L'approccio di Kaspersky all'elaborazione dei dati
L'approccio di Kaspersky all'elaborazione dei dati degli utenti si basa sul rispetto e sulla protezione della privacy delle persone, nonché sull'impegno verso la trasparenza e la responsabilità.
L'obiettivo principale dell'elaborazione dei dati nella nostra azienda è fornire ai nostri clienti le migliori soluzioni di sicurezza informatica. Per raggiungere questo obiettivo, generalmente elaboriamo i dati nell'ottica di tre obiettivi principali: (a) supportare le funzionalità chiave del prodotto, (b) aumentare le prestazioni e l'efficacia dei componenti di protezione e (c) offrire soluzioni migliorate e più adeguate ai clienti, fornendo loro contenuti adeguati. Maggiori dettagli sono disponibili nella nostra Informativa sulla privacy per prodotti e servizi.
I dati inviati a Kaspersky dagli utenti non sono attribuiti a un individuo o un'organizzazione specifici e sono resi anonimi ove possibile. Tra le azioni finalizzate a questo obiettivo sono inclusi l'eliminazione dei dettagli dell'account dalle URL trasmesse, l'ottenimento di hash sum delle minacce anziché i file esatti, l'oscuramento degli indirizzi IP degli utenti e così via.
Gli utenti dei prodotti Kaspersky possono scegliere se desiderano fornire dati e in che quantità, in base alle funzionalità del prodotto o servizio che desiderano utilizzare e ai rispettivi accordi accettati.
Kaspersky fornisce sempre informazioni sull'elaborazione dei dati, in particolare l'elenco completo dei dati che verranno elaborati per garantire che i clienti possano prendere decisioni informate. Ogni sei mesi nel nostro report sulla trasparenza condividiamo pubblicamente informazioni su quante richieste relative ai dati abbiamo ricevuto dai nostri utenti ed elaborato.
Tutti i dati elaborati e/o trasferiti sono protetti in maniera affidabile mediante crittografia, certificati digitali, archivi separati, rigorosi criteri di accesso ai dati e altri metodi. L'azienda applica anche il Secure Software Development Framework (SSDF) e implementa controlli di gestione dei rischi per la supply chain al fine di proteggere la propria infrastruttura e i propri sistemi per l'elaborazione dei dati.
Kaspersky rivede costantemente i tipi di dati elaborati dalle sue soluzioni per proteggere la privacy dei clienti e conformarsi ai più recenti requisiti legali, come il GDPR in Europa.
Elaborate i dati personali?
Conformemente a determinati framework giuridici (come il GDPR), le informazioni elaborate da Kaspersky possono contenere dati potenzialmente considerati personali. Kaspersky non tratta mai dati personali "sensibili" relativi ad esempio a religione, opinioni politiche, preferenze sessuali, salute o altre categorie speciali di dati personali.
Kaspersky fornisce sempre informazioni sull'elaborazione dei dati, in particolare l'elenco completo dei dati che verranno elaborati per garantire che i clienti siano al corrente e possano prendere decisioni informate. È possibile reperire i dettagli sui dati elaborati nel Contratto di licenza con l'utente finale (EULA), nell'Informativa di Kaspersky Security Network (KSN) e in altri accordi, che variano in base al prodotto. I dati inviati a Kaspersky dagli utenti vengono utilizzati sotto forma di statistiche aggregate e non sono attribuiti a un individuo specifico, essendo resi anonimi ove possibile.
Quali dati vengono elaborati?
Kaspersky può elaborare statistiche e dati relativi alle cyberminacce. I dati relativi alle minacce informatiche includono file sospetti e dannosi, nonché le cosiddette statistiche. Le statistiche rappresentano le metainformazioni, informazioni tecniche supplementari sugli eventi verificatisi nel computer di un cliente, che i nostri prodotti potrebbero inviare a seconda di vari fattori, ad esempio attività dell'utente, impostazioni del prodotto Kaspersky, configurazione del sistema operativo in cui è installato un prodotto Kaspersky e altri software installati nel sistema. È possibile reperire i dettagli su tutti i dati elaborati nel Contratto di licenza con l'utente finale (EULA), nell'Informativa di Kaspersky Security Network (KSN) e in altri documenti, che variano in base al prodotto.
