Cómo enfoca Kaspersky’ el procesamiento de datos
La base con la que Kaspersky afronta el procesamiento de los datos de usuarios es el respeto y la protección de la privacidad de las personas, así como un compromiso de transparencia y responsabilidad.
El objetivo principal de nuestra compañía es proporcionar a nuestros clientes las mejores soluciones de ciberseguridad. Para conseguir este objetivo, solemos procesar los datos con tres fines principales en mente: (a) dar soporte a funciones de productos clave; (b) aumentar el rendimiento y la efectividad de los componentes de protección; y (c) ofrecer a los clientes soluciones mejoradas y más idóneas, y proporcionarlas con el contenido adecuado. Puede consultar más detalles en nuestra Política de privacidad de productos y servicios.
Los datos que los usuarios envían a Kaspersky no se atribuyen a una persona u organización específicas, y son anónimos siempre que resulte posible. Para conseguirlo se toman medidas como eliminar los datos de la cuenta de las URL transmitidas, obtener sumas de verificación de amenazas en lugar de los archivos exactos, enmascarar las direcciones IP de los usuarios, etc.
Los usuarios de productos Kaspersky pueden elegir si desean proporcionar datos, según la funcionalidad del producto o servicio que quieren usar, y los respectivos acuerdos aceptados.
Kaspersky siempre proporciona información relativa al procesamiento de datos; en particular, la lista completa de datos que se procesarán, para garantizar que los clientes puedan tomar decisiones informadas. Cada seis meses compartimos de forma pública, en nuestro Informe de transparencia, información sobre cuántas solicitudes de datos de nuestros usuarios hemos recibido y procesado.
Todos los datos procesados o transferidos están completamente protegidos mediante código de cifrado, certificados digitales, almacenamiento por separado, políticas estrictas de acceso a datos y por otros métodos. La empresa también aplica las prácticas de SSDF (Secure Software Development Framework) e implementa controles de administración de riesgos en la cadena de suministro para proteger su infraestructura y los sistemas que procesan datos.
Kaspersky Lab revisa constantemente los tipos de datos procesados por sus soluciones para proteger la privacidad de nuestros clientes y cumplir con los requisitos legales más recientes, tales como el Reglamento General de Protección de Datos (RGPD) en Europa.
¿Procesáis datos personales?
De conformidad con algunos acuerdos legales (como el RGPD), la información que procesa Kaspersky puede contener datos que se podrían considerar personales o que podrían identificar a una persona. Kaspersky no procesa nunca datos personales "confidenciales", como datos relacionados con religión, opiniones políticas, orientación sexual u otras categorías especiales de datos personales..
Kaspersky siempre proporciona información relativa al procesamiento de datos; en concreto, brinda una lista completa de los datos que se procesarán para garantizar que los usuarios siempre sepan qué ocurre y tomen decisiones informadas. Es posible encontrar más información respecto de los datos procesados en el Contrato de licencia de usuario final (EULA), la declaración de Kaspersky Security Network y otros acuerdos, que variarán según el producto. Los datos que los usuarios envían a Kaspersky se utilizan como estadísticas agregadas, no se atribuyen a una persona en particular y se mantienen anónimos siempre que sea posible.
¿Qué datos se procesan?
Kaspersky puede procesar datos y estadísticas relacionados con ciberamenazas. Estos datos incluyen archivos sospechosos o maliciosos, así como las estadísticas. Las estadísticas hacen referencia a la metainformación, información técnica complementaria sobre eventos que ocurrieron en el equipo de un cliente y que nuestros productos pueden enviar en función de varios factores; por ejemplo, actividades de usuario, configuración del producto de Kaspersky, configuración del sistema operativo donde se está instalado el producto de Kaspersky y otro software instalado en el sistema. Los detalles de los datos procesados se pueden encontrar en el Contrato de licencia de usuario final (EULA), la declaración de Kaspersky Security Network y otros documentos, que variarán según el producto.
¿Cómo protegéis los datos de los usuarios?
