Защита данных
Мы уважаем право наших клиентов на конфиденциальность и защищаем их данные. Наша цель — исключить их утечки у пользователей «Лаборатории Касперского».
Ключевые задачи
- Обеспечение защиты данных клиентов по всему миру с использованием лучших практик в области информационной безопасности и учетом локальных нормативных актов.
- Оперативное реагирование на запросы клиентов по вопросам обработки и защиты их данных.
- Предотвращение несанкционированного доступа и утечек данных пользователей.
Наш подход к защите данных
Мы делаем все, чтобы обеспечить защиту данных наших клиентов по всему миру. Такая информация — ценный актив для современных компаний. Мы защищаем персональную информациюПерсональная информация — любая информация, относящаяся к физическому лицу, включая Ф.И.О., номера телефонов, адрес, IP-адрес, адрес электронной почты и т. д. наших клиентов от возможных несанкционированных изменений, компрометации или потери. Для этого мы используем лучшие в своем классе технологии и принимаем следующие меры безопасности.
- Жизненный цикл безопасной разработки ПО обеспечивает создание защищенных продуктов и оперативное исправление уязвимостей.
- Надежное шифрование гарантирует безопасный обмен данными между устройством пользователя и облаком.
- Цифровые сертификаты позволяют выполнять легитимную и безопасную аутентификацию серверов и обновление приложений.
- Данные хранятся раздельно на множестве серверов с ограниченными правами и строгими политиками доступа.
- Данные анонимизируются различными методами, среди которых удаление данных учетных записей из переданных URL‑адресов, получение хеш‑сумм вредоносных файлов вместо самих файлов, сокрытие IP‑адресов пользователей и т. д.
Как мы защищаем данные по всему миру и предотвращаем их утечки
Мы руководствуемся ключевыми принципами работы с данными согласно европейскому регламенту по защите данных (EU General Data Protection Regulation GDPR), принятому в 2016 году. Именно этот законодательный акт предписывает фундаментальные технические и организационные меры, которые также признаются эталонными в других юрисдикциях. Кроме того, мы выполняем требования международного стандарта по информационной безопасности ISO/IEC 27001 и учитываем требования законов о защите персональных данных разных стран, в числе которых PIPLЗакон КНР о защите персональных данных (Personal Information Protection Law of the People’s Republic of China)., CCPAЗакон штата Калифорния о защите персональных данных потребителей (California Consumer Privacy Act)., LGPDОбщий закон о защите данных Бразилии (Lei Geral de Proteção de Dados)., PDPDЗакон Вьетнама о защите персональных данных (Personal Data Protection Decree)., 152‑ФЗФедеральный закон Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных».и др.
Мы стремимся свести число инцидентов к нулю. За отчетный период у нас не было нарушений законодательства о персональных данных или утечек данных. Это стало возможным благодаря постоянному обучению сотрудников, внедренным технологиям защиты информации и стандартизации работы с данными. В отчетном периоде мы обновили наши требования к обработке данных, а также провели адаптацию этих требований под законодательство разных стран.
Самую актуальную информацию, включая количество удовлетворенных запросов от наших пользователей, мы собираем в отчете прозрачности. Документ находится в открытом доступе, обновляется и публикуется каждые шесть месяцев.
Обучаем правилам работы с данными
В «Лаборатории Касперского» действует курс повышения осведомленности для сотрудников, непосредственно вовлеченных в процессы обработки данных клиентов. В 2023 году этот курс прошли 3 983 человека — все европейские работники Компании и сотрудники по всему миру, вовлеченные в процессы обработки и защиты данных клиентов. Это на 58% больше, чем годом ранее.
Оценка рисков
Мы используем риск‑ориентированный подход, направленный на защиту данных наших пользователей. Оценка рисков выполняется на всех этапах: при внедрении новых систем, разработке новых решений, расследовании инцидентов. В каждом случае мы заранее анализируем, какие риски могут возникнуть при обработке данных клиентов, и сводим эти риски к минимуму.
