Hopp til hovedinnholdet

Kasperskys tilnærming til databehandling

Kasperskys tilnærming til behandling av brukerdata er basert på å respektere folks rett til personvern, samtidig som vi er opptatt av åpenhet og ansvarlighet.

Det overordnede målet med databehandling i selskapet vårt, er å gi kundene best mulige løsninger for Internett-sikkerhet. Generelt sett behandler vi data med tre hovedformål i tankene for å nå dette målet: (a) støtte viktige produktfunksjoner, (b) øke ytelsen og effektiviteten til beskyttelseskomponentene og (c) tilby bedre, mer passende løsninger til kunder og gi dem passende innhold. Du finner ytterligere detaljer i personvernerklæringen for produkter og tjenester.

Dataene brukere sender til Kaspersky kan ikke tillegges en bestemt person eller organisasjon, og anonymiseres når det lar seg gjøre. Tiltak for å oppnå dette omfatter sletting av kontodetaljer fra overførte URL-adresser, innhenting av hash-summer av trusler i stedet for de aktuelle filene, uleseliggjøring av brukernes IP-adresser osv.

Brukere av Kaspersky-produkter kan velge om de vil sende data, og i så fall hvor mye de vil sende inn, basert på funksjonaliteten til produktet eller tjenesten de vil bruke og de enkelte avtalene brukeren har godtatt.

Kaspersky informerer alltid om databehandling – brukere får en komplette liste over data som skal behandles, slik at de kan ta velinformerte beslutninger. Vi publiserer en åpenhetsrapport hver sjette måned, med informasjon om hvor mange dataforespørsler vi har mottatt fra og behandlet for brukerne våre.

Alle data som behandles og/eller overføres, sikres nøye gjennom kryptering, digitale sertifikater, atskilt lagring, strenge retningslinjer for datatilgang og andre metoder. Selskapet bruker også Secure Software Development Framework (SSDF) og implementerer risikostyringskontroller for forsyningskjeden for å sikre selskapets infrastruktur og systemer for databehandling.

Kaspersky gjennomgår kontinuerlig datatypene som behandles av selskapets løsninger, for å beskytte kundenes personvern og overholde de aller nyeste juridiske kravene, for eksempel GDPR i Europa.




Behandler dere personlige data?

I henhold til enkelte juridiske rammeverk (f.eks. GDPR) kan informasjon som behandles av Kaspersky inneholde data som betraktes som personlig eller personlig identifiserbar. Kaspersky behandler aldri «sensitive» personlige data som religion, politiske synspunkter, seksuelle preferanser, helse eller noen andre spesielle kategorier for personlige data.

Kaspersky informerer alltid om databehandling – brukere får en komplette liste over data som skal behandles, slik at de sitter med informasjonen de trenger og kan ta velinformerte beslutninger. Detaljer om dataene som behandles, finnes i lisensavtalen for sluttbrukere (EULA), erklæringen for Kaspersky Security Network (KSN) og i andre avtaler som varierer avhengig av produkt. Dataene brukere sender til Kaspersky brukes som statistikk i samlet form og kan ikke tillegges noen bestemt person. De anonymiseres også når det er mulig.

Hvilke data behandles?

Kaspersky kan behandle data og statistikk relatert til Internett-trusler. Data relatert til Internett-trusler omfatter mistenkelige og skadelige filer, i tillegg til såkalt statistikk fra dem. Statistikken er metainformasjonen – utfyllende teknisk informasjon om hendelser som har skjedd på datamaskinen til en kunde, som produktene våre kan sende avhengig av ulike faktorer som brukerens aktiviteter, Kaspersky-produktets innstillinger, konfigurasjonen av operativsystemet som et Kaspersky-produkt er installert på og annen programvare som er installert på systemet. Detaljer om alle dataene som behandles, finnes i lisensavtalen for sluttbrukere (EULA), erklæringen for Kaspersky Security Network (KSN) og annen dokumentasjon som varierer avhengig av produkt.

