Ir para o conteúdo principal

Abordagem da Kaspersky em relação ao processamento de dados

A abordagem da Kaspersky ao processar dados de usuários baseia-se no respeito e na proteção da privacidade das pessoas, bem como em nosso compromisso com a transparência e a responsabilização.

O principal objetivo do processamento de dados em nossa empresa é fornecer aos nossos clientes as melhores soluções de segurança virtual. Para atingir este objetivo, geralmente, processamos dados visando três propósitos: (a) apoiar a funcionalidade do produto principal, (b) melhorar o desempenho e eficácia dos componentes de proteção e (c) oferecer soluções aprimoradas, mais adequadas aos clientes, proporcionando-lhes conteúdo apropriado. Saiba mais sobre nossa Política de Privacidade de Serviços e Produtos.

Para atingir esses objetivos, os dados nem sempre precisam estar vinculados a um indivíduo específico e podem ser anonimizados sempre que possível. As ações da Kaspersky para atingir esse objetivo incluem excluir detalhes da conta de URLs transmitidos, obter hash de ameaças, em vez dos arquivos exatos, ocultar endereços IP de usuários etc.

Na maioria dos casos, os usuários dos produtos Kaspersky podem escolher se ou o quanto desejam fornecer dados pessoais à empresa, com base na funcionalidade dos produtos, serviços e sites. Eles também podem se abster de enviar informações diretamente à Kaspersky. 

A Kaspersky sempre fornece informações claras sobre o processamento de dados, em particular, a lista completa de dados que serão processados ​​para garantir que os clientes possam tomar decisões informadas. A Kaspersky revisa constantemente o tipo de dados processados ​​por suas soluções para proteger a privacidade de seus clientes e cumprir com os requisitos legais mais recentes.

Todos os dados processados e/ou transferidos são fortemente protegidos através de criptografia, certificados digitais, armazenamento separado, políticas rigorosas de acesso aos dados e outros métodos. A empresa também aplica a Estrutura de Desenvolvimento de Software Protegido (SSDF) e implementa controles de gestão de risco da cadeia de suprimentos para proteger sua infraestrutura e sistemas nas ações de processamento de dados.

Semestralmente, em nosso Relatório de Transparência, publicamos informações sobre o volume de solicitações de dados recebidas e processadas de nossos usuários.




Vocês processam dados pessoais?

De acordo com algumas estruturas legais (como o GDPR), as informações processadas pela Kaspersky podem conter dados que podem ser considerados pessoais ou pessoalmente identificáveis. Os produtos Kaspersky nunca processam dados pessoais “sensíveis” dos clientes, como religião, opiniões políticas, preferências sexuais, saúde ou outras categorias especiais de dados pessoais.

Se o processamento de dados pessoais for necessário para atingir os objetivos dos produtos ou serviços, a Kaspersky analisa cuidadosamente as finalidades, a composição e a base legal para o processamento dos dados pessoais em relação à lei aplicável. O conjunto de dados pessoais processados ​​sempre corresponde às finalidades do processamento; nossos produtos ou serviços não coletam ou processam dados pessoais em excesso. Além disso, a Kaspersky sempre fornece todas as informações relacionadas ao processamento de dados, em particular, a lista completa de dados que serão processados ​​para garantir que os clientes sejam mantidos informados e possam tomar decisões conscientes. Detalhes dos dados processados ​​podem ser encontrados no Contrato de Licença do Usuário Final (EULA), na declaração da Kaspersky Security Network (KSN), na Política de Privacidade da Kaspersky para Sites e Serviços Web e em outros documentos fornecidos, que variam dependendo do produto ou serviço. Os dados que coletamos e processamos são usados ​​na forma de estatísticas agregadas e não são atribuídos a um indivíduo específico, sendo transformados em anônimos sempre que possível.

Quais dados são processados?

Qualquer serviço de TI moderno requer o processamento de grandes quantidades de dados para operar com eficiência. A composição dos dados processados ​​depende do produto ou serviço específico. Como líder global em segurança virtual, a Kaspersky pode processar vários dados e estatísticas relacionados a ameaças virtuais. Os dados relacionados a ameaças virtuais incluem arquivos suspeitos e maliciosos, bem como estatísticas que permitem a identificação de ameaças de SI já conhecidas e novos malwares e métodos de ataque. Essas estatísticas também são conhecidas como metadados, informações técnicas suplementares sobre eventos que aconteceram na máquina de um usuário, que nossos produtos podem enviar dependendo de vários fatores: por exemplo, atividades do usuário, configurações do produto Kaspersky, a configuração do sistema operacional no qual um produto Kaspersky está instalado e outros softwares instalados no sistema. Detalhes de todos os dados processados ​​podem ser encontrados no Contrato de Licença do Usuário Final (EULA), na declaração da Kaspersky Security Network (KSN) e em outras documentações, que variam dependendo do produto ou serviço.

