{"id":12314,"date":"2019-09-18T19:02:03","date_gmt":"2019-09-18T22:02:03","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=12314"},"modified":"2022-05-23T15:00:35","modified_gmt":"2022-05-23T18:00:35","slug":"soc2-audit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/soc2-audit\/12314\/","title":{"rendered":"Kaspersky \u00e9 aprovada na rigorosa auditoria SOC2"},"content":{"rendered":"
\n

Atualizado em 18 de maio de 2022<\/strong><\/h2>\n

Em 2022, a Kaspersky mais uma vez concluiu a auditoria de Service Organization Control for Service Organizations (SOC 2) Tipo 1 \u2013 ou em tradu\u00e7\u00e3o livre, Controle de Organiza\u00e7\u00e3o de Servi\u00e7os para Organiza\u00e7\u00f5es de Servi\u00e7os \u2013 em que a empresa passou pela primeira vez em 2019. A avalia\u00e7\u00e3o independente foi realizada por uma empresa internacional de auditoria das \u201cBig Four\u201d.<\/p>\n

Iniciada no final de janeiro de 2022, a nova avalia\u00e7\u00e3o foi conclu\u00edda com sucesso no final de abril e confirmou que o processo de desenvolvimento e atualiza\u00e7\u00e3o dos bancos de dados antiv\u00edrus da Kaspersky est\u00e1 protegido contra altera\u00e7\u00f5es n\u00e3o autorizadas por controles de seguran\u00e7a. Durante a an\u00e1lise, os auditores da \u201cBig Four\u201d verificaram, entre outras coisas, as pol\u00edticas e procedimentos da empresa relacionadas ao desenvolvimento e publica\u00e7\u00e3o de bancos de dados antiv\u00edrus (AV), \u00e0 seguran\u00e7a f\u00edsica e de rede da infraestrutura envolvida nesse processo e \u00e0s ferramentas de monitoramento utilizadas pela equipe da Kaspersky.<\/p>\n

O escopo da auditoria atual foi expandido em compara\u00e7\u00e3o com a avalia\u00e7\u00e3o de 2019, j\u00e1 que a Kaspersky introduziu novas ferramentas e controles de seguran\u00e7a. O relat\u00f3rio completo pode ser fornecido aos nossos clientes mediante solicita\u00e7\u00e3o.<\/p><\/blockquote>\n

Como voc\u00ea j\u00e1 deve ter visto no blog de Eugene Kaspersky<\/a> ou em nosso comunicado oficial<\/a> para a imprensa, fomos aprovados na auditoria SOC 2. Se voc\u00ea n\u00e3o sabe do que estamos falando ou os motivos pelos quais ela \u00e9 t\u00e3o importante, contamos neste post os detalhes para voc\u00ea ficar por dentro.<\/p>\n

O que \u00e9 uma auditoria SOC 2?<\/h3>\n

Os Controles de Servi\u00e7os e Organiza\u00e7\u00f5es 2 (SOC 2 ou em ingl\u00eas Service and Organization Controls 2) s\u00e3o uma auditoria de procedimentos de controle em organiza\u00e7\u00f5es de TI que oferecem servi\u00e7os. Em resumo, \u00e9 um padr\u00e3o internacional para relat\u00f3rios sobre sistemas de gerenciamento de riscos de ciberseguran\u00e7a. Foi desenvolvido pelo Instituto Americano de Contadores P\u00fablicos Certificados (AICPA) e atualizado em mar\u00e7o de 2018.<\/p>\n

Nesta publica\u00e7\u00e3o, explicamos a auditoria SOC 2 Tipo 1 (na qual fomos aprovados com \u00eaxito), que certifica que os mecanismos de controle de seguran\u00e7a foram estabelecidos eficientemente em um \u00fanico sistema. Ou seja, recebemos auditores externos que examinaram nosso sistema de gerenciamento de risco, observando pr\u00e1ticas implementadas, se seguimos de perto os procedimentos estabelecidos e como registramos as mudan\u00e7as no processo.<\/p>\n

Por que temos que passar por auditorias?<\/h3>\n

Qualquer empresa que ofere\u00e7a um servi\u00e7o pode representar uma amea\u00e7a para seus clientes. At\u00e9 mesmo uma organiza\u00e7\u00e3o totalmente leg\u00edtima possui potencial para se tornar um elo na cadeia de suprimentos<\/a>, por meio do qual um ataque seria propagado. Vale ressaltar que neg\u00f3cios que atuam no campo da seguran\u00e7a da informa\u00e7\u00e3o t\u00eam ainda mais responsabilidade, pois os produtos precisam do mais alto n\u00edvel de acesso aos sistemas de informa\u00e7\u00e3o do usu\u00e1rio.<\/p>\n

Portanto, de tempos em tempos, clientes, especialmente de grandes empresas, fazem certas perguntas como: podemos confiar? Que tipo de pol\u00edticas internas o neg\u00f3cio tem como orienta\u00e7\u00e3o para presta\u00e7\u00e3o de certo tipo de servi\u00e7os? Algu\u00e9m poderia nos prejudicar com seus produtos ou servi\u00e7os correspondentes?<\/p>\n

Mas as respostas n\u00e3o importam, j\u00e1 que podem ser articuladas por n\u00f3s ou outros para parecer convincentes. Por isso, recorremos a auditores terceirizados para uma opini\u00e3o externa de especialistas. Para n\u00f3s, \u00e9 importante que nossos clientes e parceiros n\u00e3o tenham inseguran\u00e7a quanto aos nossos produtos e servi\u00e7os. Tamb\u00e9m achamos importante que nossos processos internos estejam em conformidade com os padr\u00f5es e melhores pr\u00e1ticas internacionais.<\/p>\n

O que os auditores examinam?<\/h3>\n

A maior preocupa\u00e7\u00e3o \u00e9 sempre o mecanismo usado para enviar informa\u00e7\u00f5es aos computadores dos clientes. Nossas solu\u00e7\u00f5es abrangem v\u00e1rios setores e ind\u00fastrias do mercado e a maioria delas usa um mecanismo antiv\u00edrus como uma tecnologia de defesa central para analisar objetos, buscando sinais de ciberamea\u00e7as. Entre suas muitas tecnologias, o mecanismo usa fun\u00e7\u00f5es hash<\/em> r\u00e1pidas, emula\u00e7\u00e3o em um ambiente isolado<\/a> e modelos matem\u00e1ticos de aprendizado de m\u00e1quina altamente resistentes \u00e0 muta\u00e7\u00e3o. Tudo isso requer atualiza\u00e7\u00f5es regulares dos bancos de dados de antiv\u00edrus para que sejam eficazes contra as fraudes atuais.<\/p>\n

Os auditores independentes estudaram nossos sistemas para gerenciar essas informa\u00e7\u00f5es e m\u00e9todos, a fim de monitorar a integridade e autenticidade das atualiza\u00e7\u00f5es dos bancos de dados de produtos antiv\u00edrus para servidores Linux e Windows. Eles tamb\u00e9m verificaram que nossos m\u00e9todos de controle funcionam corretamente e paralisaram o processo de desenvolvimento e o lan\u00e7amento de bancos de dados de antiv\u00edrus em busca de qualquer possibilidade de manipula\u00e7\u00e3o n\u00e3o autorizada.<\/p>\n

Como realizam as an\u00e1lises?<\/h3>\n

Os auditores observam como os processos do fornecedor cumprem cada um dos cinco princ\u00edpios fundamentais de seguran\u00e7a:<\/p>\n