональные или позволяющие установить личность. Решения «Лаборатории Касперского» никогда не обрабатывают конфиденциальные персональные данные своих пользователей, например относящиеся к религии, политическим взглядам, сексуальным предпочтениям, состоянию здоровья или другим особым категориям.

Если обработка персональных данных необходима для надлежащей работы решения или сервиса, «Лаборатория Касперского» тщательно анализирует цели, состав и правовые основания обработки персональных данных в соответствии с применимым законодательством. Набор персональных данных, подлежащих обработке, всегда соответствует целям обработки; наши решения и сервисы собирают и обрабатывают данные в том количестве, которое необходимо для надлежащей работы решений и сервисов. К тому же «Лаборатория Касперского» всегда предоставляет информацию, касающуюся обработки данных (в частности, полный список данных, которые будут подвергнуты обработке), чтобы клиенты были осведомлены о такой обработке и могли принимать обоснованные решения. Подробную информацию об обрабатываемых данных можно найти в Лицензионном соглашении с конечным пользователем (EULA), заявлении Kaspersky Security Network (KSN), политике конфиденциальности «Лаборатории Касперского» для веб-сайтов и веб-сервисов и в других документах, которые различаются в зависимости от решения или сервиса. Данные, которые «Лаборатория Касперского» собирает и обрабатывает, используются в виде агрегированной статистики, не привязываются к конкретным лицам и при всякой возможности анонимизируются.

Какие данные обрабатываются?

Любой современной службе нужно обрабатывать огромные объемы данных для эффективной работы. Состав обрабатываемых данных зависит от специфики работы решения или сервиса. Будучи одной из ведущих мировых компаний в сфере кибербезопасности, «Лаборатория Касперского» может обрабатывать данные и статистику, связанные с киберугрозами. Такие данные включают подозрительные и вредоносные файлы, а также статистику, которые позволяют выявлять как уже известные киберугрозы, так и новые зловреды и методы атак. Под статистикой подразумевается метаинформация – дополнительная техническая информация о событиях, произошедших на устройстве пользователя, которую наши продукты могут отправлять в зависимости от различных факторов, например действий пользователя, настроек продукта «Лаборатории Касперского», конфигурации операционной системы, на которой установлен продукт «Лаборатории Касперского», и другого программного обеспечения, установленного в системе. Подробную информацию обо всех обрабатываемых данных можно найти в Лицензионном соглашении с конечным пользователем (EULA), заявлении Kaspersky Security Network (KSN) и другой документации, которая различается в зависимости от решения или сервиса.

Как вы защищаете пользовательские данные?

«Лаборатория Касперского» ставит безопасность пользовательских данных превыше всего, поэтому компания придерживается многоступенчатого подхода к минимизации возможных рисков. В «Лаборатории Касперского» действует зрелая политика управления безопасностью, реализуемая специализированным отделом информационной безопасности, который отвечает за внедрение политики и стратегии компании в области безопасности, а также за постоянный мониторинг показателей безопасности и оценку эффективности соответствующих процессов.

Данные пользователей защищены с помощью современных алгоритмов защиты, при этом компания обеспечивает сетевую безопасность и безопасность доступа, чтобы предотвратить несанкционированный доступ к пользовательским данным, а также жестко контролирует физический доступ к своей инфраструктуре данных, которая защищена системами видеонаблюдения и сигнализации. Общая безопасность сетей и систем компании поддерживается такими мерами, как непрерывное управление активами, целостный процесс управления рисками и уязвимостями, регулярные проверки на соответствие нормативным требованиям и постоянное обучение сотрудников – но не ограничивается ими. Для более подробной информации о защите конфиденциальности и персональных данных ознакомьтесь с политикой конфиденциальности для продуктов и сервисов «Лаборатории Касперского».

Как вы анонимизируете обрабатываемые данные?

«Лаборатория Касперского» очень серьезно относится к конфиденциальности пользователей и предпринимает следующие меры для анонимизации обрабатываемых данных:

  • Многоуровневый подход, который усиливает защиту и снижает риски повторной идентификации: комбинирование таких методов, как обобщение, рандомизация и дифференциальная приватность.
  • Удаление всех прямых идентификаторов (имен, номеров личных документов) из обрабатываемых данных (в том числе URL, файлов и прочего).
  • Анализ информации в виде агрегированной или анонимизированной статистики без привязки к конкретным лицам.
  • Предотвращение связывания анонимизированных данных с другими наборами данных, которое может привести к повторной идентификации лиц. Данные хранятся на отдельных серверах со строгой политикой в отношении прав доступа.
  • Когда мы обрабатываем данные о возможной угрозе, мы используем хеш-суммы, которые представляют собой односторонние математические функции, вычисляющие уникальный идентификатор файла.
  • Запись и регулярный аудит процессов анонимизации.

Где «Лаборатория Касперского» хранит данные?

«Лаборатория Касперского» – глобальная компания, и наша инфраструктура для обработки данных распределена по всему миру (Швейцария, Германия, Россия, Канада и т. д.), что позволяет быстрее обрабатывать информацию и гарантирует доступность серверов в случае сбоя одного из них по какой-либо причине. Подробный перечень стран, в которых может осуществляться обработка персональных данных, приведен в официальных политиках «Лаборатории Касперского», включая политику конфиденциальности для продуктов и сервисов.

«Лаборатория Касперского» перенесла часть своей инфраструктуры для обработки данных в рамках Инициативы глобальной прозрачности. Вредоносные и подозрительные файлы, которыми добровольно делятся пользователи решений «Лаборатории Касперского» в Европе, Северной и Латинской Америке, на Ближнем Востоке и в нескольких странах Азиатско-Тихоокеанского региона, обрабатываются в двух ЦОД в Цюрихе, Швейцария. Эти центры предоставляют услуги мирового класса в соответствии с ведущими стандартами безопасности. Кроме того, Швейцария входит в число немногих стран, по которым ЕС было принято решение о достаточности мер, что означает, что эта страна признана Европейской комиссией как обеспечивающая надлежащую защиту персональных данных.

