Em 2017, lançamos nossa Iniciativa de Transparência Global (Global Transparency Initiative). Nesse projeto, transferimos parte de nossa infraestrutura de dados para a Suíça e abrimos Centros de Transparência onde nossos parceiros e clientes podem revisar o código-fonte de nossos produtos. Também tivemos nossos serviços de dados e práticas de engenharia avaliados por organizações credenciadas independentes de terceiros. Além disso, agora divulgamos regularmente informações sobre solicitações de agências governamentais de dados e conhecimentos técnicos que a Kaspersky recebe no contexto de investigações de crimes cibernéticos. Hoje, vamos falar sobre novos passos desta iniciativa.
O que foi feito como parte da Iniciativa de Transparência Global
Nos cinco anos desde que lançamos o programa, abrimos quatro Centros de Transparência onde nossos clientes e parceiros podem revisar o código-fonte de nossos produtos, atualizações de software para garantir que não haja recursos ocultos ou recursos não documentados em nossas soluções. Além disso, também fornecemos nossas práticas de engenharia e gerenciamento de dados para exames externos. Os Centros de Transparência Kaspersky operam na Europa, América Latina e Ásia. Para aqueles que não podem visitar nossos Centros pessoalmente, oferecemos visitas remotas.
Como uma empresa de tecnologia e segurança cibernética, processamos dados que nossos produtos usam para aumentar a eficácia da proteção cibernética fornecida aos usuários. Esses dados incluem informações sobre ameaças cibernéticas — por exemplo, arquivos suspeitos e maliciosos que nossos produtos enviam, se os usuários concordarem, para análise automatizada de malware baseada em nuvem. Os dados nos ajudam a identificar ameaças novas e desconhecidas, melhorar continuamente nossas soluções e oferecer aos usuários melhores maneiras de se protegerem.
Desde novembro de 2018, esses dados relacionados a ameaças cibernéticas de nossos usuários na Europa são armazenados e processados em nossos data centers na Suíça. Pouco tempo depois, também mudamos para a Suíça o processamento e armazenamento desses dados para usuários na América do Norte, América Latina, Oriente Médio e vários países da região da Ásia e Pacífico.
Também recebemos a certificação de conformidade ISO 27001 do organismo de certificação independente TÜV AUSTRIA. Isso confirmou que nossa empresa possui um sistema de gerenciamento de segurança da informação eficaz. Nossos usuários podem ter certeza de que os dados processados pela Kaspersky estão sob o mais alto nível de proteção.
Além disso, lançamos o treinamento do Programa de Capacitação Cibernética para empresas, organizações governamentais e universidades para ajudá-los a desenvolver as habilidades necessárias para proteger seus sistemas de TI. Mais recentemente, ampliamos as oportunidades e lançamos uma versão digital do treinamento, que agora pode ser acessado tanto por organizações quanto por usuários individuais.
Novos passos para a transparência
A Kaspersky trabalhou muito em busca de uma maior transparência e não pretende parar por aí. Recentemente, demos novos passos como parte da Iniciativa de Transparência Global (GTI).
Três novos Centros de Transparência
Comprometida em fornecer a seus clientes e parceiros garantia de segurança em seus produtos e práticas, em 16 de junho de 2022, a Kaspersky abriu três Centros de Transparência adicionais — no Japão, Singapura e Estados Unidos. As novas instalações expandem as oportunidades para clientes e parceiros aprenderem mais sobre as práticas de engenharia e processamento de dados da Kaspersky e para revisarem o código-fonte da empresa e outras áreas de negócios.
Os Centros de Transparência recém-inaugurados receberão os parceiros e clientes da Kaspersky, incluindo agências estaduais e reguladores, responsáveis pela segurança cibernética. Mais duas instalações na APAC — em Tóquio e Singapura — garantem maior proximidade da empresa com os stakeholders dessa região, enquanto o centro em Woburn, nos Estados Unidos, servirá como novo local para o Centro de Transparência norte-americano da empresa, que antes era localizado em New Brunswick, Canadá.
Expansão do data center em Zurique
Aumentamos significativamente a capacidade de nossos data centers em Zurique, onde processamos arquivos maliciosos e suspeitos de usuários na América Latina e no Oriente Médio. Também realocamos o processamento e armazenamento desses dados relacionados a ameaças cibernéticas para países da América do Norte que não estavam incluídos anteriormente: México, Panamá, Jamaica e outras nações insulares.
A Suíça foi escolhida por um motivo: o país possui uma das mais rigorosas regulamentações de proteção de dados. Nossos dois data centers em Zurique também operam com equipamentos de classe mundial que atendem aos mais altos padrões do setor.
Recertificação ISO 27001
Os sistemas de dados Kaspersky foram recertificados pela TÜV AUSTRIA de acordo com os requisitos da ISO 27001. E não se trata apenas de renovação de certificação; desta vez, o escopo da auditoria foi significativamente ampliado. A certificação agora abrange sistemas de dados para processamento de dados relacionados a ameaças cibernéticas (Kaspersky Distributed File System, KLDFS) e estatísticas (banco de dados KSNBuffer).
A TÜV AUSTRIA é um organismo de certificação independente. Estamos orgulhosos de que a abordagem da Kaspersky à segurança de dados tenha sido reconhecida mais uma vez.
Trabalhando com solicitações de agências governamentais e policiais
Tudo bem, você diz que os dados do usuário são seguros, mas e as solicitações de informações das agências de aplicação da lei? Na verdade, a Kaspersky compartilha regularmente sobre sua abordagem ao trabalhar com essas solicitações e, desde o ano passado, a empresa emite relatórios sobre solicitações de agências policiais e governamentais. Além disso, publicamos recentemente um relatório para o segundo semestre de 2021. Aqui estão alguns números-chave:
- Nossos especialistas receberam 109 solicitações de agências governamentais e policiais de 12 países.
- 92 solicitações referiam-se a perícia técnica e 17 continham solicitação de acesso a dados de usuários.
- Todos os 17 pedidos de entrega de dados de usuários foram rejeitados. Alguns deles não atendiam aos requisitos legais, enquanto outros solicitavam dados que a empresa simplesmente não possuía.
Os usuários também nos perguntam onde e como seus dados pessoais são armazenados. Algumas pessoas pedem para fazer o download ou excluí-los. Em 2021, atendemos 2.252 solicitações desse tipo.
Novo nível de programa de educação
A Kaspersky está sempre pronta para compartilhar sua experiência com a comunidade global. Expandimos nosso Programa de Capacitação Cibernética lançando um curso online semelhante. Agora ainda mais parceiros e clientes podem participar do programa. O treinamento ajudará organizações e indivíduos a avaliar a segurança do software que usam e reduzir o risco e as possíveis consequências de ataques cibernéticos.
Qual é o próximo passo
A confiança dos usuários, clientes e parceiros é nossa principal prioridade. Continuamos a refinar nossas práticas de segurança e a desenvolver a Iniciativa de Transparência Global, e esperamos que um dia ela se torne o padrão internacional para o setor de segurança cibernética.
Quanto à qualidade de proteção que nossas soluções de segurança oferecem, também temos boas notícias. Recentemente, resumimos os resultados de dezenas de testes e análises dos principais laboratórios independentes que incluíram nossos produtos em 2021. Você pode conferir os resultados aqui.