Abordagem Kaspersky no processamento de dados
A abordagem da Kaspersky ao processar dados de usuários baseia-se no respeito e na proteção da privacidade das pessoas, bem como em nosso compromisso com a transparência e a responsabilização.
O principal objetivo do processamento de dados em nossa empresa é fornecer aos clientes as melhores soluções de cibersegurança. Para atingir este objetivo, geralmente, processamos dados visando três propósitos: a) apoiar a funcionalidade do produto principal, b) melhorar o desempenho e eficácia dos componentes de proteção e c) oferecer soluções aprimoradas, mais adequadas aos clientes, proporcionando-lhes conteúdo apropriado. Saiba mais sobre nossa Política de Privacidade de Serviços e Produtos.
Os dados enviados à Kaspersky por usuários não são atribuídos a nenhum indivíduo ou organização específicos e são anonimizados sempre que possível. Ações para alcançar isso incluem excluir dados de contas de URLs transmitidas, obter hash de ameaças, em vez de arquivos exatos, para ocultar endereços de IP de usuários etc.
Usuários dos produtos Kaspersky podem escolher se desejam fornecer dados e o quanto, com base na funcionalidade do produto ou serviço usado, e os respectivos acordos aceitos.
Kaspersky sempre fornece informações sobre processamento de dados, especialmente, a lista completa de dados sob processamento para garantir que os clientes podem tomar decisões bem informadas. Semestralmente em nosso Relatório de Transparência, publicamos informações sobre o volume de solicitações de dados recebidas de nossos usuários.
Todos os dados processados e/ou transferidos são fortemente protegidos através de criptografia, certificados digitais, armazenamento separado e políticas rigorosas de acesso aos dados. A empresa também aplica a Estrutura de Desenvolvimento de Software Protegido (SSDF) e implementa controles de gestão de riscos de cadeia de suprimentos para proteger sua infraestrutura e sistemas, nas ações de processamento de dados.
A Kaspersky revisa constantemente os tipos de dados processados por suas soluções com o intuito de cumprir os requisitos legais mais atualizados, como as normas GDPR da Europa.
Vocês processam dados pessoais?
De acordo com algumas estruturas legais (como GDPR), informações processadas pela Kaspersky podem conter dados que podem ser considerados como pessoais ou pessoalmente identificáveis. A Kaspersky nunca processa dados pessoais "confidenciais", como religião, opiniões políticas, orientação sexual, saúde e outras categorias de dados pessoais.
A Kaspersky sempre fornece informações sobre o processamento de dados – em particular, a lista completa de dados que serão processados para garantir que os clientes sejam mantidos informados e possam tomar decisões informadas. Detalhes dos dados processados estão disponíveis no Acordo de Licença do Usuário (EULA), na declaração do Kaspersky Security Network (KSN) e outros acordos, que diferem de acordo com o produto. Os dados enviados à Kaspersky pelos usuários são usados na forma de estatística agregada e não são atribuídos a um indivíduo específico, sendo anonimizados, sempre que possível.
Quais dados são processados?
A Kaspersky pode processar ciiberameaças relacionadas a dados e estatísticas. Os dados relacionados a ciberameaças inclui arquivos maliciosos e suspeitos, bem como as chamadas estatísticas. As estatísticas referem-se a meta informações: dados técnicos complementares sobre eventos ocorridos na máquina de um cliente, que nossos produtos podem enviar, dependendo de vários fatores: ex. atividades de usuários, configurações de produtos Kaspersky, configuração do sistema operacional no qual o produto Kaspersky está instalado, e outros software instalados no sistema. Detalhes dos dados processados estão disponíveis no Acordo de Licença do Usuário (EULA), na declaração do Kaspersky Security Network (KSN) e outras documentações, que diferem de acordo com o produto.
Como vocês protegem os dados de usuários?
Temos o compromisso de proteger os dados de nossos clientes em todas as situações. Para isso, usamos as tecnologias mais avançadas do mercado. As medidas e processos de segurança adotados pela Kaspersky incluem:
- Ciclo de vida de desenvolvimento de segurança - com o objetivo de proteger o desenvolvimento de soluções e aplicação de patches de quaisquer vulnerabilidades potenciais, o mais breve possível;
- Criptografia forte para proteger fluxos de dados transmitidos entre dispositivos de usuários e a nuvem;
- Criptografia das informações de usuários em serviços, como o Kaspersky Password Manager e o Kaspersky Safe Kids. Usuários dispõem de uma chave principal, ou seja, somente o usuário específico tem acesso às suas informações;
- Certificados digitais para garantir uma autenticação legítima e segura de servidores e atualizações de produtos;
- Armazenamento segregado, ou seja, dados diferentes são armazenados em servidores diferentes, com direitos e políticas de acesso de dados restritos.
- Os dados são anonimizados sempre que possível, usando vários métodos, como exclusão de dados da conta de URLs transmitidas, obtenção de hash de ameaças, em vez dos arquivos exatos, ocultamento de endereços de IP de usuários etc.
Como vocês anonimizam os dados processados?
A Kaspersky leva a privacidade do usuário muito a sério. A empresa implementa as seguintes medidas para anonimizar dados obtidos:
- As informações são analisadas na forma de dados agregados ou estatísticas anonimizadas, e não são atribuídas a pessoas específicas;
- Logins e senhas são filtrados das URLs transmitidas, mesmo se mencionados na solicitação inicial do navegador do usuário;
- Ao processarmos dados de possíveis ameaças, obtemos uma soma hash, que é uma função matemática de via única e fornece um arquivo identificador exclusivo;
- Quando possível, ocultamos os endereços IP e informações de dispositivo de dados recebidos;
- Os dados são armazenados em servidores separados com políticas restritas com relação aos direitos de acesso, e todas as informações transferidas entre o usuário e a nuvem estão protegidas por criptografia.