Nos comprometemos a proteger los datos de nuestros clientes en todo momento. Para ello, utilizamos las tecnologías más avanzadas. Estas son algunas de las medidas de seguridad y procesos que Kaspersky lleva a cabo:
- Ciclo de vida de un desarrollo de seguridad, con el objetivo de desarrollar soluciones de forma segura y aplicar parches en todas las posibles vulneraciones lo antes posible.
- Cifrado robusto para proteger las transmisiones de datos que se intercambian entre los dispositivos del usuario y la nube.
- Cifrado de la información del usuario en servicios como Kaspersky Password Manager y Kaspersky Safe Kids. Los usuarios tienen una clave principal, lo que significa que nadie, salvo el usuario específico, tiene acceso a la información.
- Certificados digitales para garantizar la autenticación de servidores seguros y legítimos, y las actualizaciones de productos.
- Almacenamiento segregado, que implica que datos diferentes se alojan en distintos servidores con permisos de acceso restringidos y políticas estrictas de acceso a datos.
- El anonimato de los datos se mantiene siempre que es posible mediante diversos métodos, como la eliminación de los datos de las cuentas de las direcciones URL transmitidas, la obtención de sumas de verificación de amenazas en lugar de archivos exactos y la ocultación de direcciones IP de usuarios.
¿Cómo se anonimizan los datos que se procesan?
Kaspersky se toma muy en serio la privacidad de los usuarios. La empresa implementa las siguientes medidas para anonimizar los datos recopilados:
- La información se analiza como estadísticas agregadas o anónimas y no se atribuye a personas específicas.
- Los inicios de sesión y las contraseñas se filtran desde URL transmitidas, incluso si se mencionan en la solicitud inicial del navegador del usuario.
- Cuando procesamos datos de posibles amenazas, obtenemos una suma de verificación, que es una función matemática unidireccional que proporciona un único identificador de archivo.
- Siempre que sea posible, ocultamos las direcciones IP y la información del dispositivo a partir de los datos recibidos.
- Los datos se almacenan en servidores independientes con políticas estrictas sobre los derechos de acceso. De este modo, protegemos con cifrado toda la información transferida entre el usuario y la nube.
¿Donde almacena Kaspersky los datos?
Kaspersky es una empresa global y nuestra infraestructura de procesamiento de datos está distribuida en todo el mundo (por ejemplo, Suiza, Alemania, Rusia, Canadá, etc.), lo que permite el rápido procesamiento de información y garantiza la disponibilidad de servidores en caso de que uno falle por cualquier razón. La lista detallada de países en los que se pueden procesar los datos personales proporcionados se puede consultar aquí: https://www.kaspersky.com/products-and-services-privacy-policy.
Como parte de nuestra Iniciativa de transparencia global (GTI), Kaspersky reubicó parte de su infraestructura de procesamiento de datos: los archivos sospechosos y maliciosos que los usuarios de productos de Kaspersky comparten de forma voluntaria de Europa, Norteamérica y Latinoamérica, Oriente Medio y diversos países de Asia-Pacífico se procesan en dos centros de datos en Zúrich, Suiza. Estos centros de datos tienen las mejores instalaciones en cuestiones de cumplimiento de estándares líderes en seguridad. Además, Suiza se encuentra entre los pocos países que tiene una decisión de adecuación con la Unión Europea, lo que significa que la Comisión Europea reconoció a Suiza por brindar una protección adecuada de los datos personales.
¿Qué es Kaspersky Security Network?
Kaspersky Security Network (KSN) es uno de los principales sistemas basados en la nube de Kaspersky creado para sacar el máximo partido de la efectividad del descubrimiento de ciberamenazas nuevas y desconocidas, para de este modo poder garantizar a los usuarios la protección más rápida y eficaz. KSN procesa automáticamente datos relacionados con ciberamenazas que se reciben desde millones de dispositivos propiedad de usuarios de Kaspersky, quienes optaron por usar el sistema. Este enfoque de sistema basado en la nube se ha convertido en la norma del sector y lo aplican muchos proveedores globales de ciberseguridad.