Como vocês protegem os dados de usuários?

A segurança dos dados do usuário é uma prioridade para a Kaspersky e a empresa segue uma abordagem multifacetada para mitigar quaisquer riscos potenciais. A Kaspersky tem uma política de gerenciamento de segurança madura, executada por um Departamento de Segurança da Informação dedicado, responsável por implementar a política e a estratégia de segurança da empresa e realizar o monitoramento contínuo do desempenho de segurança e a avaliação da eficácia dos processos de segurança.

Os dados do usuário são protegidos usando algoritmos de proteção modernos, com a empresa garantindo a segurança da rede e do acesso para evitar acesso não autorizado aos dados do usuário e controlando rigorosamente o acesso físico à sua infraestrutura de dados, que é protegida com sistemas de vigilância e alarme. A segurança geral das redes e sistemas da empresa é sustentada por medidas como gerenciamento contínuo de ativos, um processo holístico de gerenciamento de riscos e vulnerabilidades, verificações regulares de conformidade e treinamento contínuo de funcionários, entre outras. Para mais detalhes sobre como protegemos sua privacidade e seus dados, consulte a Política de Privacidade de Produtos e Serviços da Kaspersky.

Como anonimizar os dados que você processa?

A Kaspersky leva a privacidade do usuário muito a sério. A empresa implementa as seguintes medidas para anonimizar os dados processados:

  • Uma abordagem em camadas que aumenta a proteção e reduz os riscos de reidentificação: combinando técnicas como generalização, randomização e privacidade diferencial;
  • Remover todos os identificadores diretos (por exemplo, nomes, números de identificação) dos dados processados ​​(por exemplo, URLs, arquivos etc.);
  • As informações são processadas na forma de estatísticas anônimas e agregadas e não são atribuídas a pessoas específicas;
  • Para evitar a vinculação de dados anonimizados com outros conjuntos de dados que possam reidentificar indivíduos, os dados são armazenados em servidores separados com políticas rígidas quanto aos direitos de acesso;
  • Quando processamos dados de possíveis ameaças, usamos somas de hash, que são funções matemáticas unidirecionais que fornecem um identificador de arquivo exclusivo.
  • Documentação e auditoria periódica dos processos de anonimização.

Onde a Kaspersky armazena os dados?

A Kaspersky é uma empresa global e nossa infraestrutura para processamento de dados está distribuída pelo mundo todo (por exemplo, na Suíça, Alemanha, Rússia, Canadá etc.), permitindo um processamento mais rápido de informações e garantindo a disponibilidade do servidor caso um deles falhe por qualquer motivo. A lista detalhada de países onde dados pessoais podem ser processados ​​pode ser encontrada nas políticas oficiais da Kaspersky, incluindo a Política de Privacidade de Produtos e Serviços.

Como parte da nossa Iniciativa de Transparência Global (GTI), a Kaspersky realocou parte de sua infraestrutura de processamento de dados. Arquivos maliciosos e suspeitos compartilhados voluntariamente por usuários de produtos Kaspersky na Europa, América do Norte e Latina, Oriente Médio e vários países da Ásia-Pacífico são processados ​​em dois data centers em Zurique, Suíça. Esses centros oferecem instalações de excelência em conformidade com os principais padrões de segurança. Além disso, a Suíça está entre os poucos países que têm uma decisão de adequação com a UE, o que significa que o país foi reconhecido pela Comissão Europeia por fornecer proteção adequada de dados pessoais.

O que é a Kaspersky Security Network?

O Kaspersky Security Network (KSN) é um dos principais sistemas de nuvem da Kaspersky, criado para maximizar a eficácia da descoberta de ameaças virtuais novas e desconhecidas, garantindo assim a proteção mais rápida e eficaz para os usuários. O KSN processa automaticamente dados relacionados a ameaças virtuais recebidos de milhões de dispositivos de propriedade de usuários da Kaspersky que tomaram a decisão de usar este sistema. Essa abordagem de sistema baseada em nuvem é agora o padrão do setor, aplicada por muitos fornecedores globais de segurança virtual.

O que é um sistema baseado na "nuvem"?