Onde a Kaspersky armazena os dados?
A Kaspersky é uma empresa global e nossa infraestrutura de processamento de dados é distribuída em diferentes regiões do mundo (Suíça, Alemanha, Rússia, Canadá etc.), permitindo um processamento de informações mais rápido e garantindo disponibilidade do servidor em caso de falha por qualquer motivo. A lista detalhada de países onde os dados pessoais fornecidos podem ser processados está disponível em: https://www.kaspersky.com/products-and-services-privacy-policy.
Como parte de nossa Iniciativa de Transparência Global (GTI), a Kaspersky relocou parte de sua infraestrutura de processamento de dados: arquivos suspeitos e maliciosos são compartilhados voluntariamente por usuários dos produtos Kaspersky na Europa, América Latina, Oriente Médio e vários países da região Ásia-Pacífico, sendo processados em dois datacenters em Zurique, na Suíça. Estes centros fornecem instalações de classe mundial em conformidade com normas de segurança líderes de mercado. Além disso, a Suíça está entre os poucos países que tem uma decisão de adequação com a UE, ou seja, foi reconhecido pela Comissão Europeia por fornecer proteção adequada de dados pessoais.
O que é a Kaspersky Security Network?
O Kaspersky Security Network (KSN) é um dos sistemas de nuvem principais da Kaspersky que foram criados para maximizar a eficácia da descoberta de ciberameaças novas e conhecidas, assegurando assim a proteção mais eficaz para usuários. O KSN processa automaticamente dados relacionados a ciberameaças de milhões de dispositivos de propriedade de usuários da Kaspersky, que optaram por usar o sistema. Esta abordagem de sistema baseado na nuvem é hoje o padrão no setor, aplicada por diversos fornecedores de cibersegurança global.
O que é um sistema baseado na 'nuvem'?
Trata-se de um sistema executado em servidores da empresa, em vez de nos dispositivos de indivíduos e que pode ser usado via Internet de qualquer lugar do mundo. Exemplos de sistemas na nuvem incluem e-mail, compartilhamento e hospedagem de arquivos. Os serviços do Kaspersky Security Network estão localizados em diferentes países mundo afora (Canadá, Alemanha, Suíça, Rússia etc.), permitindo o processamento rápido de informações e garantindo a disponibilidade de servidores, em caso de falha.
Qual é o objetivo da proteção baseada em nuvem?
A maioria dos fornecedores de cibersegurança usam a nuvem para aprimorar níveis de proteção, e um modelo de proteção híbrido (bancos de dados de antivírus + defesa proativa + nuvem) é a solução mais eficaz.
O alto desempenho da nuvem de segurança nos permite analisar ciberameaças mais rapidamente e mais precisamente. Enquanto o ciclo tradicional de atualização de bancos de dados de antivírus e anti-phishing tradicionais normalmente demora várias horas, a nuvem pode fornecer aos usuários proteção contra uma nova ameaça em minutos.
O uso da nuvem também pode tornar um produto de segurança "mais leve", evitando alto consumo de memória e recursos do dispositivo do usuário.
O processamento de dados pode ser limitado?
Nossos clientes podem escolher que volume de dados deseja fornecer, com base na funcionalidade do produto ou serviço que desejam usar e os respectivos acordos aceitos. Kaspersky sempre fornece informações sobre processamento de dados, especialmente, a lista completa de dados sob processamento para garantir que os clientes podem tomar decisões bem informadas. Além disso, regularmente, a Kaspersky divulga publicamente informações sobre como as solicitações de dados são recebidas de nossos usuários e processadas no Relatório de transparência. O relatório mais recente está disponível aqui.
Nossos clientes podem configurar suas soluções para que dados não sejam compartilhados, bem como exercitar o direito de acesso aos seus dados pessoais processados ao entrar em contato conosco diretamente em https://support.kaspersky.com/general/privacy.
Vocês compartilham dados pessoais, processados pelas soluções Kaspersky com terceiros?
Nunca fornecemos dados a terceiros ou a qualquer organização governamental com acesso à infraestrutura da empresa, incluindo infraestrutura de dados de usuários.
A Kaspersky pode compartilhar dados com seus fornecedores por meio de acordos de processamento firmados mutuamente. Tais fornecedores prestam serviços e incluem Amazon Cloud, Microsoft Azure etc.
Seus métodos de processamento de dados são certificados?
Para confirmar que a empresa aplica a segurança mais elevada para nossos usuários, os serviços de dados da Kaspersky são aprovados periodicamente em auditorias e avaliações. Em particular, os serviços de dados da empresa foram certificados pela ISO 27001, bem como recertificado em 2022, com escopo estendido, para que os serviços de dados para processamento de dados relacionados a ciberameaças e de estatísticas sejam cobertos pela certificação. A certificação é válida para os serviços de dados da empresa localizados em data centers em Zurique, Frankfurt, Toronto, Moscou e Beijing. A conformidade com a ISO/IEC 27001:2013, reconhecida internacionalmente como a melhor prática do setor e norma de segurança aplicável, está no centro da abordagem Kaspersky para implementar e gerenciar segurança da informação. A certificação, concedida pelo órgão independente, demonstra o nosso compromisso a um nível alto de Segurança da Informação, e que o Serviço de Dados Kaspersky está em conformidade com as melhores práticas líderes do setor. O relatório final de recertificação é fornecido por nossos clientes e parceiros mediante solicitação.