Come proteggete i dati degli utenti?
Ci impegniamo a proteggere costantemente i dati dei nostri clienti. A tale scopo, utilizziamo le migliori tecnologie. Tra le misure di sicurezza e i processi adottati da Kaspersky sono inclusi:
- Ciclo di vita di sviluppo della sicurezza: finalizzato allo sviluppo sicuro di soluzioni e all'applicazione di patch a tutte le potenziali vulnerabilità il prima possibile;
- Crittografia avanzata per proteggere i flussi di dati scambiati tra i dispositivi degli utenti e il cloud;
- Crittografia delle informazioni degli utenti in servizi come Kaspersky Password Manager e Kaspersky Safe Kids. Gli utenti hanno una chiave principale che impedisce a chiunque altro l'accesso alle loro informazioni;
- Certificati digitali per garantire l'autenticazione del server legittima e sicura e gli aggiornamenti dei prodotti;
- Archiviazione separata, per consentire di archiviare dati diversi in server diversi con diritti di accesso limitati e rigorosi criteri di accesso ai dati;
- I dati vengono resi anonimi ove possibile con vari metodi, come l'eliminazione dei dettagli dell'account dalle URL trasmesse, l'ottenimento di hash sum delle minacce anziché i file esatti, l'oscuramento degli indirizzi IP degli utenti e così via.
Come vengono anonimizzati i dati elaborati?
Kaspersky prende molto sul serio la privacy degli utenti. Per rendere anonimi i dati ottenuti, l’azienda attua le seguenti misure:
- Le informazioni vengono analizzate sotto forma di statistiche aggregate o anonime e non vengono attribuite a soggetti specifici;
- Nomi utente e password vengono filtrati dalle URL trasmesse, anche se sono menzionati nella richiesta iniziale dell'utente al browser;
- Quando elaboriamo possibili dati sulle minacce, otteniamo un hash sum, vale a dire una funzione matematica unidirezionale che fornisce un identificatore file univoco;
- Ove possibile, oscuriamo gli indirizzi IP e le informazioni sul dispositivo da cui abbiamo ricevuto i dati;
- I dati vengono memorizzati su server separati con criteri rigorosi per quanto riguarda i diritti di accesso e tutte le informazioni trasferite tra l’utente e il cloud sono crittografate in modo sicuro.
Dove vengono archiviati i dati da Kaspersky?
Kaspersky è un'azienda globale e la nostra infrastruttura per l'elaborazione dei dati è distribuita in tutto il mondo (ad esempio Svizzera, Germania, Russia, Canada e così via), consentendo un'elaborazione più rapida delle informazioni e garantendo la disponibilità dei server in caso di eventuali guasti. L'elenco dettagliato dei paesi in cui i dati personali forniti possono essere elaborati è disponibile qui: https://www.kaspersky.com/products-and-services-privacy-policy.
Nell'ambito della nostra Global Transparency Initiative (GTI), Kaspersky ha trasferito parte della sua infrastruttura di elaborazione dati: file dannosi e sospetti condivisi volontariamente dagli utenti dei prodotti Kaspersky in Europa, Nord America e America Latina, Medio Oriente e diversi paesi dell'area Asia-Pacifico, vengono elaborati in due data center a Zurigo, in Svizzera. Questi centri forniscono strutture di prim'ordine conformi ai principali standard di sicurezza. Inoltre, la Svizzera è tra i pochi paesi a disporre di una decisione di adeguatezza con l'UE, il che significa che è stata ritenuta dalla Commissione Europea in grado di garantire un'adeguata protezione dei dati personali.
Che cos'è Kaspersky Security Network?
Kaspersky Security Network (KSN) è uno dei principali sistemi cloud di Kaspersky, creato per ottenere il massimo dell'efficacia nella scoperta delle cyberminacce nuove e sconosciute e, quindi, garantire la più rapida ed efficace protezione degli utenti. KSN elabora automaticamente i dati relativi alle minacce informatiche ricevuti da milioni di dispositivi di proprietà degli utenti Kaspersky che hanno deciso di utilizzare questo sistema. Questo approccio al sistema basato sul cloud rappresenta al momento uno standard di settore applicato da molti fornitori di soluzioni di cybersicurezza di livello globale.
Che cos'è un "sistema cloud-based"?
È un sistema che può essere eseguito sui server di un'azienda anziché sui singoli dispositivi e che può essere utilizzato tramite Internet da qualsiasi parte del mondo. Tra gli esempi di sistemi cloud sono inclusi sistemi di hosting di file, di condivisione di file ed e-mail. I servizi di Kaspersky Security Network sono dislocati in diversi paesi (Canada, Germania, Svizzera, Russia e così via), consentendo un'elaborazione più rapida delle informazioni e garantendo la disponibilità dei server in caso di eventuali guasti.
Qual è lo scopo della protezione cloud-based?
La maggior parte dei fornitori di cybersicurezza utilizza il cloud per migliorare i livelli di protezione e un modello di protezione ibrido (database anti-virus + difesa proattiva + cloud) risulta il più efficace.
Le elevate prestazioni del cloud di sicurezza ci consentono di analizzare le cyberminacce in modo più rapido e accurato. Mentre il tradizionale ciclo di aggiornamento dei database anti-virus e anti-phishing impiega in genere diverse ore, il cloud può garantire agli utenti la protezione dalle nuove minacce in pochi minuti.
L'utilizzo del cloud può anche rendere più "leggero" un prodotto per la sicurezza, che non utilizzerà troppa memoria o troppe risorse nel dispositivo dell'utente.
L'elaborazione dei dati può essere limitata?
I nostri clienti possono scegliere se e quanti dati vogliono fornire, in base alla funzionalità del prodotto o servizio che desiderano utilizzare e ai rispettivi accordi accettati. Kaspersky fornisce sempre informazioni sull'elaborazione dei dati, in particolare l'elenco completo dei dati che verranno elaborati, per garantire che i clienti possano prendere decisioni informate. Inoltre, Kaspersky divulga regolarmente e pubblicamente informazioni su quante richieste di dati sono state ricevute ed elaborate dai nostri utenti nel relativo report sulla trasparenza. Il report più recente è disponibile qui.
I nostri clienti possono configurare le loro soluzioni in modo che i dati non vengano condivisi, nonché esercitare il diritto di accesso ai dati personali elaborati contattandoci direttamente all'indirizzo https://support.kaspersky.com/general/privacy.
Condividete i dati personali elaborati dalle soluzioni Kaspersky con terze parti?
Non forniamo mai a terze parti o organizzazioni governative l'accesso all'infrastruttura dell'azienda, inclusa l'infrastruttura dei dati degli utenti.
Kaspersky può condividere i dati con i suoi fornitori stipulando accordi di elaborazione dei dati. Tali fornitori forniscono servizi e includono il cloud di Amazon, Microsoft Azure e così via.
Le vostre modalità di elaborazione dei dati sono certificate?
Per confermare che l'azienda applica la massima sicurezza per gli utenti, i servizi dati di Kaspersky superano periodicamente controlli e valutazioni di sicurezza di terze parti. In particolare, i servizi dati dell'azienda dispongono della certificazione ISO 27001 e nel 2022 sono stati ricertificati con ambito esteso, in modo che i servizi dati per l'elaborazione sia dei dati relativi alle minacce informatiche che delle statistiche siano coperti dalla certificazione. La certificazione è valida per i servizi dati dell'azienda situati nei data center di Zurigo, Francoforte, Toronto, Mosca e Pechino. La conformità agli standard normativi ISO/IEC 27001:2013, riconosciuta a livello internazionale come best practice del settore e standard di sicurezza applicabile, è alla base dell'approccio di Kaspersky all'implementazione e alla gestione della sicurezza delle informazioni. La certificazione, rilasciata dall'ente di certificazione di terze parti accreditato, dimostra il nostro impegno verso una solida sicurezza delle informazioni e la conformità del servizio dati di Kaspersky alle best practice leader del settore. Il report finale della ricertificazione viene fornito ai nostri clienti e partner su richiesta.