Transparência
Em outubro de 2017, anunciamos nossa Iniciativa de Transparência Global para provar que não temos nada a esconder e que nossos clientes podem confiar em nós – não apenas pelo que dizemos, mas pelo que fazemos.
Vamos atualizar esse post conforme o amadurecimento do projeto.
Atualizado em 17 de novembro de 2020
A realocação do processamento e armazenamento de dados, anunciada em novembro de 2018, está concluída. Além da Europa, Estados Unidos e Canadá, a Kaspersky também realocou o armazenamento e processamento de dados de vários países da Ásia -países do Pacífico, incluindo Austrália, Nova Zelândia, Japão, Bangladesh, Brunei, Camboja, Índia, Indonésia, Coreia do Sul, Laos, Malásia, Nepal, Paquistão, Filipinas, Cingapura, Sri Lanka, Tailândia e Vietnã.
Agora processamos os dados dos relatórios de ameaças dos clientes compartilhados por esses usuários em dois data centers em Zurique, Suíça. Esses arquivos incluem arquivos maliciosos suspeitos ou previamente desconhecidos que nossos produtos enviam para a Kaspersky Security Network (KSN) para análise automatizada de malware.
Anunciamos a inauguração de nosso Centro de Transparência na América do Norte em parceria com a CyberNB Association, organização sem fins lucrativos em New Brunswick, Canadá. A instalação começará a operar no início de 2021. A quinta localização da empresa possibilitará que parceiros da Kaspersky revisem nosso código-fonte e aprendam mais sobre as práticas de engenharia e processamento de dados, bem como nosso portfólio de produtos.
No início de 2020, os Centros de Transparência em São Paulo e Kuala Lumpur tornaram-se totalmente operacionais. A Kaspersky também relançou seu primeiro Centro de Transparência em Zurique, que transferimos para o data center da Interxion.
Dadas as desafiadoras restrições a viagens e visitantes em vigor no momento, os clientes e parceiros também podem analisar nosso código-fonte remotamente. Para solicitar acesso remoto aos Centros de Transparência da Kaspersky, acesse este link.
Lançamos o Programa de Capacitação Cibernética, anunciado em maio de 2020, juntamente com a Autoridade de Segurança da Informação (AI) do Vietnã, que inclui o CERT do país e o Centro Nacional de Segurança Cibernética (NCSC). O programa agora inclui uma seção adicional sobre difusão de código, conduzida com a equipe ICS CERT da Kaspersky. Em 2021, o programa estará disponível para parceiros de negócios e outras empresas para aumentar seu enfrentamento, bem como para avaliar a resiliência de seus sistemas e redes contra os riscos da cadeia de abastecimento. Para solicitar acesso, siga este link.
Expandimos o escopo do produto de nosso programa Bug Bounty (Caça aos Bugs). Os pesquisadores agora podem enviar relatórios de vulnerabilidade relacionados ao Kaspersky VPN Secure Connection, incluindo módulos de software de terceiros que fazem parte da solução VPN. Desde março de 2018, nosso programa possibilitou o mapeamento de 76 bugs e 37 recompensas, totalizando U$ 57.750.
Atualizado em 13 de novembro de 2019
Hoje, anunciamos nosso quarto Centro de Transparência, previsto para ser inaugurado em São Paulo em janeiro de 2020. Será nosso primeiro na América Latina, seguindo o padrão dos Centros de Transparência Europeus, em Madrid e em Zurique, e do Centro de Transparência Ásia-Pacífico, em Cyberjava, Malásia. O novo centro é mais um reflexo do nosso compromisso em demonstrar que somos transparentes e que podemos resolver qualquer problema de segurança de imediato e por completo.
A realocação da nossa infraestrutura de armazenamento e processamento de dados está progredindo. Após a migração dos dados de nossos clientes europeus para a Suíça, agora estamos começando a mover também os dados de clientes dos EUA e do Canadá. Os dados são compartilhados de maneira voluntária com o Kaspersky Security Network (KSN), nosso avançado sistema baseado em nuvem que processa automaticamente dados relacionados a ameaças cibernéticas. Esperamos concluir esta etapa da migração até o final de 2020 e adicionaremos continuamente outras regiões.
Como um dos primeiros signatários da Paris Call for Trust and Security in Cyberspace, tivemos o orgulho de anunciar essas etapas no Paris Peace Forum 2019.
Os visitantes do nosso Centro de Transparência têm a oportunidade de aprender mais sobre as práticas de engenharia e o processamento de dados, para compilar, com a assistência de nossos especialistas, o software da Kaspersky a partir do seu código-fonte e compará-lo com o código disponível ao público. Também usaremos o Centro para demonstrar nosso portfólio, bem como nossas práticas de engenharia e processamento de dados.