¿Qué es un sistema "basado en la nube"?
Es un sistema que se ejecuta en los servidores de la empresa en lugar de los dispositivos individuales, y que se puede usar mediante Internet desde cualquier parte del mundo. Algunos ejemplos de sistemas en la nube incluyen servicios de correo electrónico, envío y almacenamiento de archivos. Los servicios de Kaspersky Security Network, ubicados en diferentes países de todo el mundo (Canadá, Alemania, Suiza, Rusia, etc.) permiten el rápido procesamiento de la información y garantizan la disponibilidad de servidores en caso de que uno falle.
¿Cuál es el objetivo de la protección basada en la nube?
La mayoría de proveedores de ciberseguridad utilizan la nube para mejorar los niveles de protección y un modelo de protección híbrida (bases de datos antivirus + defensa proactiva + la nube) es el más eficaz.
El alto rendimiento de la nube de seguridad nos permite analizar las ciberamenazas con mayor rapidez y precisión. Mientras que el ciclo tradicional de actualización de las bases de datos antiphishing y antivirus suele tardar varias horas, la nube puede proporcionar a los usuarios protección contra una nueva amenaza en cuestión de minutos.
El uso de la nube también puede hacer que un producto de seguridad sea más "ligero", ya que evita que emplee demasiada memoria y recursos en el dispositivo del usuario.
¿Puede limitarse el procesamiento de datos?
Nuestros clientes pueden elegir si desean enviar sus datos y la cantidad que desean proporcionar, según la funcionalidad del producto o servicio que desean utilizar y sus respectivos acuerdos aceptados. Kaspersky siempre proporciona información relativa al procesamiento de datos; en particular, la lista completa de datos que se procesarán, para garantizar que los clientes puedan tomar decisiones informadas. Además, Kaspersky publica de forma periodica, en el informe de Transparencia , información respecto de cuántas solicitudes de datos de nuestros usuarios se reciben y procesan. El último informe está disponible aquí.
Nuestros clientes pueden configurar sus soluciones para no compartir ningún dato, y también pueden ejercer su derecho de acceder a sus datos personales procesados si se comunican directamente con nosotros en https://support.kaspersky.com/general/privacy.
¿Se comparten con terceros datos personales que procesan las soluciones de Kaspersky?
Nunca permitimos a ningún tercero u organización gubernamental acceder a la infraestructura de la empresa, lo que incluye la infraestructura de los datos de usuarios.
Kaspersky puede compartir datos con sus proveedores mediante acuerdos de procesamiento de datos alcanzados con ellos. Dichos proveedores ofrecen servicios, e incluyen Amazon Web Services, Microsoft Azure etc.
¿Están certificados los métodos de procesamiento de datos?
Para confirmar que la empresa aplica la máxima seguridad para nuestros usuarios, los servicios de datos de Kaspersky realizan regularmente evaluaciones y auditorías de seguridad independientes. En concreto, los servicios de datos de la empresa tienen la ISO 27001 de, además de una nueva certificación en 2022 con un alcance ampliado, de modo que los servicios de datos para procesar datos y estadísticas relacionados con ciberamenazas están cubiertos por la certificación. La certificación es válida para los servicios de datos de la empresa ubicados en los centros de datos de Zúrich, Fráncfort, Toronto, Moscú y Pekín. El cumplimiento de la norma ISO/EIC 27001:2013 (reconocida a escala internacional como la mejor práctica del sector y la norma de seguridad aplicable) es la esencia del enfoque que adopta Kaspersky a la hora de implementar y administrar la seguridad de la información. La certificación, organismo de certificaciones acreditado e independiente, demuestra nuestro compromiso con una seguridad de la información robusta, y que los servicios de datos de Kaspersky cumplen con las mejores prácticas líderes del sector. Nuestros clientes y socios pueden solicitar el informe más reciente de la nueva certificación.