Hopp til hovedinnholdet

Kasperskys tilnærming til databehandling

Kasperskys tilnærming til behandling av brukerdata er basert på å respektere folks rett til personvern, samtidig som vi er opptatt av åpenhet og ansvarlighet.

Hovedmålet med databehandling i vårt selskap er å gi kundene våre de beste cybersikkerhetsløsningene. For å oppnå dette målet behandler vi vanligvis data med tre hovedformål: (a) støtte viktig produktfunksjonalitet, (b) øke ytelsen og effektiviteten til beskyttelseskomponentene, og (c) tilby forbedrede og mer passende løsninger til kunder og gi dem passende innhold. Du finner mer informasjon i vår produkter og tjenester personvernerklæringen.

For å oppnå disse målene trenger ikke data alltid å være knyttet til en bestemt person, og kan anonymiseres der det er mulig. Tiltak for å oppnå dette fra Kaspersky inkluderer sletting av kontodetaljer fra overførte URL-er, innhenting av hash-summer av trusler i stedet for de nøyaktige filene, tilsløring av bruker-IP-adresser, osv.

I de fleste tilfeller kan brukere av Kaspersky-produkter velge om de vil gi personopplysninger til selskapet, eller hvor mye de vil gi, basert på funksjonaliteten til produktene, tjenestene og nettstedene. De kan også avstå fra å sende informasjon direkte til Kaspersky. 

Kaspersky gir alltid tydelig informasjon om databehandling – spesielt den fullstendige listen over data som behandles, for å sikre at kundene kan ta informerte beslutninger. Kaspersky gjennomgår kontinuerlig hvilke typer data som behandles av løsningene sine for å beskytte kundenes personvern og for å overholde de aller nyeste juridiske kravene.

Alle data som behandles og/eller overføres er robust sikret gjennom kryptering, digitale sertifikater, segregert lagring, strenge retningslinjer for datatilgang og andre metoder. Selskapet anvender også Secure Software Development Framework (SSDF) og implementerer risikostyringskontroller i forsyningskjeden for å sikre infrastrukturen og systemene for databehandling.

Hver sjette måned deler vi innsynsrapport om hvor mange dataforespørsler vi har mottatt og behandlet fra brukerne våre i vår åpenhetsrapport.




Behandler dere personlige data?

I samsvar med enkelte juridiske rammeverk (som GDPR) kan informasjon som behandles av Kaspersky inneholde data som kan anses som personlige eller personlig identifiserbare. Kaspersky-produkter behandler aldri «sensitive» personopplysninger om kunder, som religion, politiske synspunkter, seksuelle preferanser, helse eller andre spesielle kategorier av personopplysninger.

Hvis behandling av personopplysninger er nødvendig for å oppnå målene for produktene eller tjenestene, analyserer Kaspersky nøye formålene, sammensetningen og det juridiske grunnlaget for behandling av personopplysningene i forhold til gjeldende lov. Settet med personopplysninger som behandles samsvarer alltid med formålene med behandlingen; våre produkter eller tjenester samler ikke inn eller behandler overdreven stor mengde personopplysninger. Videre gir Kaspersky alltid all relatert informasjon om databehandling – spesielt den komplette listen over data som behandles, for å sikre at kundene holdes informert og kan ta informerte beslutninger. Detaljer om dataene som behandles finner du i lisensavtalen for sluttbrukere (EULA), Kaspersky Security Network (KSN)-erklæringen, Kasperskys personvernerklæring for nettsteder og nettjenester og i andre leverte dokumenter, som varierer avhengig av produktet eller tjenesten. Dataene vi samler inn og behandler brukes i form av aggregert statistikk og knyttes ikke til en bestemt person, og blir anonymisert der det er mulig.

Hvilke data behandles?

Enhver moderne IT-tjeneste krever behandling av store mengder data for å fungere effektivt. Sammensetningen av de behandlede dataene avhenger av det spesifikke produktet eller den spesifikke tjenesten. Som en global leder innen cybersikkerhet kan Kaspersky behandle ulike data og statistikk relatert til cybertrusler. Dataene knyttet til cybertrussler inkluderer mistenkelige og skadelige filer samt statistikk som gjør det mulig å identifisere både allerede kjente IS-trusler og ny skadelig programvare og angripernes metoder. Denne statistikken er også kjent som metainformasjon – tilleggsinformasjon om hendelser som har skjedd på en brukers maskin, som produktene våre kan sende avhengig av ulike faktorer: f.eks. brukeraktiviteter, Kaspersky-produktinnstillinger, konfigurasjonen av operativsystemet som et Kaspersky-produkt er installert på, og annen programvare som er installert på systemet. Detaljer om dataene som behandles, finnes i lisensavtalen for sluttbrukere (EULA), Kaspersky Security Network (KSN)-erklæringen og annen dokumentasjon, som varierer avhengig av produktet eller tjenesten.