Atualizado em 11 de julho de 2019
Nosso segundo Centro de Transparência foi inaugurado em Madrid em junho para os clientes e parceiros da Kaspersky. E nossa intenção é ter pelo menos três Centros de Transparência em todo o mundo até 2020.
Mas as novidades não param por aí. Uma parte importante de nossa Iniciativa Global de Transparência foi concluída: a revisão de Service Organization Controls de Terceiros (SOC2 Type 1) dos controles de gerenciamento de riscos de cibersegurança da Kaspersky. Um dos editores do “Big Four” analisou nossos controles sobre atualizações automáticas das bases de dados de antivírus Windows e Unix Severs e concluiu que o desenvolvimento e lançamento desses bancos de dados são protegidos contra as alterações sem autorização. Isso confirma mais uma vez que nossos produtos são seguros e confiáveis. De acordo com os termos do contrato, podemos enviar o relatório para nossos clientes e reguladores – só precisam solicitá-lo no link a seguir.
Além disso, continuamos a expandir nosso programa Bug Bounty (Caça aos Bugs) aos fazermos uma nova parceria com o movimento Disclose.io. Ou seja, agora oferecemos um porto seguro para pesquisadores de vulnerabilidades que analisam nossos produtos, garantindo que não haverá nenhuma ação legal contra eles. Mais informações sobre Disclose.io podem ser encontradas em nosso blog.
Qual o próximo passo para a Iniciativa de Transparência Global?
Outros elementos da nossa Iniciativa de Transparência Global também estão sendo desenvolvidos.
Estamos planejando abrir nosso primeiro Centro de Transparência na Suíça, que está sendo planejado neste momento e será aberto assim que estivermos prontos para começar o processamento nos centros de dados de Zurique (isso está previsto para ainda este ano). [ATUALIZAÇÃO: Já inauguramos dois Centros de Transparência em Zurique e Madrid]
Decidimos realocar as instalações que processam dados de clientes para outros países também. Esse é um processo bastante complicado, por isso, para minimizar qualquer possível perturbação na proteção de nossos clientes, resolvemos manter uma abordagem incremental. Então, retomaremos isso depois de já termos transferido as instalações de processamento de dados de cidadãos europeus para a Suíça. [ATUALIZAÇÃO: O processo de realocação já começou e será concluído para os cidadãos europeus em 2019]
O código de terceiros e a revisão de processos também devem ocorrer após a realocação, já que estamos agora procurando por um parceiro adequado. [ATUALIZAÇÃO: Um dos especialistas das “Big Four” concluiu sua auditoria usando a estrutura de relatórios do SOC2 type 1]
Implementar nossa Iniciativa de Transparência Global é um processo muito importante para nós. Estamos absolutamente confiantes que investir tempo e esforço neste longo projeto é necessário para provar que a Kaspersky é completamente transparente, independente e tem todos os motivos para ser considerada de confiança. Quando tivermos mais notícias sobre o processo em andamento, atualizaremos este blog assim como o site do nosso Centro de Transparência, para que todos possam encontrar informações sobre nossas atividades relacionadas ao projeto em um só lugar.
Atualizado em 2 de abril de 2019
Nossa Iniciativa de Transparência Global não para de crescer. Hoje, anunciamos a abertura de um segundo Centro de Transparência localizado em Madrid, que irá fornecer mais informações sobre o desempenho dos produtos e tecnologias da Kaspersky. Além disso, o novo Centro também servirá como um ponto de informações onde os visitantes aprenderão sobre nosso portfólio de produtos, práticas de engenharia e processamento de dados. A inauguração para visitação está prevista para o mês de junho. O planejamento para abertura dos Centros de Transparência na Ásia e América do Norte em 2020 estão em andamento.
A transferência da infraestrutura de processamento de dados também está em implementação. Já mudamos a infraestrutura de recepção para a Suíça e está prevista a finalização do remanejamento de armazenamento para o segundo trimestre. Esperamos ter concluído a realocação do processamento de dados dos clientes europeus no final do ano.
Além disso, publicaram os resultados de uma avaliação legal independente de terceiros sobre atos legislativos russos e como se aplicam à Kaspersky. O responsável por desenvolver esta análise foi o Dr. Kaj Hober, Professor de Direito Comercial e Investimento Internacional na Universidade de Uppsala, na Suécia, e especialista no sistema jurídico Russo. As principais conclusões são as seguintes:
- O Serviço de Segurança Federal (FSB) pode solicitar a cooperação da Kaspersky, mas a empresa não é obrigada legalmente.
- As leis que obrigam os fornecedores a ajudar o FSB com atividades de pesquisa operacional aplicam-se apenas às empresas que oferecem serviços de comunicação eletrônica, o que não é o caso da Kaspersky.
