Siirry pääsisältöön

Kasperskyn lähestymistapa tietojen käsittelyyn

Kasperskyn lähestymistapa käyttäjätietojen käsittelyyn perustuu ihmisten yksityisyyden kunnioittamiseen ja suojaamiseen sekä sitoutumiseen avoimuuteen ja vastuullisuuteen.

Yrityksemme tärkein tavoite on tarjota asiakkaillemme parhaita mahdollisia kybersuojausratkaisuja. Tämän tavoitteen saavuttamiseksi käsittelemme tietoja seuraavat kolme tavoitetta mielessämme: (a) tuotteiden tärkeiden toimintojen tukeminen, (b) suojauskomponenttien suorituskyvyn ja tehokkuuden parantaminen ja (c) parannettujen ja tarkoituksenmukaisten ratkaisujen sekä sopivan sisällön tarjoaminen asiakkaille. Lisätietoja on tuotteiden ja palveluiden tietosuojakäytännössämme.

Näiden tavoitteiden saavuttamiseksi ei ole aina välttämätöntä linkittää tietoja tiettyyn henkilöön, joten tiedot voidaan muuttaa nimettömiksi mahdollisuuksien mukaan. Kaspersky toteuttaa tämän muun muassa poistamalla tilitietoja välitetyistä URL-osoitteista, hankkimalla uhkien hajautussummia itse tiedostojen sijaan sekä peittämällä käyttäjien IP-osoitteita.

Useimmiten Kaspersky-tuotteiden käyttäjät voivat itse valita, haluavatko he toimittaa henkilökohtaisia tietoja yritykselle sekä kuinka paljon tietoja he haluavat toimittaa sen perusteella, mitä toimintoja tuotteessa, palvelussa ja sivustoilla on. Käyttäjät voivat myös kieltäytyä lähettämästä tietoja suoraan Kasperskylle. 

Kaspersky tarjoaa aina selkeitä tietoja tietojenkäsittelystä: erityisesti ilmoitamme täydellisen luettelon käsiteltävistä tiedoista, jotta asiakkaat voivat tehdä perusteltuja päätöksiä. Kaspersky tarkistaa säännöllisesti sen ratkaisujen käsittelemien tietojen tyypin, jotta voimme suojata asiakkaidemme yksityisyyttä ja toimia uusimpien lakivaatimusten mukaisesti.

Kaikki käsitellyt ja/tai siirretyt tiedot suojataan vahvasti salauksella, digitaalisilla varmenteilla, erillisellä säilytyksellä, tiukoilla tietojen käyttöoikeuskäytännöillä ja muilla menetelmillä. Toteutamme myös SSDF:n (Secure Dosftware Development Framework) edellytysten mukaisesti toimitusketjun riskinhallinnan säätelyä, jotta voimme turvata infrastruktuurimme ja tietojenkäsittelyjärjestelmämme.

Kuuden kuukauden välein julkaisemme läpinäkyvyysraportissamme tietoja siitä, kuinka monta tietopyyntöä olemme saaneet käyttäjiltämme ja käsitelleet.




Käsitteleekö Kaspersky henkilötietoja?

Joidenkin oikeudellisten puitteiden (kuten yleisen tietosuoja-asetuksen) osalta Kasperskyn käsittelemät tiedot saattavat sisältää tietoja, joita voidaan pitää henkilötietoina tai tunnistettavissa olevina henkilötietoina. Kaspersky ei koskaan käsittele ”arkaluonteisia” henkilötietoja, kuten uskontoa, poliittisia näkemyksiä, seksuaalista suuntautumista tai terveyttä koskevia tietoja tai muita henkilötietojen erityiskategorioita.

Jos henkilötietojen käsittely on välttämätöntä tuotteiden ja palveluiden käyttötarkoituksen vuoksi, Kaspersky analysoi huolellisesti henkilötietojen käsittelyn tarkoituksen, tyypin ja laillisen perusteen paikallisen lain vaatimusten suhteen. Käsitellyt henkilötiedot vastaavat aina käsittelyn tarkoitusta. Tuotteemme ja palvelumme eivät kerää tai käsittele ylimääräisiä henkilötietoja. Lisäksi Kaspersky toimittaa aina kaikki tietojen käsittelyyn liittyvät tiedot. Näitä ovat etenkin täydellinen luettelo käsiteltävistä tiedoista, jotta asiakkaat ovat hyvin perillä tietojen käsittelystä ja voivat tehdä perusteltuja päätöksiä. Lisätietoja käsitellyistä tiedoista on loppukäyttäjäsopimuksessa (EULA), Kaspersky Security Network (KSN) -lausunnossa, Kasperskyn verkkosivustojen ja verkkopalveluiden tietosuojakäytännössä sekä muissa toimitetuissa asiakirjoissa, jotka vaihtelevat tuotteen tai palvelun mukaan. Hyödynnämme keräämiämme ja käsittelemiämme tietoja kootussa tilastomuodossa, jossa tiettyä henkilöä ei voida tunnistaa ja jossa tiedot muutetaan nimettömiksi aina kun mahdollista.

