Siirry pääsisältöön

Kasperskyn lähestymistapa tietojen käsittelyyn

Kasperskyn lähestymistapa käyttäjätietojen käsittelyyn perustuu ihmisten yksityisyyden kunnioittamiseen ja suojaamiseen sekä sitoutumiseen avoimuuteen ja vastuullisuuteen.

Yrityksemme tietojen käsittelyn päätavoitteena on tarjota asiakkaillemme parhaat kyberturvallisuusratkaisut. Tämän tavoitteen saavuttamiseksi käsittelemme tietoja yleensä kolmea pääasiallista tarkoitusta silmällä pitäen: a) tuotteen keskeisten toimintojen tukeminen, b) suojauskomponenttien suorituskyvyn ja tehokkuuden parantaminen ja c) parempien ja sopivampien ratkaisujen sekä asianmukaisen sisällön tarjoaminen asiakkaille. Lisätietoja löytyy tuotteiden ja palveluiden tietosuojakäytännöstämme.

Mitään käyttäjien Kasperskylle lähettämiä tietoja ei yhdistetä tiettyyn henkilöön tai organisaatioon, ja tiedot muutetaan mahdollisuuksien mukaan nimettömiksi. Tähän pyritään muun muassa poistamalla tilitiedot lähetetyistä URL-osoitteista, hankkimalla uhkien tarkistussummat varsinaisten tiedostojen sijaan, piilottamalla käyttäjien IP-osoitteet jne.

Kaspersky-tuotteiden käyttäjät voivat valita, haluavatko he luovuttaa tietoja ja kuinka paljon he haluavat niitä luovuttaa, sen mukaan, mitä tuotteen tai palvelun toiminnallisuutta he haluavat käyttää ja mitä sopimuksia he ovat hyväksyneet.

Kaspersky antaa aina tietoja tietojen käsittelystä − erityisesti täydellisen luettelon käsiteltävistä tiedoista, jotta asiakkaat voivat tehdä tietoon perustuvia päätöksiä. Kerromme läpinäkyvyysraportissamme puolivuosittain julkisesti, kuinka monta käyttäjiemme tietopyyntöä olemme saaneet ja käsitelleet.

Kaikki käsitellyt ja/tai siirretyt tiedot suojataan vahvasti salauksella, digitaalisilla varmenteilla, erillisellä säilytyksellä, tiukoilla tietojen käyttöoikeuskäytännöillä ja muilla menetelmillä. Yritys soveltaa myös turvallisen ohjelmistokehityksen kehystä (SSDF) ja toteuttaa toimitusketjun riskienhallinnan valvontatoimia turvatakseen infrastruktuurinsa ja tietojenkäsittelyjärjestelmänsä.

Kaspersky tarkistaa jatkuvasti ratkaisuissaan käsiteltyjen tietojen tyyppejä, jotta se voi suojata asiakkaidensa yksityisyyttä ja noudattaa uusimpia oikeudellisia vaatimuksia, kuten EU:n yleistä tietosuoja-asetusta.




Käsittelettekö henkilötietoja?

Joidenkin oikeudellisten puitteiden (kuten yleisen tietosuoja-asetuksen) osalta Kasperskyn käsittelemät tiedot saattavat sisältää tietoja, joita voidaan pitää henkilötietoina tai tunnistettavissa olevina henkilötietoina. Kaspersky ei koskaan käsittele ”arkaluonteisia” henkilötietoja, kuten uskontoa, poliittisia näkemyksiä, seksuaalista suuntautumista tai terveyttä koskevia tietoja eikä muita henkilötietojen erityiskategorioita.

Kaspersky antaa aina tietoja tietojen käsittelystä − erityisesti täydellisen luettelon käsiteltävistä tiedoista varmistaakseen, että asiakkaat pysyvät ajan tasalla ja voivat tehdä tietoon perustuvia päätöksiä. Tiedot käsiteltävistä tiedoista ovat Loppukäyttäjän käyttöoikeussopimuksessa (EULA), Kaspersky Security Network (KSN) -sopimuksessa ja muissa sopimuksissa, jotka vaihtelevat tuotteen mukaan. Käyttäjien Kasperskylle lähettämiä tietoja käytetään koottujen tilastojen muodossa, eikä niitä voida yhdistää tiettyyn henkilöön, vaan ne anonymisoidaan aina kun mahdollista.

Mitä tietoja käsitellään?

Kaspersky voi käsitellä kyberuhkiin liittyviä tietoja ja tilastoja. Kyberuhkiin liittyvät tiedot sisältävät epäilyttäviä ja haitallisia tiedostoja sekä niin sanottuja tilastoja. Tilastot tarkoittavat metatietoja − täydentäviä teknisiä tietoja asiakkaan koneella tapahtuneista tapahtumista, joita tuotteemme saattavat lähettää eri tekijöistä riippuen. Ne ovat tietoja esimerkiksi käyttäjän toiminnoista, Kaspersky-tuotteen asetuksista, sen käyttöjärjestelmän kokoonpanosta, johon Kaspersky-tuote on asennettu, ja muista järjestelmään asennetuista ohjelmistoista. Tiedot kaikista käsiteltävistä tiedoista ovat Loppukäyttäjän käyttöoikeussopimuksessa (EULA), Kaspersky Security Network (KSN) -sopimuksessa ja muissa sopimuksissa, jotka vaihtelevat tuotteen mukaan.

Miten suojaatte käyttäjätietoja?