Hvordan beskytter dere brukerdata?

Sikkerheten til brukerdata er en prioritet for Kaspersky, og selskapet følger en mangesidig tilnærming for å redusere potensielle risikoer. Kaspersky har en avansert sikkerhetspolitikk på plass, som utføres av en dedikert informasjonssikkerhetsavdeling som er ansvarlig for å implementere selskapets sikkerhetspolitikk og -strategi, og som kontinuerlig overvåker sikkerhetsytelsen og evaluerer effektiviteten til sikkerhetsprosessene.

Brukerdataene er beskyttet ved hjelp av moderne beskyttelsesalgoritmer, der selskapet sørger for nettverks- og tilgangssikkerhet for å forhindre uautorisert tilgang til brukerdata og kontrollerer fysisk tilgang til datainfrastrukturen nøye, som er sikret med overvåkings- og alarmsystemer. Den overordnede sikkerheten til selskapets nettverk og systemer er underbygget av tiltak som kontinuerlig ressursforvaltning, en helhetlig prosess for risiko- og sårbarhetsstyring, regelmessige samsvarskontroller og kontinuerlig opplæring av ansatte, men er ikke begrenset til disse. Hvis du vil ha mer informasjon om hvordan vi beskytter personvernet og dataene dine, kan du se Kasperskys produkter og tjenester personvernerklæringen.

Hvordan anonymiserer dere dataene dere behandler?

Kaspersky tar brukernes personvern svært alvorlig. Selskapet implementerer følgende tiltak for å anonymisere behandlede data:

  • En lagdelt tilnærming som forbedrer beskyttelsen og reduserer risikoen for reidentifisering: kombinerer teknikker som generalisering, randomisering og differensiell personvern;
  • Fjerne alle direkte identifikatorer (f.eks. navn, ID-numre) fra behandlede data (f.eks. URL-er, filer osv.);
  • Informasjonen behandles i form av anonymisert og aggregert statistikk og knyttes ikke til bestemte personer;
  • For å forhindre kobling av anonymiserte data med andre datasett som kan identifisere enkeltpersoner på nytt, lagres dataene på separate servere med strenge retningslinjer for tilgangsrettigheter;
  • Når vi behandler data om mulige trusler, bruker vi hash-summer, som er enveis matematiske funksjoner som gir en unik filidentifikator.
  • Dokumentere og regelmessig revidere prosessene for anonymisering.

Hvor lagrer Kaspersky data?

Kaspersky er et globalt selskap, og vår infrastruktur for databehandling er distribuert over hele verden (f.eks. i Sveits, Tyskland, Russland, Canada osv.), noe som muliggjør raskere behandling av informasjon og garanterer servertilgjengelighet dersom en av dem skulle svikte av en eller annen grunn. Du finner en detaljert liste over land der personopplysninger kan behandles i Kasperskys offisielle retningslinjer, inkludert produkter og tjenester personvernerklæringen.

Som en del av vårt globale initiativ for åpenhet (Global Transparency Initiative (GTI)) flyttet Kaspersky deler av databehandlingsinfrastrukturen sin. Ondsinnede og mistenkelige filer som frivillig deles av brukere av Kaspersky-produkter i Europa, Nord- og Latin-Amerika, Midtøsten og flere land i Asia-Stillehavsområdet, behandles i to datasentre i Zürich, Sveits. Disse sentrene tilbyr fasiliteter i verdensklasse i samsvar med ledende sikkerhetsstandarder. I tillegg er Sveits blant de få landene som har en tilstrekkelighetsbeslutning med EU, noe som betyr at landet ble anerkjent av Europakommisjonen for å gi tilstrekkelig beskyttelse av personopplysninger.

Hva er Kaspersky Security Network?

Kaspersky Security Network (KSN) er et av Kasperskys viktigste nettskysystemer, som ble opprettet for å maksimere effektiviteten ved oppdagelse av nye og ukjente nettrusler, og dermed sikre den raskeste og mest effektive beskyttelsen for brukere. KSN behandler automatisk data relatert til cybertrusler mottatt fra millioner av enheter eid av Kaspersky-brukere, som tok beslutningen om å bruke dette systemet. Denne nettskybaserte systemtilnærmingen er nå bransjestandarden, som brukes av mange leverandører av cybersikkerhet.

Hva er et nettskybasert system?