Mitä tietoja Kaspersky käsittelee?

Kaikki nykyaikaiset IT-palvelut edellyttävät suurten tietomäärien käsittelyä toimiakseen tehokkaasti. Käsiteltyjen tietojen tyyppi riippuu tietystä tuotteesta tai palvelusta. Maailmanlaajuisena johtajana kybersuojauksessa Kaspersky saattaa käsitellä erilaisia kybersuojaukseen liittyviä tietoja ja tilastoja. Kyberuhkiin liittyvä data sisältää epäilyttäviä ja haitallisia tiedostoja sekä tilastotietoja, joiden avulla voidaan tunnistaa sekä tunnetut tietoturvauhkat että uudet haittaohjelmat ja hyökkäysmenetelmät. Nämä tilastotiedot ovat niin sanottuja metatietoja eli täydentäviä teknisiä tietoja käyttäjän laitteen tapahtumista, joita tuotteemme saattavat lähettää riippuen useista tekijöistä. Näitä tekijöitä ovat esimerkiksi käyttäjän toiminnot, Kaspersky-tuotteen asetukset, sen käyttöjärjestelmän kokoonpano, johon Kaspersky-tuote on asennettu, sekä muut järjestelmään asennetut ohjelmistot. Tiedot käsiteltävistä tiedoista ovat Loppukäyttäjän käyttöoikeussopimuksessa (EULA), Kaspersky Security Network (KSN) -lausunnossa ja muissa asiakirjoissa, jotka vaihtelevat tuotteen mukaan.

Miten Kaspersky suojaa käyttäjätietoja?

Käyttäjätietojen suojaus ja turvallisuus on Kasperskylle ensisijaisen tärkeää. Sovellamme monitahoista lähestymistapaa mahdollisten riskien torjumiseksi. Kasperskyllä on käytössään vakiintunut tietoturvan hallintakäytäntö, jonka toimeenpanosta vastaa erillinen tietoturvaosasto. Osaston tehtävänä on toteuttaa yhtiön tietoturvakäytäntöä ja -strategiaa, valvoa tietoturvan suorituskykyä sekä arvioida tietoturvaprosessien tehokkuutta.

Käyttäjätiedot suojataan nykyaikaisilla suojausalgoritmeilla. Kaspersky varmistaa verkon turvallisuuden ja valvoo käyttölupia, jotta asiaton pääsy käyttäjätietoihin voidaan estää. Tämän lisäksi datainfrastruktuurimme on tehokkaasti suojattu fyysisillä valvonta- ja hälytysjärjestelmillä. Kasperskyn verkkojen ja järjestelmien kokonaisvaltainen tietoturva perustuu muun muassa jatkuvaan resurssienhallintaan, kokonaisvaltaiseen riskien ja haavoittuvuuksien hallintaprosessiin, säännöllisiin vaatimustenmukaisuustarkistuksiin ja jatkuvaan henkilöstön koulutukseen. Lisätietoja keinoista, joilla suojaamme yksityisyyttäsi ja tietojasi on Kasperskyn tuotteiden ja palveluiden tietosuojakäytännössä.

Miten Kaspersky muuttaa käsittelemänsä tiedot nimettömiksi?

Kaspersky suhtautuu käyttäjien yksityisyyteen erittäin vakavasti. Muutamme käsitellyt tiedot nimettömiksi käyttämällä seuraavia menetelmiä:

  • Monitahoinen lähestymistapa, joka parantaa suojausta ja pienentää uudelleentunnistamisen riskejä: perustuu tekniikoiden yhdistelemiseen, esim. yleistämiseen, satunnaistamiseen ja differentiaaliseen tietosuojaan
  • Kaikkien suorien tunnistetietojen (nimet, tunnusnumerot) poistaminen käsiteltävistä tiedoista (esim. URL-osoitteista ja tiedostoista)
  • Tietojen analysointi nimettöminä ja koostettuina tilastotietoina, joita ei yhdistetä tiettyihin henkilöihin
  • Jotta nimettömiä tietoja ei voi yhdistää muihin datajoukkoihin, jotka voisivat mahdollistaa henkilöiden uudelleentunnistamisen, tiedot tallennetaan erillisille palvelimille tiukkoja käyttöoikeuskäytäntöjä noudattaen
  • Mahdollisen uhkadatan käsitteleminen hajautussummien eli yksilöllisen tiedostotunnisteen tuottavien yksisuuntaisten matemaattisten funktioiden avulla
  • Tietojen anonymisointiprosessin dokumentointi ja säännöllinen auditointi

Missä Kaspersky säilyttää tietoja?

