Kompanija Kaspersky uspešno prošla nezavisnu SOC2 reviziju

Kaspersky

Kompanija Kaspersky uspešno je kompletirala SOC 2 reviziju tipa 1 (Service Organization Control for Service Organizations). Završni izveštaj koji je objavila jedna od kompanija koja se nalazi u grupi „Velike četvorke” (Big Four), a koja pruža profesionalne usluge revizije, potvrđuje da su razvoj i baze podataka o pravilima za otkrivanje pretnji koje pruža kompanija Kaspersky (AV baze podataka) zaštićeni od neovlašćenih promena od strane jake bezbednosne kontrole. Pored toga, kompanija najavljuje novi razvoj svoje Inicijative za globalnu transparentnost.

SOC (The Service Organization Controls) okvir za izveštavanje je globalno priznati izveštaj koji je razvila organizacija American Institute of Certified Public Accountants (AICPA) kako bi informisali korisnike o efektivnom dizajnu i implementaciji bezbednosnih kontrola. Kao odgovorna i transparentna kompanija, kompanija Kaspersky je izabrala ovaj standard kako bi prikazala pouzdanost svojih proizvoda i posvećenost AICPA principima i kriterijumima: bezbednosti, dostupnosti, integritetu obrade, poverljivosti i privatnosti.

Procena je obavljena u skladu sa SSAE 18 standardom (Statement of Standards for Attestation Engagements) i uključuje interne kontrole nad redovnim automatskim ažuriranjem antivirusnih baza podataka, koje je kompanija Kaspersky kreirala i distribuirala za svoje proizvode koji rade na Windows i Unix serverima. U svom završnom izveštaju, nezavisni revizor iz grupe „Velike četvorke” određenog datuma je utvrdio prikladnost gore navedenih kontrola i njihov odgovarajući rad.

„Bezbednost naših proizvoda svakako je jedan od naših glavnih prioriteta. Ponosni smo što smo završili ovu nezavisnu procenu koja našim klijentima ukazuje na bezbednost naših proizvoda i pruža poverenje u naše istraživačke i razvojne procese i kontrole. Ova revizija označava još jedan korak napred u našim naporima da podržimo transparentnost”, ističe Andrej Efremov (Andrey Efremov), generalni tehnološki direktor u kompaniji Kaspersky.

Prema uslovima ugovora, kompanija Kaspersky ne može da otkrije ime nezavisnog revizora iz grupe „Velike četvorke״. Međutim, kompanija na zahtev može da prikaže glavne informacije o svojim gore navedenim obavezama i zahtevima u izveštaju SOC 2 tipa 1.

Revizija je urađena u sklopu Inicijative za globalnu transparentnost, koju je kompanija Kaspersky najavila 2017. godine, kako bi svoje partnere i klijente uverila da proizvodi i usluge kompanije nisu samo najbolji kada je reč o zaštiti od sajber pretnji, već i da se prema podacima klijenata pristupa sa puno poštovanja i pažnje. Između ostalog, kompanija je posvećena premeštanju svoje baze za skladištenje i obradu podataka u Švajcarsku. Kompanija je takođe završila i drugu fazu relociranja centra za evropske korisnike i planira da finalizuje ovu promenu do kraja 2019. godine.

Pored premeštanja baze podataka, cilj kompanije Kaspersky je da do 2020. godine ima najmanje tri „Transparency” centra. Kompanija nastavlja sa podrškom svog programa „Bug Bounty Program” i radi na nekoliko drugih projekata koji za cilj imaju povećanje transparentnosti i poverenja u kompaniju.

Dalji razvoj Inicijative za globalnu transparentnost

Bug Bounty Program: Kompanija Kaspersky kontinuirano radi na razvoju svog Bug Bounty programa. Kompanija je nedavno dodelila nagradu u iznosu od 23.000 dolara – najveću nagradu u istoriji programa – istraživačima iz Imaginary tima za otkrivanje bezbednosnog problema koji bi potencijalno mogao da dozvoli trećim stranama da daljinski izvršavaju proizvoljni kod na PC uređajima korisnika sa sistemskim privilegijama. Greška je odmah popravljena. Kompanija Kaspersky zahvaljuje Imaginary timu na izveštaju i njihovoj pomoći u poboljšanju proizvoda kompanije.

Podrška za istraživače ranjivosti: Kompanija sada podržava Disclose.io okvir koji pruža podršku istraživačima ranjivosti koji su zabrinuti zbog negativnih pravnih posledica svojih otkrića. Kompanija Kaspersky shvata da eksterni stručnjaci pružaju dragocenu pomoć pronalaženjem i prijavljivanjem ranjivosti u proizvodima i spremni su da pruže dodatne garancije za pravedne izveštaje o ranjivostima.

„Transparency” centri: Nedavno najavljeni „Transparency” centar u Madridu je, počevši od juna, zvanično otvoren za klijente i partnere kompanije Kaspersky, kao i za predstavnike vlada. Kao što je slučaj sa objektom u Cirihu, kompanija nudi recenzije izvornog koda i prilagođeno bezbednosno informisanje o praksi obrade podataka kompanije i načinu na koji funkcionišu njeni proizvodi.

Podrška u vidu informacija o pretnjama agencijama za sprovođenje zakona: Kompanija Kaspersky, prva među sajberbezbednosnim vendorima, je najavila naprednu besplatnu uslugu za agencije za sprovođenje zakona. Jedinstven i prilagođen pristup razvijen da maksimizira njihove napore u borbi protiv sajber kriminala, sastoji se od tri komponente:

·        Threat intelligence Reporting

·        Threat Data Feeds

·        Automated Security Awareness Platform (Kaspersky ASAP).

Pružajući besplatnu ponudu ovim agencijama, kompanija želi da podigne svest o tome kako funkcionišu Kaspersky usluge i kako mogu pomoći u borbi protiv sajber kriminala i sofisticiranih sajber pretnji. Više informacija o usluzi možete pronaći ovde.

Kompanija Kaspersky nastavlja da razvija svoju Inicijativu o globalnoj transparentnosti i da redovno vrši ažuriranja.