Hvordan beskytter dere brukerdata?

Vi er opptatt av å beskytte kundenes data til enhver tid. Dette gjør vi ved bruk av førsteklasses teknologi. Sikkerhetstiltakene og prosessene til Kaspersky omfatter:

  • Security Development Lifecycle – rettet mot trygg utvikling av løsninger og oppdatering av alle potensielle sikkerhetshull så snart som mulig
  • sterk kryptering for å beskytte datastrømmer som utveksles mellom brukerens enheter og nettskyen
  • kryptering av brukerinformasjon i tjenester som Kaspersky Password Manager og Kaspersky Safe Kids at brukere har en hovednøkkel, noe som betyr at ingen andre enn den aktuelle brukeren har tilgang til informasjonen sin
  • digitale sertifikater som sikrer legitim og trygg godkjenning av servere og oppdatering av produkter
  • atskilt lagring, noe som betyr at ulike data lagres på ulike servere, med begrensede tilgangsrettigheter og strenge retningslinjer for tilgang til data
  • At data anonymiseres ved hjelp av en rekke metoder når det lar seg gjøre, for eksempel sletting av kontodetaljer fra URL-adresser som hentes, henting av hash-summer for trusler i stedet for aktuelle filene, tilsløring av brukeres IP-adresser osv.

Hvordan anonymiserer dere dataene dere behandler?

Kaspersky tar brukernes personvern svært alvorlig. Selskapet implementerer følgende tiltak for å anonymisere innhentede data:

  • Informasjonen analyseres i samlet form eller som anonym statistikk, og kan ikke tillegges bestemte personer.
  • Brukernavn og passord filtreres ut fra overførte URL-adresser, selv når de nevnes i den første nettleserforespørselen fra brukeren.
  • Når vi behandler data om mulige trusler, henter vi en hash-sum, som er en enveis matematisk funksjon som gir en unik filidentifikator.
  • Der det er mulig, uleseliggjør vi IP-adresser og enhetsinformasjon fra dataene som mottas.
  • Dataene lagres på atskilte servere med strenge retningslinjer vedrørende tilgangsrettigheter, og all informasjon som overføres mellom brukeren og nettskyen, krypteres på en sikker måte.

 

Hvor lagrer Kaspersky data?

Kaspersky er et globalt selskap, og infrastrukturen vår for databehandling er fordelt over hele jorda (f.eks. i Sveits, Tyskland, Russland, Canada osv.). Dette gir raskere behandling av informasjon, samtidig som det garanterer at servere er tilgjengelige hvis en av serverne av en eller annen grunn skulle svikte. Her er den detaljerte listen over land der personlige data som gis til oss, kan bli behandlet: https://www.kaspersky.com/products-and-services-privacy-policy.

Som en del av Global Transparency Initiative (GTI) har Kaspersky flyttet deler av infrastrukturen sin for databehandling: skadelige og mistenkelige filer brukere av Kaspersky-produkter deler frivillig i Europe, Nord- og Latin-Amerika, Midt-Østen og flere andre land i Asia og Stillehavet, behandles i to datasentre i Zürich i Sveits. Disse sentrene har fasiliteter i verdensklasse som overholder de strengeste sikkerhetsstandardene. I tillegg er Sveits et av få land som har såkalt adequacy decision i EU, noe som betyr at landet er anerkjent av EU-kommisjonen for å ha tilstrekkelig beskyttelse av personlige data.

Hva er Kaspersky Security Network?

Kaspersky Security Network (KSN) er et av Kasperskys viktigste nettskysystemer. Det ble opprettet for å maksimere effektiviteten ved oppdagelse av nye og ukjente nettrusler, og dermed sikre den raskeste og mest effektive beskyttelsen for brukere. KSN behandler data relatert til Internett-trusler som mottas av millioner av enheter som eies av Kaspersky-brukere, som selv bestemte seg for å bruke dette systemet. Denne nettskybaserte systemtilnærmingen er nå bransjestandarden, som brukes av mange globale Internett-sikkerhetsleverandører.