Det er et system som kjører på et selskaps servere i stedet for på enkeltenheter, som kan brukes over internett fra hvor som helst i verden. Eksempler på nettskysystemer omfatter e-post, fildeling og filvert. Kaspersky Security Networks tjenester er lokalisert i forskjellige land rundt om i verden (Canada, Tyskland, Sveits, Russland osv.), noe som muliggjør raskere behandling av informasjon og garanterer servertilgjengelighet dersom noen av dem skulle svikte.

Hva er formålet med skybasert beskyttelse?

Kaspersky anser en hybrid beskyttelsesmodell (antivirusdatabaser + proaktivt forsvar + skyen) som den mest effektive.

Den høye ytelsen til sikkerhetsskyen gjør det mulig for oss å analysere cybertrusler raskere og mer nøyaktig. Mens den tradisjonelle oppdateringssyklusen for antivirus- og anti-phishing-databaser vanligvis tar flere timer, kan skyen gi brukere beskyttelse mot en ny trussel på få minutter.

Bruk av skyen kan også gjøre et sikkerhetsprodukt «lettere», slik at det ikke tar opp for mye minne og ressurser på brukerenheten.

Kan databehandling begrenses?

Kundene våre kan velge om og hvor mye data de ønsker å oppgi, basert på funksjonaliteten til produktet eller tjenesten de ønsker å bruke og de respektive aksepterte avtalene. Kaspersky gir alltid informasjon om databehandling – spesielt den fullstendige listen over data som behandles, for å sikre at kundene kan ta informerte beslutninger. Kaspersky offentliggjør også regelmessig informasjon om hvor mange dataforespørsler som er mottatt og behandlet fra brukerne våre i sin innsynsrapport. Den siste rapporten er tilgjengelig her.

For noen av bedriftsproduktene kan kundene våre konfigurere løsningene sine slik at ingen data deles i det hele tatt, samt utøve retten til å få tilgang til sine behandlede personopplysninger ved å kontakte oss direkte på https://support.kaspersky.com/general/privacy.

Deler dere personlige data som behandles av Kaspersky-løsninger, med tredjeparter?

Vi gir aldri noen tredjeparter eller statlige organer tilgang til selskapets infrastruktur, inkludert infrastrukturen for brukerdata.

Kaspersky kan dele data med sine leverandører gjennom databehandleravtaler med dem. Når vi velger slike leverandører, kontrollerer vi nøye samsvar med juridiske krav og våre tilnærminger til databehandling. Disse leverandørene tilbyr oss for eksempel skylagring og andre relevante tjenester.

Kaspersky samarbeider også med internasjonale politimyndigheter og deler informasjon som er nødvendig for etterforskning av nettlovbrudd med dem.  Selskapet har vært åpent om disse kontaktene, og har offentliggjort data om innkommende forespørsler fra politiet om brukerdata og teknisk ekspertise i sine innsynsrapporter.

Disse rapportene skisserer også selskapets kjerneprinsipper for å svare på forespørsler fra globale myndigheter og politimyndigheter, og demonstrerer vår flertrinnsprosedyre for å vurdere hver mottatt forespørsel.  Dermed går alle innkommende forespørsler om brukerdata gjennom en obligatorisk juridisk verifisering, der vi sørger for at forespørslene er juridisk begrunnet, utstedt i samsvar med gjeldende lover og kan implementeres på en måte som ikke kompromitterer sikkerheten eller personvernet til Kaspersky-brukere. 

Har dere sertifisert metodene deres for databehandling?

For å bekrefte at selskapet bruker den høyeste sikkerheten for brukerne våre, gjennomgår Kasperskys datatjenester regelmessig sikkerhetsrevisjoner og -vurderinger fra tredjeparter. Spesielt har selskapets datatjenester blitt sertifisert for ISO 27001, samt resertifisert i 2022 medutvidet omfang, slik at datatjenester for behandling av både cybertrusselrelaterte data og statistikk er dekket av sertifiseringen. Sertifiseringen gjelder for selskapets datatjenester som ligger i datasentre i Zürich, Frankfurt, Toronto, Moskva og Beijing. Samsvar med ISO/IEC 27001:2013 – internasjonalt anerkjent som beste praksis i bransjen og gjeldende sikkerhetsstandard – ligger i kjernen av Kasperskys tilnærming til implementering og håndtering av informasjonssikkerhet. Sertifiseringen, som er gitt av det tredjepartsakkrediterte sertifiseringsorganet, viser vår forpliktelse til sterk informasjonssikkerhet og at Kasperskys datatjeneste er i samsvar med bransjeledende beste praksis. Den endelige rapporten om resertifiseringen gis til våre bedriftskunder og partnere på forespørsel.