Kaspersky on maailmanlaajuinen yhtiö, ja datankäsittelyinfrastruktuurimme on hajautettu ympäri maailmaa (esim. Sveitsiin, Saksaan, Venäjälle ja Kanadaan), mikä nopeuttaa tietojenkäsittelyä ja takaa palvelimien käytettävyyden mahdollisissa vikatilanteissa. Yksityiskohtainen luettelo maista, joissa henkilötietoja saatetaan käsitellä, löytyy Kasperskyn virallisista käytännöistä, kuten tuotteita ja palveluita koskevasta tietosuojakäytännöstä.

Maailmanlaajuisen läpinäkyvyysaloitteemme (Global Transparency Initiative, GTI) osana Kaspersky on siirtänyt osan datankäsittelyinfrastruktuuristaan eri paikkaan. Haitalliset ja epäilyttävät tiedostot, joita Kaspersky-tuotteiden käyttäjät Euroopassa, Pohjois-Amerikassa ja Latinalaisessa Amerikassa, Lähi-idässä ja useissa Aasian ja Tyynenmeren alueen maissa ovat vapaaehtoisesti jakaneet, käsitellään kahdessa datakeskuksessa Zürichissä, Sveitsissä. Nämä keskukset ovat huippulaadukkaita tiloja, jotka noudattavat johtavia turvallisuusstandardeja. Lisäksi Sveitsi on yksi harvoista maista, joilla on EU:n riittävyyspäätös, mikä tarkoittaa, että Euroopan komissio on tunnustanut maan tarjoavan riittävän suojan henkilötiedoille.

Mikä Kaspersky Security Network on?

Kaspersky Security Network (KSN) on yksi Kasperskyn pääasiallisista pilvijärjestelmistä, jonka tarkoituksena on uusien ja tuntemattomien kyberuhkien tunnistamisen maksimoiminen ja sen myötä käyttäjien nopeimman ja tehokkaimman suojauksen varmistaminen. KSN käsittelee automaattisesti kyberuhkiin liittyvät tiedot, jotka saadaan miljoonista Kasperskyn käyttäjien omistamista laitteista käyttäjiltä, jotka ovat päättäneet vapaaehtoisesti ottaa järjestelmän käyttöön. Tämä pilvipohjainen lähestymistapa on nyt alan standardi, jota käyttävät monet globaalit kyberturvallisuustuotteiden valmistajat.

Mikä on ”pilvipohjainen järjestelmä”?

Se on järjestelmä, joka toimii yrityksen palvelimissa yksittäisten laitteiden sijaan ja jota voi käyttää internetin kautta eri puolilta maailmaa. Esimerkkejä pilvijärjestelmistä ovat sähköposti, tiedostojen jakaminen ja tiedostojen isännöinti. Kaspersky Security Networkin palvelut sijaitsevat eri maissa ympäri maailmaa (Kanada, Saksa, Sveitsi, Venäjä jne.), mikä mahdollistaa nopeamman tiedonkäsittelyn ja takaa palvelimien saatavuuden, jos jokin niistä vikaantuu.

Mikä pilvipohjaisen suojauksen käyttötarkoitus on?

Kaspersky pitää kaikkein tehokkaimpana suojauskeinona hybridisuojausmallia, jossa yhdistyvät virustorjuntatietokannat, ennakoiva suojaus ja pilviominaisuudet.

Suojaukseen käytetyn pilvipalvelun tehokkuuden ansiosta voimme analysoida kyberuhat entistä nopeammin ja tarkemmin. Perinteisen virustorjunnan ja tietojenkalastelun tietokannan päivityskierros vie yleensä useita tunteja, mutta pilvipalvelu voi tarjota käyttäjille suojauksen uudelta uhalta jo muutamassa minuutissa.

Pilvipalvelun käyttäminen voi myös tehdä suojaustuotteesta ”kevyemmän”, koska se tarvitsee vähemmän muistia ja resursseja käyttäjän laitteella.

Voiko tietojenkäsittelyä rajoittaa?

