Il Service Organization Controls (SOC) Reporting Framework è un report riconosciuto a livello mondiale per i controlli di gestione del rischio della cybersecurity, sviluppato dall’American Institute of Certified Public Accountants (AICPA) per informare i clienti sull’efficacia della progettazione e implementazione dei controlli di sicurezza. Kaspersky, azienda responsabile e trasparente nei confronti dei propri clienti, ha scelto questo standard per dimostrare l’affidabilità dei propri prodotti e l’impegno verso i Trust Service Principles and Criteria di AICPA: sicurezza, disponibilità, integrità di elaborazione, riservatezza e privacy.
La valutazione, portata a termine seguendo gli standard SSAE 18 (Statement of Standards for Attestation Engagements) comprende i controlli interni sui regolari aggiornamenti automatici dei database antivirus che vengono programmati e distribuiti da Kaspersky per i propri prodotti in esecuzione su Windows e Unix Servers. Nel suo report finale, il revisore indipendente tra i Big Four ha verificato l’idoneità dei suddetti controlli e il loro adeguato funzionamento in una data specifica.
“La sicurezza dei nostri prodotti è senza alcun dubbio una delle nostre priorità. Siamo orgogliosi di aver completato questa valutazione indipendente che fornisce ai nostri clienti la garanzia della sicurezza dei nostri prodotti e la fiducia nei nostri processi di ricerca e sviluppo e nei nostri controlli. Questo audit è per noi un ulteriore passo avanti nel dimostrare la massima trasparenza della nostra azienda”, ha commentato Andrey Efremov, Chief Technology Officer di Kaspersky.
Secondo i termini del contratto, Kaspersky non può rivelare il nome del revisore tra i Big Four. Kaspersky può, su richiesta, divulgare le principali informazioni su impegno e requisiti nel report SOC 2 Type 1.
L’audit è stato effettuato nell’ambito della Global Transparency Initiative, annunciata da Kaspersky nel 2017, con l’obiettivo di rassicurare i propri partner e clienti non solo sul fatto che i prodotti e i servizi dell’azienda sono i migliori in fatto di protezione dalle minacce informatiche, ma anche che l’azienda è in grado di trattare i dati dei clienti con il massimo rispetto e cura. L’azienda si impegna, tra l’altro, a trasferire in Svizzera lo storage e l’elaborazione dei dati dei clienti. Ad oggi, l’azienda ha completato la seconda parte di trasferimento dei dati per gli utenti europei e ha come obiettivo quello di portare a termine questo cambiamento entro la fine del 2019.
Kaspersky punta ad avere almeno tre Transparency Center entro la fine del 2020, unitamente al progetto del trasferimento dei dati. L’azienda continua a supportare il suo Bug Bounty Program e sta lavorando ad altri numerosi progetti che hanno l’obiettivo di accrescere la trasparenza e la credibilità dell’azienda.
Ulteriori sviluppi della Global Transparency Initiative
Bug Bounty Program: Kaspersky lavora in modo costante allo sviluppo del Bug Bounty Program. Recentemente, l’azienda ha pagato un premio di 23.000$, la più grande ricompensa nella storia del programma fino ad oggi, ai ricercatori del team Imaginary per la scoperta di un problema di sicurezza di Kaspersky che avrebbe potuto permettere a terze parti di eseguire da remoto un codice arbitrario sul PC di un utente con accesso privilegiato al sistema. Il bug è stato prontamente corretto. Kaspersky ha ringraziato il team Imaginary per il report e per l’assistenza nel miglioramento dei prodotti dell’azienda.
Safe Harbor per i ricercatori: L’azienda sostiene il progetto Disclose.io che offre un “Safe Harbor” per i ricercatori preoccupati delle conseguenze negative da un punto di vista legale nelle quali potrebbero incorrere a causa delle loro scoperte. Kaspersky è consapevole del fatto che gli esperti esterni offrono una preziosa assistenza individuando e segnalando le vulnerabilità riscontrate nei propri prodotti ed è pronta ad offrire garanzie addizionali per un trattamento equo rispetto alle segnalazioni sulle vulnerabilità.
Transparency Centers: Il Transparency Center a Madrid, è ufficialmente aperto dal mese di giugno ai clienti e ai partner di Kaspersky oltre che agli stakeholder governativi. Come già avviene per il centro di Zurigo, l’azienda offre la possibilità di esaminare il codice sorgente e mette a disposizione dei visitatori dei briefing sulla sicurezza personalizzati e focalizzati sulle pratiche dell’azienda rispetto all’elaborazione dei dati e sul funzionamento dei suoi prodotti.
Threat intelligence a supporto delle forze dell’ordine: Kaspersky, primo tra i fornitori di sicurezza informatica, ha annunciato un servizio avanzato gratuito per le forze dell’ordine (LEA). Un approccio unico e personalizzato che ha l’obiettivo di massimizzare l’impegno nella lotta alla criminalità informatica senza frontiere, ed è costituito da tre componenti:
- Threat intelligence Reporting
- Threat Data Feeds
- Automated Security Awareness Platform (Kaspersky ASAP).
Fornendo supporto gratuito alle forze dell’ordine, Kaspersky mira ad accrescere la conoscenza sul funzionamento dei servizi dell’azienda ed in particolare su come questi sono in grado di aiutare a combattere il crimine informatico e le sofisticate minacce. Maggiori informazioni sul servizio sono disponibili a questo link.
Kaspersky è costantemente impegnata nello sviluppo della Global Transparency Initiative e fornirà costanti aggiornamenti sul tema.
