Para reiterar o seu compromisso com os mais altos padrões de segurança de dados de clientes e desenvolvimento de software seguro, a Kaspersky passou com sucesso a auditoria Tipo II de Controlo de Organização de Serviço (SOC 2) para organizações de serviço. A avaliação avaliou a segurança dos processos de desenvolvimento e lançamento da base de dados antivírus de Kaspersky, assim como a sua protecção contra alterações não autorizadas.
A Kaspersky tem vindo a fornecer garantias da integridade das suas soluções através de avaliações regulares de terceiros, incluindo auditorias SOC 2, às quais a empresa tem sido submetida desde 2019. A estrutura de controlos da organização de serviços (SOC) é uma norma internacional para sistemas de gestão de riscos de cibersegurança, que foi estabelecida pelo Instituto Americano de Contabilistas Públicos Certificados (AICPA). Avalia os processos de controlo de segurança com base em cinco princípios fundamentais: segurança, disponibilidade, integridade do processo, confidencialidade e privacidade.
Pela primeira vez, a auditoria SOC 2 concluída pela empresa abrangeu um período de um ano – de agosto de 2023 a julho de 2024 – enquanto as avaliações anteriores analisavam períodos de 3 a 6 meses. Conduzida por um auditor de serviços independente, a avaliação verificou o processo de desenvolvimento e implementação de bases de dados antivírus da Kaspersky para sistemas operativos Windows e Unix com base nos critérios de segurança e disponibilidade.
A auditoria envolveu entrevistas com as equipas responsáveis pela direcção, supervisão e recursos humanos. Também envolveu a observação das actividades e operações de Kaspersky e a inspecção de documentos e políticas de Kaspersky. Como resultado da verificação, os auditores concluíram que os controlos da Kaspersky que asseguram as actualizações automáticas das bases de dados antivírus cumprem os critérios aplicáveis aos serviços de confiança, enquanto o processo de desenvolvimento e implementação de bases de dados antivírus está protegido contra a manipulação. O relatório de auditoria abrangente está disponível mediante pedido.
«A Kaspersky tem como objectivo oferecer aos seus clientes e parceiros garantias firmes da fiabilidade e integridade dos produtos e serviços da companhia. Além de implementar controlos de segurança rigorosos, é crucial obter uma opinião de um perito externo que confirme que as medidas em vigor são suficientes e cumprem as normas da indústria. A última auditoria SOC 2 confirmou mais uma vez que os nossos métodos de controlo estão a funcionar correctamente e que o processo de desenvolvimento e lançamento de bases de dados antivírus está protegido contra alterações não autorizadas», observou Alexander Liskin, Chefe de Pesquisa de Ameaças em Kaspersky.
As auditorias regulares de processos internos constituem uma componente chave da Iniciativa de Transparência Global (GTI) da Kaspersky, cujo objectivo é fomentar a confiança com as partes interessadas da empresa enquanto demonstra o compromisso da Kaspersky com a transparência e a responsabilidade.
Além da auditoria SOC 2, a Kaspersky certificou o seu sistema de gestão de segurança de informação de acordo com a norma internacional ISO/IEC 27001:2013 e obteve certificações Common Criteria para os principais produtos empresariais da companhia, Kaspersky Endpoint Security e Kaspersky Security Center, uma consola de controlo para todos os produtos empresariais.