Asiakkaamme voivat valita, haluavatko he toimittaa tietoja ja kuinka paljon, perustuen siihen, mitä tuotteen tai palvelun toimintoja he haluavat käyttää, sekä hyväksymiinsä sopimuksiin. Kaspersky tarjoaa aina tietoa tietojenkäsittelystä. Erityisesti toimitamme täydellisen luettelon käsiteltävistä tiedoista, jotta asiakkaat voivat tehdä tietoon perustuvia harkittuja päätöksiä. Kaspersky julkaisee myös säännöllisesti omassa läpinäkyvyysraportissaan tietoa siitä, kuinka monta tietopyyntöä käyttäjiltämme on vastaanotettu ja käsitelty. Uusin raportti on saatavilla täältä.

Joissakin yritystuotteissa asiakkaamme voivat määrittää ratkaisunsa niin, ettei tietoja jaeta lainkaan, ja he voivat myös käyttää oikeuttaan tutkia käsiteltyjä henkilötietojansa ottamalla meihin suoraan yhteyttä osoitteessa https://support.kaspersky.com/general/privacy.

Luovutetaanko Kasperskyn ratkaisuissa käsiteltäviä henkilötietoja kolmansille osapuolille?

Emme koskaan luovuta millekään kolmannelle osapuolelle tai viranomaisorganisaatiolle pääsyä yrityksen infrastruktuuriin, mukaan lukien käyttäjätietoinfrastruktuuri.

Kaspersky voi jakaa tietoja toimittajiensa kanssa heidän kanssaan tehtyjen tietojenkäsittelysopimusten kautta. Kun valitsemme tällaisia toimittajia, valvomme tarkasti lakisääteisten vaatimusten noudattamista ja omia lähestymistapojamme tietojenkäsittelyyn. Nämä toimittajat tarjoavat meille esimerkiksi pilvitallennustilaa ja muita asiaankuuluvia palveluja.

Kaspersky tekee yhteistyötä myös kansainvälisten lainvalvontaviranomaisten kanssa ja jakaa niille tietoja, joita tarvitaan kyberrikosten tutkintaan.  Yhtiö on ollut avoin näistä yhteyksistä ja julkaissut läpinäkyvyysraporteissaan tietoja käyttäjien tietoihin ja tekniseen asiantuntemukseen liittyvistä lainvalvontaviranomaisten pyynnöistä.

Nämä raportit esittelevät myös yhtiön perusperiaatteet, joiden mukaisesti käsittelemme globaalien hallitusten ja lainvalvontaviranomaisten pyyntöjä, sekä kuvaavat monivaiheista menettelytapaamme jokaisen vastaanotetun pyynnön arvioimisessa.  Näin ollen kaikki saapuvat käyttäjien tietoja koskevat pyynnöt käyvät läpi pakollisen oikeudellisen tarkistuksen, jonka aikana varmistamme, että pyynnöt ovat oikeudellisesti perusteltuja, annettuja sovellettavien lakien mukaisesti ja toteutettavissa tavalla, joka ei vaaranna Kasperskyn käyttäjien turvallisuutta tai yksityisyyttä. 

Ovatko Kasperskyn tietojenkäsittelymenetelmät sertifioituja?

Jotta varmasti tarjoamme parhaan mahdollisen suojauksen käyttäjillemme, Kasperskyn datapalveluissa suoritetaan säännöllisesti kolmannen osapuolen turvallisuusauditointeja ja arviointeja. Kasperskyn datapalveluille on myönnetty ISO 27001 -sertifikaatti sekä uudelleensertifiointi vuonna 2022laajennetulla toiminta-alueella, jonka myötä kyberuhkiin liittyvän tiedon ja tilastojen käsittely kuuluu sertifioinnin piiriin. Sertifiointi on voimassa yhtiön datapalveluille, jotka sijaitsevat datakeskuksissa Zürichissä, Frankfurtissa, Torontossa, Moskovassa ja Pekingissä. ISO/IEC 27001:2013 -standardin vaatimustenmukaisuus on Kasperskyn lähestymistavan ydin tietoturvan toteuttamisessa ja hallinnassa. Tämä standardi on kansainvälisesti tunnustettu alan parhaaksi käytännöksi ja sovellettavaksi turvallisuusstandardiksi. Tämä kolmannen osapuolen akkreditoidun sertifiointielimen myöntämä sertifikaatti osoittaa sitoutumisemme vahvaan tietoturvaan ja siihen, että Kasperskyn datapalvelut ovat aina alan johtavien parhaiden käytäntöjen mukaisia. Uudelleensertifioinnin loppuraportti toimitetaan yritysasiakkaillemme ja kumppaneillemme pyynnöstä.