卡巴斯基成功完成了服务组织服务组织控制 (SOC 2)类型 1 审核。由四大会计事务所之一所发布的最终报告证实,卡巴斯基威胁检测规则数据库(反病毒数据库)的开发和发布受到强大的安全控制,不会遭到未经授权的更改。此外,公司还宣布了其全球透明计划的最新进展情况。
服务组织控制(SOC)报告框架是全球公认的网络安全风险管理控制报告,由美国注册会计师协会(AICPA)制定,旨在告知客户有效的设计和安全控制实施。作为一家对客户负责和透明的公司,卡巴斯基选择这一标准来证明其产品的可靠性以及公司对AICPA信任服务原则和标准的承诺:安全性、可用性、处理完整性、保密性和隐私性。
根据 SSAE 18 标准(认证标准声明)完成的检查包括对反病毒数据库的定期自动更新的内部控制,这些反病毒数据库由卡巴斯基创建和分发,用于运行Widows和Unix Server的产品。在其最终报告中,四大独立会计事务所的审计师确定了上述控制措施的适用性及其在指定日期的适当运作。
卡巴斯基首席技术官Andrey Efremov说:“我们产品的安全性无疑是我们的首要任务之一。我们很自豪能够完成这项独立评估,为我们的客户提供产品安全的保证,并对我们的研发流程和控制充满信心。这次审计标志着我们在展示公司透明度方面又迈出了一步”。
根据合同条款,卡巴斯基不能透露第三方四大会计事务所之一的名称。但是公司可以根据要求披露SOC 2类型1报告中有关其上述承诺和要求的主要信息。
这次审计是全球透明计划的一部分,卡巴斯基在2017年宣布启动该技术, 旨在进一步确保其产品和服务不仅是合作伙伴和客户抵御网络威胁的最佳选择,而且在处理客户数据方面非常谨慎。除此之外,公司还将客户数据的存储和处理迁移到瑞士。截止到现在,公司已完成了针对欧洲用户的第二阶段搬迁,并计划在2019年底前完成这一变更。
除了数据迁移外,卡巴斯基还计划到2020年,建立至少三个透明中心。公司还继续支持其漏洞上报奖励计划,并正在开展其他几个项目,旨在提高公司的透明度和可信度。
全球透明计划的进一步发展
漏洞上报奖励计划:卡巴斯基一直致力于开发漏洞上报奖励计划。最近,公司向Imaginary团队的研究人员支付了23,000美元的奖金,这是迄今为止该计划金额最大的奖金,因为这些研究人员发现了卡巴斯基产品中的一个安全问题,允许第三方在用户计算机上以系统权限远程执行任意代码。该漏洞很快被修复。卡巴斯基感谢Imaginary团队提供的报告以及他们在改进公司产品方面提供的帮助。
漏洞研究人员的安全港:公司现在支持Disclose.io框架,该框架为担心其发现的负面法律后果的漏洞研究人员提供安全港。卡巴斯基了解外部专家通过查找和报告其产品中的漏洞来提供有价值的帮助,并准备为公平处理漏洞报告提供额外保证。
透明中心:最近宣布的马德里透明中心将于6月开始向卡巴斯基的客户和合作伙伴以及政府利益相关者正式开放。与位于苏黎世的透明中心一样,公司将在新的透明中心提供源代码审查和针对公司数据处理实践及其产品功能的定制安全简报。
为执法机关提供威胁情报支持:卡巴斯基是首个宣布为执法机关(LEA)提供高级免费服务的网络安全供应商。为最大限度地打击无边界的网络犯罪,我们制定了一种独特和量身定制的方法,它由三个组成部分组成:
· 威胁情报报告
· 威胁数据馈送
· 自动化安全意识平台(卡巴斯基ASAP)
通过为执法机关提供免费服务,公司想要提高人们对卡巴斯基服务如何运作以及如何帮助打击网络犯罪和复杂网络威胁的认识。更多有关这些服务的详情,请访问这里。
卡巴斯基将继续开发其全球透明计划,并定期进行最新情况通报。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球270,000家企业客户保护最重要的东西。