Hva er et nettskybasert system?

Det er et system som kjører på et selskaps servere i stedet for på enkeltenheter, og som kan brukes over Internett fra hvor som helst i verden. Eksempler på nettskysystemer omfatter e-post, fildeling og filvertstjenester. Kaspersky Security Networks tjenester befinner seg i ulike land over hele verden (Canada, Tyskland, Sveits, Russland osv.), noe som gjør det mulig å behandle informasjon raskere og garanterer at servere er tilgjengelige dersom en av dem skulle svikte.

Hva er formålet med skybasert beskyttelse?

De fleste leverandører av Internett-sikkerhet bruker nettskyen for å øke beskyttelsesnivåene. En hybridbeskyttelsesmodell (antivirusdatabaser + proaktivt forsvar + nettskyen) er mest effektiv.

Sikkerhetsskyens høye ytelse gjør at vi kan analysere Internett-trusler raskere og mer nøyaktig. Mens den tradisjonelle syklusen for oppdatering av antivirus- og anti-phishingdatabaser vanligvis tar flere timer, kan skyen gi brukere beskyttelse mot en ny trussel i løpet av minutter.

Bruk av nettskyen kan også gjøre et produkt «lettere» ved å sørge for at det ikke bruker for mye minneplass og ressurser på brukerenheten.

Kan databehandling begrenses?

Kundene kan velge om og hvor mye data de vil oppgi, basert på funksjonaliteten til produktet eller tjenesten de vil bruke og de respektive avtalene de har godtatt. Kaspersky informerer alltid om databehandling – brukere får en komplette liste over data som skal behandles, slik at de kan ta velinformerte beslutninger. Kaspersky publiserer også informasjon regelmessig om hvor mange dataforespørsler som er mottatt og behandlet fra brukerne våre, i en åpenhetsrapport. Du finner den nyeste rapporten her.

Kundene våre kan konfigurere løsningene sine slik at ingen data deles, og de kan utøve rettighetene sine til å få tilgang til personlige data om dem som er behandlet ved å kontakte oss direkte på https://support.kaspersky.com/general/privacy.

Deler dere personlige data som behandles av Kaspersky-løsninger, med tredjeparter?

Vi gir aldri noen tredjeparter eller statlige organer tilgang til selskapets infrastruktur, inkludert infrastrukturen for brukerdata.

Kaspersky kan dele data med leverandører i henhold til databehandlingsavtaler som er inngått med dem. Slike leverandører leverer tjenester, som Amazon cloud, Microsoft Azure osv.

Har dere sertifisert metodene deres for databehandling?

For å bekrefte at selskapet tar i bruk den høyeste sikkerheten for brukerne våre, består Kasperskys datatjenester jevnlig tredjeparts sikkerhetsrevisjoner og -vurderinger. Mer spesifikt har selskapets datatjenester blitt sertifisert for ISO 27001 av og sertifisert igjen i 2022 med utvidet omfang, slik at datatjenestene for behandling av både data og statistikk relatert til Internett-sikkerhet dekkes av sertifiseringen. Sertifiseringen er gyldig for selskapets datatjenester i datasentre i Zürich, Frankfurt, Toronto, Moskva og Beijing. Samsvar med ISO/IEC 27001:2013 – internasjonalt anerkjent som beste praksis-i bransjen og gjeldende sikkerhetsstandard – står sentralt i Kasperskys tilnærming til implementering og administrering av informasjonssikkerhet. Sertifiseringen gis av det tredjeparts anerkjente sertifiseringsorganet, og viser vår forpliktelse til sterk informasjonssikkerhet og at Kasperskys datatjenester er i samsvar med beste praksis for bransjen. Den endelige rapporten for den nye sertifiseringen gis på forespørsel til kundene og partnerne våre.