Kaspersky, Bağımsız SOC 2 Denetiminden Başarıyla Geçti

19/07/2019 tarihinde yayınlandı

Kaspersky, Bağımsız SOC 2 Denetiminden Başarıyla Geçti

Kaspersky, “Hizmet Organizasyonları için Hizmet Organizasyonu Denetimi (SOC 2) Tür 1” değerlendirmesini başarıyla tamamladı. En büyük dört muhasebe şirketinden biri tarafından hazırlanan son raporda, Kaspersky’nin tehdit tespit kuralı veri tabanlarının (AV veri tabanları) geliştirme ve dağıtım süreçlerinin güçlü güvenlik kontrolleri sayesinde yetkisiz erişimden korunduğu belirlendi. Şirket buna ek olarak Global Şeffaflık Girişimi’ndeki yeni gelişmeleri de duyurdu.

Amerikan Mali Müşavirler Enstitüsü (AICPA - American Institute of Certified Public Accountants) tarafından müşterilere etkili tasarım ve güvenlik denetimlerinin uygulanması konusunda bilgi vermek için hazırlanan Hizmet Organizasyonu Denetimleri (SOC) Raporlama Çerçevesi, tüm dünyada siber güvenlik risk yöntemi denetimleri için kabul görüyor. Müşterilerine karşı sorumlu ve şeffaf bir şirket olan Kaspersky, ürünlerinin güvenilirliğini ve şirketin AICPA Hizmet Güveni Prensipleri ve Kriterleri: Güvenlik, Kullanılabilirlik, İşlem Bütünlüğü, Müşteri Bilgilerinin ve Özel Hayatın Gizliliği’ne gösterdiği bağlılığı ispatlamak için bu standardı tercih etti.

SSAE 18 standardına (Statement of Standards for Attestation Engagements - Tasdik Sözleşmeleri İçin Standartlar Beyanı) uygun şekilde tamamlanan incelemede, Kaspersky’nin Windows ve Unix sunucularında çalışan ürünleri için hazırlayıp dağıttığı antivirüs veri tabanlarının düzenli otomatik güncellemeleri üzerinde dahili denetimler yapıldı. Hazırlanan son raporda, En Büyük Dört muhasebe şirketinin birinden gelen bağımsız denetçi, belirlenen tarihte yukarıda bahsedilen denetimlerin uygunluğunu ve düzgün yapıldığını doğruladı.

Kaspersky CTO’su Andrey Efremov, “Ürünlerimizin güvenliği kesinlikle birinci önceliğimiz. Müşterilerimize ürünlerimizin güvenli olduğunu garanti eden, Ar-Ge çalışmalarımız ve denetimlerimize güven sağlayan bu bağımsız değerlendirmeyi tamamladığımız için gurur duyuyoruz. Bu denetim, şirketimizin şeffaflığını gösterme çabamızı bir adım daha ileriye taşıdı.” dedi.

Sözleşme hükümleri uyarınca Kaspersky, En Büyük Dört muhasebe şirketinin birinden gelen denetçinin adını açıklayamıyor. Öte yandan, SOC 2 Tür 1 raporu için yukarıda belirtilen gereksinimler hakkında istenildiği takdirde bilgi paylaşılabiliyor.

Denetim, Kaspersky’nin 2017’de duyurduğu Global Şeffaflık Girişimi’nin bir parçası olarak yapıldı. Şirket bu girişim sayesinde ürün ve hizmetlerinin yalnızca siber tehditlere karşı en iyi korumayı değil müşteri verilerine de büyük özen gösterdiğini iş ortaklarına ve müşterilerine ispatlıyor. Şirket bu yönde yaptığı çalışmaların yanı sıra müşteri verilerinin depolanıp işlendiği merkezi İsviçre’ye taşıdı. Bugün itibariyle Avrupalı kullanıcıların verilerinin taşınmasında ikinci aşama da tamamlandı. Tüm işlemin 2019 sonunda bitmesi planlanıyor.

Verilerin yeni yerine aktarılmasıyla birlikte Kaspersky 2020 yılına kadar en az üç şeffaflık merkezine sahip olmayı hedefliyor. Hata Tespiti Ödül programına desteğini sürdüren şirket, şeffaflık ve güvenilirliği artırmaya yönelik çok sayıda proje yürütüyor.

Global Şeffaflık Girişimi bünyesindeki diğer gelişmeler şöyle:

Hata Tespiti Ödül Programı: Kaspersky, Hata Tespiti Ödül Programı’nı sürekli geliştiriyor. Şirket geçtiğimiz günlerde 23.000 ABD doları ödül verdi. Programın bugüne kadar verdiği en büyük ödül olan bu miktarı, Kaspersky ürünündeki bir güvenlik sorununu keşfeden Imaginary adlı ekip kazandı. Söz konusu sorun, kötü niyetli kişilerin kullanıcıların PC’lerinde sistem yetkileri alıp istedikleri kodu çalıştırabilmesine olanak sağlıyordu. Bu hata hızla giderildi. Kaspersky, sorunu tespit eden ve şirketin ürünlerinin gelişimine katkıda bulunan Imaginary ekibine teşekkür etti.

Açık araştırmacıları için güvenli liman: Şirket, yaptıkları keşifler nedeniyle olumsuz yasal sonuçlarla karşılaşmaktan çekinen açık araştırmacıları için güvenli liman sunan Disclose.io oluşumuna destek vermeye başladı. Kaspersky, bağımsız uzmanların ürünlerdeki açıkları bulma ve bildirme konusunda çok değerli olduğunu bildiğinden açık raporlarına adil bir yaklaşım için ek garantiler sunmaya hazır.

Şeffaflık Merkezleri: Yeni duyurulan Madrid Şeffaflık Merkezi şimdi Kaspersky müşterileri ve iş ortaklarına açıldı. Devlet paydaşları Temmuz ayından itibaren merkeze erişebilecek. Zürih’teki tesiste olduğu gibi şirket kaynak kodlarının incelenmesine izin verecek, veri işleme çalışmaları ve ürün işlevleri üzerine özel güvenlik bilgilendirmeleri yapacak.

Emniyet teşkilatları için tehdit istihbaratı desteği: Kaspersky, siber güvenlik markaları arasında bir ilke imza atarak emniyet teşkilatlarına gelişmiş ücretsiz hizmet sunacağını duyurdu. Sınır tanımayan siber suçlarla mücadeleye destek olmak için geliştirilen eşsiz bir yaklaşım içeren bu hizmet üç bileşenden oluşuyor: