Per dimostrare il suo impegno nel garantire i più alti standard di sicurezza, Kaspersky ha superato con successo l'audit Service Organization Control (SOC 2) Type II per le aziende di servizi. Nella valutazione sono state analizzate la sicurezza dei processi di sviluppo e rilascio dei database antivirus di Kaspersky nonché la protezione contro le modifiche non autorizzate.
Dal 2019, Kaspersky sottopone le proprie soluzioni a valutazioni periodiche di terze parti, tra cui gli audit SOC 2, per garantirne l'integrità. Il framework SOC (Service Organization Controls), sviluppato dall'American Institute of Certified Public Accountants (AICPA), è uno standard internazionale di riferimento per i sistemi di gestione del rischio di cybersecurity e valuta i processi di controllo della protezione sulla base di cinque principi fondamentali: sicurezza, disponibilità, integrità dei processi, riservatezza e privacy.
Per la prima volta, l'audit SOC 2 ha preso in considerazione i risultati di un anno intero, da agosto 2023 a luglio 2024, mentre precedentemente si limitavano a periodi di 3-6 mesi. Condotta da un service auditor indipendente, la valutazione ha esaminato il sistema di sviluppo e implementazione dei database antivirus di Kaspersky per i sistemi operativi Windows e Unix, secondo i criteri di sicurezza e disponibilità, considerando i seguenti aspetti:
- servizi di sviluppo e compilazione dei database antivirus Kaspersky, utilizzati per la creazione e la compilazione del suo codice sorgente.
- sistemi di archiviazione e revisione del codice dei database antivirus Kaspersky, utilizzati per l’archiviazione e revisione del codice sorgente.
- sistema di test e rilascio dei database antivirus Kaspersky, utilizzati per l'implementazione del database.
- sistema di test dei database antivirus Kaspersky, utilizzati per la verifica.
- sistemi informativi a supporto dei processi sopra citati.
L'audit prevedeva interviste con
il management, i responsabili della supervisione e i dipendenti. Inoltre, è
stata effettuata un’analisi delle attività e delle operazioni di Kaspersky così
come l'ispezione dei documenti e delle policy aziendali. Al termine della
verifica, i revisori hanno stabilito che i controlli di Kaspersky, volti a
garantire gli aggiornamenti automatici dei database antivirus, sono conformi ai
criteri applicabili in materia di servizi fiduciari, mentre il processo di
sviluppo e implementazione dei database antivirus è protetto da modifiche non
autorizzate. Il rapporto completo dell'audit è disponibile su richiesta
"Kaspersky si impegna costantemente per garantire ai propri clienti e
partner l'affidabilità e l'integrità dei propri prodotti e servizi. Oltre
all'implementazione di rigorosi controlli di sicurezza è
fondamentale per noi ottenere il parere di esperti esterni per confermare che
le misure in atto siano sufficienti e conformi agli standard del settore. Questo
nuovo audit SOC 2 ha confermato ancora una volta che i nostri metodi di
controllo funzionano correttamente e che il processo di sviluppo e rilascio dei
database antivirus è protetto da modifiche non autorizzate”, ha dichiarato Alexander
Liskin, Head of Threat Research di Kaspersky.
Gli audit periodici dei processi interni sono una parte fondamentale della Global Transparency Initiative (GTI) di Kaspersky, il cui obiettivo è rafforzare la fiducia degli stakeholder dell'azienda e dimostrare l'impegno di Kaspersky per la trasparenza e la responsabilità. Oltre all'audit SOC 2, Kaspersky ha certificato il proprio sistema di gestione della sicurezza delle informazioni secondo lo standard internazionale ISO/IEC 27001:2013 e ha ottenuto le certificazioni Common Criteria per i prodotti enterprise di punta dell'azienda, Kaspersky Endpoint Security e Kaspersky Security Center, una console di controllo per tutti i prodotti enterprise.