Что такое Kaspersky Security Network?

Kaspersky Security Network (KSN) – одна из основных облачных систем «Лаборатории Касперского», созданная для максимального повышения эффективности обнаружения новых и неизвестных киберугроз и обеспечивающая максимально быструю и эффективную защиту пользователей. KSN автоматически обрабатывает связанные с киберугрозами данные, которые принимаются с миллионов устройств, принадлежащих пользователям «Лаборатории Касперского», принявшим решение использовать эту систему. Подход, основанный на применении облачной системы, в настоящее время является отраслевым стандартом, применяемым многими мировыми поставщиками средств кибербезопасности.

Что такое облачная система?

Это система, которая работает на серверах компании, а не на персональных устройствах, и которой можно пользоваться через интернет из любой точки мира. В число примеров облачных систем входят сервисы электронной почты, обмена файлами и их хостинга. Сервисы Kaspersky Security Network расположены в разных странах мира (Канада, Германия, Швейцария, Россия и т. д.), что позволяет быстрее обрабатывать информацию и гарантирует доступность серверов в случае сбоя какого-либо из них.

Какова цель облачной защиты?

«Лаборатория Касперского» считает гибридную модель защиты (антивирусные базы данных + проактивная защита + облако) наиболее эффективной.

Высокая производительность облачной системы безопасности позволяет нам анализировать киберугрозы быстрее и точнее. В то время как традиционный цикл обновления антивирусных и антифишинговых баз данных обычно занимает несколько часов, облачная система может обеспечить пользователям защиту от новой угрозы за считаные минуты.

Использование облачных технологий также позволяет сделать защитный продукт «легче», т. к. он не будет занимать слишком много памяти и ресурсов на пользовательском устройстве.

Возможно ли ограничить обработку данных?

Наши клиенты могут выбирать, хотят ли они предоставлять нам данные и в каком объеме, исходя из функциональности продукта или сервиса, которые они собираются использовать, и соответствующих соглашений, условия которых они приняли. «Лаборатория Касперского» всегда предоставляет информацию, касающуюся обработки данных (в частности, полный список данных, которые будут подвергнуты обработке), чтобы клиенты могли принимать обоснованные решения. Кроме того, в своем отчете о прозрачности «Лаборатория Касперского» регулярно публично раскрывает информацию о том, сколько запросов данных было получено от наших пользователей и обработано. С последним отчетом можно ознакомиться здесь.

На некоторых корпоративных решениях наши клиенты могут настроить свои решения таким образом, чтобы данные вообще не передавались, а также воспользоваться правом на доступ к своим обработанным персональным данным, связавшись с нами напрямую по адресу https://support.kaspersky.ru/general/privacy.

Передаете ли вы персональные данные, обрабатываемые решениями «Лаборатории Касперского», третьим лицам?

Мы никогда не предоставляем каким-либо третьим лицам или государственным организациям доступ к инфраструктуре компании, в том числе к инфраструктуре пользовательских данных.

«Лаборатория Касперского» может делиться данными со своими поставщиками в рамках заключенных с ними соглашений об обработке данных. При выборе таких поставщиков мы тщательно контролируем соблюдение правовых требований и наших подходов к обработке данных. Эти поставщики предоставляют нам, например, облачное хранилище и другие соответствующие услуги.

«Лаборатория Касперского» также сотрудничает с международными правоохранительными органами и делится с ними информацией, необходимой для расследования киберпреступлений.  Компания открыто сообщает о таких контактах, публикуя данные о запросах правоохранительных органов на получение пользовательских данных и поддержки технических специалистов в своих отчетах о прозрачности.

Эти отчеты также описывают основные принципы компании при реагировании на запросы от глобальных правительственных и правоохранительных органов и демонстрируют нашу многоэтапную процедуру оценки каждого полученного запроса.  Таким образом, все входящие запросы на получение пользовательских данных проходят обязательную юридическую проверку, в ходе которой мы убеждаемся, что запросы юридически обоснованы, выданы в соответствии с действующим законодательством и могут быть выполнены таким образом, чтобы не скомпрометировать безопасность или приватность пользователей решений «Лаборатории Касперского». 

Сертифицировали ли вы свои методы обработки данных?

Чтобы подтвердить, что компания обеспечивает высочайший уровень безопасности для наших пользователей, сервисы обработки данных «Лаборатории Касперского» периодически проходят сторонние аудиты и оценки безопасности. В частности, сервисы компании по обработке данных были сертифицированы по стандарту ISO 27001, а в 2022 г. была проведена повторная сертификация срасширением охвата. Таким образом, сертификация распространяется на сервисы по обработке как данных, связанных с киберугрозами, так и статистики. Сертификация действительна для сервисов компании по обработке данных, расположенных в центрах обработки данных в Цюрихе, Франкфурте, Торонто, Москве и Пекине. В основе подхода «Лаборатории Касперского» к реализации информационной безопасности и управлению ею лежит соответствие стандарту ISO/IEC 27001:2013 – международно признанному стандарту лучшей отраслевой практики и применимому стандарту безопасности. Сертификат, выданный сторонним аккредитованным органом по сертификации, демонстрирует нашу приверженность серьезному подходу к информационной безопасности и соответствие сервисов «Лаборатории Касперского» по обработке данных лучшим отраслевым практикам. Окончательный отчет о повторной сертификации предоставляется нашим корпоративным клиентам и партнерам по запросу.