Требования GDPR и региональные законодательства учитывают риски, которым могут подвергнуться пользователи. Нивелировать репутационные и финансовые риски для Компании нам помогает стандарт ISO/IEC 27001.
Оперативно реагируем на запросы пользователей
Пользователи также просят предоставить выгрузку своих данных и сведения о том, какая информация о них хранится и где. В отчетном периоде (с 1 июля 2022 года по конец 2023 года) мы успешно обработали 9 769 обращений, а в период 1 января 2021 года по 30 июня 2022 года — 5 538. Мы наблюдаем тенденцию к увеличению количества таких запросов как в Европе, так и по всему миру. Это происходит по двум причинам: повышение осведомленности пользователей о своих правах и принятие новых законов о персональных данных.
Наша цель — предоставлять всю необходимую информацию о данных пользователям, чтобы они могли доверять нашей Компании и продуктам. В рамках налаженного процесса получения и обработки запросов мы создаем отчеты прозрачности, в которых фиксируем количество и типы запросов, поступающих к нам от клиентов. Мы обновляем и публикуем такие отчеты каждые шесть месяцев.
Как и большинство компаний, мы работаем с данными пользователей и в таргетированной рекламеТаргетированная реклама — один из ключевых инструментов маркетинга, когда для продвижения товаров и услуг используют персональные данные пользователей, собранные с помощью различных веб-сайтов, приложений и соцсетей.. Согласно GDPR, данные, полученные через cookiesCookies — небольшие файлы, хранящиеся на компьютерах и гаджетах, c помощью которых сайт запоминает информацию о посещениях пользователя., считаются персональными, а значит, при их сборе нужно соблюдать соответствующие правила. Единые строгие политики по получению согласий для сбора информации на сайтах применены в Бразилии, Великобритании и во всей Европе. В остальных странах мы собираем минимальные данные для предоставления релевантной информации для наших потенциальных клиентов.
Для взаимодействия с потребителями, клиентами и поставщиками в «Лаборатории Касперского» работает форма обратной связи на официальном сайте:
www.kaspersky.ru/about/contact — для русскоязычных пользователей;
www.kaspersky.com/about/contact — для международных пользователей.
Предотвращаем утечки данных
Команда, в которую вошли сотрудники подразделений IT, R&D, ИБ и интеллектуальной собственности, сформировалась в 2016 году, когда внедрялись требования GDPR. Privacy Team приводила в соответствие европейскому регламенту все процессы в Компании. Сейчас команда обеспечивает выполнение функций обработки данных в таких направлениях, как консультирование, организационные вопросы и контроль.
Начиная с 2019 года «Лаборатория Касперского» ежегодно проходит сертификацию своих систем по работе с данными на соответствие требованиям международного стандарта ISO/IEC 27001, подтверждая их высокий уровень защиты. В отчетном периоде область аудита информационных систем была значительно расширена. Мы наняли новых сотрудников и сформировали новое подразделение, с помощью которого в 2023 году было проведено 388 внутренних аудитов.
Область сертификации распространяется на область обработки данных «Лаборатории Касперского» «Доставка вредоносных и подозрительных файлов и статических данных об активности с помощью инфраструктуры Kaspersky Security Network (KSN), их безопасное хранение и доступ в Kaspersky Lab Distributed File System (KLDFS) и к базе данных KSNBuffer».
Сертификация действительна для сервисов обработки данных, расположенных в дата‑центрах в Цюрихе, Франкфурте‑на‑Майне, Глаттбурге, Торонто, Москве и Пекине.
Запуск новой системы учета
В отчетном периоде мы завершили масштабный проект — запустили новую систему учета процессов и сервисов обработки данных, созданную силами команды разработчиков «Лаборатории Касперского». В ней учитывается, какие сервисы обрабатывают данные клиентов, в каких бизнес‑процессах они используются, кто контроллер (оператор) и процессор (обработчик) данных, какие данные в системе хранятся, как долго, на каком основании, в каком объеме, в каких странах и т. д. Новая система готова к работе, и в нее уже перенесено 80% данных.