Este é um sistema executado em servidores de uma empresa, em vez de nos dispositivos individuais, que pode ser usado via Internet de qualquer lugar do mundo. Exemplos de sistemas em nuvem incluem e-mail, compartilhamento de arquivos e hospedagem de arquivos. Os serviços do Kaspersky Security Network estão localizados em diferentes países ao redor do mundo (Canadá, Alemanha, Suíça, Rússia etc.), permitindo um processamento mais rápido das informações e garantindo a disponibilidade do servidor caso algum deles falhe.

Qual é o objetivo da proteção baseada em nuvem?

A Kaspersky considera um modelo de proteção híbrido (bancos de dados de antivírus + defesa proativa + nuvem) o mais eficaz.

O alto desempenho da nuvem de segurança nos permite analisar ameaças virtuais com mais rapidez e precisão. Enquanto o ciclo de atualização de bancos de dados de antivírus e antiphishing tradicionais normalmente demora várias horas, a nuvem pode fornecer aos usuários proteção contra uma nova ameaça em minutos.

O uso da nuvem também pode tornar um produto de segurança "mais leve", evitando alto consumo de memória e recursos do dispositivo do usuário.

O processamento de dados pode ser limitado?

Nossos clientes podem escolher se e quantos dados desejam fornecer, com base na funcionalidade do produto ou serviço que desejam usar e nos respectivos acordos aceitos. A Kaspersky sempre fornece informações sobre o processamento de dados, em particular, a lista completa de dados que serão processados ​​para garantir que os clientes possam tomar decisões informadas. Além disso, a Kaspersky divulga regularmente informações públicas sobre quantas solicitações de dados foram recebidas e processadas de nossos usuários em seu Relatório de Transparência. O último relatório está disponível aqui.

Para alguns produtos corporativos, nossos clientes podem configurar suas soluções para que nenhum dado seja compartilhado, bem como exercer o direito de acessar seus dados pessoais processados ​​entrando em contato conosco diretamente em https://support.kaspersky.com/general/privacy.

Vocês compartilham dados pessoais, processados pelas soluções Kaspersky com terceiros?

Nunca fornecemos dados a terceiros ou a qualquer organização governamental com acesso à infraestrutura da empresa, incluindo infraestrutura de dados de usuários.

A Kaspersky pode compartilhar dados com seus fornecedores por meio de acordos de processamento de dados com eles. Ao selecionar esses fornecedores, controlamos cuidadosamente a conformidade com os requisitos legais e nossas abordagens ao processamento de dados. Esses fornecedores nos fornecem, por exemplo, armazenamento em nuvem e outros serviços relevantes.

A Kaspersky também trabalha com agências internacionais de segurança pública e compartilha com elas informações necessárias para a investigação de crimes virtuais.  A empresa tem sido transparente sobre esses contatos, divulgando dados sobre solicitações recebidas de autoridades para acesso a dados de usuários e conhecimento técnico em seus Relatórios de Transparência.

Esses relatórios também descrevem os princípios fundamentais da empresa em resposta a solicitações de agências governamentais e policiais globais e demonstram nosso procedimento de várias etapas para avaliar cada solicitação recebida.  Assim, todas as solicitações recebidas de dados do usuário passam por uma verificação legal obrigatória, durante a qual garantimos que as solicitações sejam legalmente justificadas, emitidas de acordo com as leis aplicáveis ​​e possam ser implementadas de uma forma que não comprometa a segurança ou a privacidade dos usuários da Kaspersky. 

Seus métodos de processamento de dados são certificados?

Para confirmar que a empresa aplica a mais alta segurança para nossos usuários, os serviços de dados da Kaspersky passam periodicamente por auditorias e avaliações de segurança de terceiros. Em particular, os serviços de dados da empresa foram certificados pela ISO 27001 e também recertificados em 2022 comescopo estendido, de modo que os serviços de dados para processamento de dados e estatísticas relacionados a ameaças virtuais estão cobertos pela certificação. A certificação é válida para os serviços de dados da empresa localizados em data centers em Zurique, Frankfurt, Toronto, Moscou e Pequim. A conformidade com a norma ISO/IEC 27001:2013, reconhecida internacionalmente como a melhor prática do setor e o padrão de segurança aplicável, está no cerne da abordagem da Kaspersky para implementar e gerenciar a segurança da informação. A certificação, concedida pelo órgão de certificação terceirizado credenciado, demonstra nosso comprometimento com a segurança sólida das informações e que o Serviço de Dados da Kaspersky está em conformidade com as melhores práticas líderes do setor. O relatório final da recertificação é fornecido aos nossos clientes corporativos e parceiros mediante solicitação.