- As leis que exigem que as empresas armazenem dados na Rússia e os forneça, juntamente com chaves de decodificação para o FSB, se aplicam apenas aos provedores de telecomunicações, não é o caso da Kaspersky.
E por último, mas não menos importante, melhoramos o nosso programa Bug Bounty (Caça aos Bugs) adicionando ao escopo do software disponível para análise o Kaspersky Password Manager e o Kaspersky Endpoint Security para Linux, entre outros produtos. Por isso, mais de 50 bugs foram descobertos e pesquisadores receberam U$ 17 mil como recompensa.
Atualizado em 13 de novembro de 2018
Nosso primeiro Centro de Transparência está oficialmente aberto, o que permite que parceiros autorizados acessem revisões de nossos códigos, atualizações de softwares e regras de detecção de ameaças.
A partir de hoje, também processaremos todos os arquivos maliciosos e suspeitos compartilhados por usuários de produtos da Kaspersky na Europa nas nossas duas instalações de primeira classe em Zurique.
Como prometido, a Kaspersky ainda contratou uma das quatro maiores organizações contábeis do mundo, para realizar uma auditoria nos processos de engenharia relacionados à criação e distribuição de bancos de dados de detecção de ameaças, conforme o padrão SSAE 18, e confirmar, de forma independente, sua conformidade com as melhores práticas de segurança da indústria.
Em que fase está a Iniciativa de Transparência Global?
Até o dia 29 de agosto de 2018, fizemos um bom progresso. Já implementamos uma enorme mudança, aumentamos a recompensa do nosso programa de caça aos bugs para U$ 100 mil. Com isso – é o que esperamos – nossos produtos serão mais seguros e confiáveis. Hoje, ficamos felizes em anunciar que estamos avançando e que outra parte do projeto de Iniciativa de Transparência Global foi iniciada – começamos a instalar o equipamento necessário para realocar nosso processamento de dados de usuários para a Europa.
A Kaspersky assinou contratos com dois fornecedores europeus – Interxion e NTS – que vão fornecer instalações para hospedar nossos servidores. Nosso comprometimento é com as preocupações dos stakeholders dos setores público e privado relacionadas ao acesso não autorizado a dados de clientes, esses centros de dados vão hospedar a nova infraestrutura necessária para coletar, processar e armazenar dados de consumidores em Zurique, na Suíça, até o final de 2018. A realocação do processamento e armazenamento de dados de clientes europeus vai começar ainda este ano, e outros países virão a seguir. Planeja-se que a transferência completa dos países europeus seja finalizada no último trimestre de 2019.
A escolha do local é bastante óbvia – por um lado, a Suíça está no coração da Europa, por outro, não faz parte da União Europeia, o que a torna um país independente que pode tomar suas próprias decisões. E uma vez que um dos princípios fundamentais da nossa Iniciativa de Transparência Global é mostrar que somos independentes, simplesmente não há lugar melhor para essa mudança.
A Suíça também é reconhecida por seu cenário de TI altamente avançado e inovador, e por suas normas rígidas para as solicitações de processamento de dados recebidas das autoridades. Assim, os dados dos nossos clientes serão armazenados e processados em um dos lugares mais seguros do mundo.
Qual o próximo passo para a Iniciativa de Transparência Global?
Outros elementos da nossa Iniciativa de Transparência Global também estão sendo desenvolvidos.
Estamos planejando abrir nosso primeiro Centro de Transparência na Suíça, que está sendo planejado neste momento e será aberto assim que estivermos prontos para começar o processamento nos centros de dados de Zurique (isso está previsto para ainda este ano).
Outra parte do nosso escopo é mover o processo de compilação da base de dados de software e regras de detecção de ameaças para a Suíça. No entanto, lidar com as questões relacionadas ao acesso não autorizado a dados de usuários era uma prioridade mais importante, então esta mudança vai acontecer depois que tivermos iniciado o processo de realocação de dados.
Decidimos realocar as instalações que processam dados de clientes para outros países também. Esse é um processo bastante complicado, por isso, para minimizar qualquer possível perturbação na proteção de nossos clientes, resolvemos manter uma abordagem incremental. Então, retomaremos isso depois de já termos transferido as instalações de processamento de dados de cidadãos europeus para a Suíça.
O código de terceiros e a revisão de processos também devem ocorrer após a realocação, já que estamos agora procurando por um parceiro adequado.
Implementar nossa Iniciativa de Transparência Global é um processo muito importante para nós. Estamos absolutamente confiantes que investir tempo e esforço neste longo projeto é necessário para provar que a Kaspersky é completamente transparente, independente e tem todos os motivos para ser considerada de confiança. Quando tivermos mais notícias sobre o processo em andamento, atualizaremos este blog assim como o site do nosso Centro de Transparência, para que todos possam encontrar informações sobre nossas atividades relacionadas ao projeto em um só lugar.