Olemme sitoutuneet suojaamaan asiakkaidemme tietoja kaikkina aikoina. Käytämme tähän alan parhaita tekniikoita. Kasperskyn käyttämiä suojausmenetelmiä ja -prosesseja ovat muun muassa seuraavat:

  • Suojausratkaisujen kehityksen elinkaari – tavoitteena ratkaisujen turvallinen kehittäminen ja kaikkien haavoittuvuuksien mahdollisimman nopea korjaaminen.
  • Vahva salaus, jolla suojataan käyttäjien laitteiden ja pilvipalvelun väliset tietovirrat.
  • Kaspersky Password Manager- ja Kaspersky Safe Kids -palvelujen käyttäjätietojen salaus. Käyttäjillä on pääavain, mikä tarkoittaa, että kenelläkään muulla kuin kyseisellä käyttäjällä ei ole pääsyä hänen tietoihinsa.
  • Digitaaliset varmenteet, joilla varmistetaan laillinen ja suojattu palvelimen todennus ja tuotepäivitykset.
  • Erillinen säilytys, mikä tarkoittaa, että erilaisia tietoja säilytetään eri palvelimissa, joissa on rajoitetut käyttöoikeudet ja tiukat tietojen käyttöoikeuskäytännöt.
  • Tiedot muutetaan nimettömiksi eri menetelmin, kuten poistamalla tilitiedot lähetetyistä URL-osoitteista, hankkimalla uhkien tarkistussummat varsinaisten tiedostojen sijaan, piilottamalla käyttäjien IP-osoitteet jne.

Miten muutatte käsittelemänne tiedot nimettömiksi?

Kaspersky suhtautuu käyttäjien yksityisyyteen erittäin vakavasti. Yritys muuttaa saadut tiedot nimettömiksi käyttämällä seuraavia menetelmiä:

  • Tiedot analysoidaan koostettuina tai anonymisoituina tilastotietoina, eikä niitä yhdistetä tiettyihin henkilöihin.
  • Käyttäjätunnukset ja salasanat suodatetaan pois lähetetyistä URL-osoitteista, vaikka ne olisikin mainittu käyttäjän alkuperäisessä selainpyynnössä.
  • Käsitellessämme mahdollisia uhkatietoja saamme tarkistussumman, joka on yksisuuntainen matemaattinen funktio, joka antaa yksilöivän tiedostotunnisteen.
  • Jos mahdollista, piilotamme IP-osoitteet ja laitteiden tiedot vastaanotetuista tiedoista.
  • Tietoja säilytetään erillisissä palvelimissa, joissa on tiukat käyttöoikeussäännöt, ja kaikki käyttäjän ja pilvipalvelun välillä siirrettävät tiedot salataan.

 

Missä Kaspersky säilyttää tietoja?

Kaspersky on maailmanlaajuinen yritys, ja tietojenkäsittelyinfrastruktuurimme on hajautettu eri puolille maailmaa (esimerkiksi Sveitsiin, Saksaan, Venäjälle, Kanadaan jne.), mikä mahdollistaa nopeamman tietojenkäsittelyn ja takaa palvelinten käytettävyyden, jos yksi niistä jostain syystä pettää. Yksityiskohtainen luettelo maista, joissa luovutettuja henkilötietoja voidaan käsitellä, on täällä: https://www.kaspersky.com/products-and-services-privacy-policy.

Osana yrityksen Global Transparency Initiative (GTI) -hanketta Kaspersky siirsi osan tietojenkäsittelyinfrastruktuuristaan: Kaspersky-tuotteiden käyttäjien Euroopassa, Pohjois- ja Latinalaisessa Amerikassa, Lähi-idässä ja useissa Aasian ja Tyynenmeren alueen maissa vapaaehtoisesti jakamia haitallisia ja epäilyttäviä tiedostoja käsitellään kahdessa tietokeskuksessa Zürichissä, Sveitsissä. Nämä keskukset tarjoavat maailmanluokan tilat johtavien turvallisuusstandardien mukaisesti. Lisäksi Sveitsi on niiden harvojen maiden joukossa, jotka ovat solmineet EU:n kanssa tietosuojan riittävyyttä koskevan päätöksen, mikä tarkoittaa, että Euroopan komissio on tunnustanut sen tarjoavan riittävän henkilötietojen suojan.

Mikä Kaspersky Security Network on?

Kaspersky Security Network (KSN) on yksi Kasperskyn pääasiallisista pilvijärjestelmistä, jonka tarkoituksena on uusien ja tuntemattomien kyberuhkien tunnistamisen maksimoiminen ja sen myötä käyttäjien nopeimman ja tehokkaimman suojauksen varmistaminen. KSN käsittelee automaattisesti kyberuhkiin liittyvät tiedot, jotka saadaan miljoonista Kasperskyn käyttäjien omistamista laitteista käyttäjiltä, jotka käyttävät järjestelmää vapaaehtoisesti. Tämä pilvipohjainen lähestymistapa on nyt alan standardi, jota käyttävät monet globaalit kyberturvallisuusratkaisujen valmistajat.

Mikä ”pilvipohjainen järjestelmä” on?

Se on järjestelmä, joka toimii yrityksen palvelimissa yksittäisten laitteiden sijaan, ja jota voi käyttää internetin kautta eri puolilta maailmaa. Esimerkkejä pilvijärjestelmistä ovat sähköposti, tiedostojen jakaminen ja tiedostojen isännöinti. Kaspersky Security Networkin palvelut sijaitsevat eri maissa eri puolilla maailmaa (Kanadassa, Saksassa, Sveitsissä, Venäjällä jne.), mikä mahdollistaa nopeamman tietojenkäsittelyn ja takaa palvelimen käytettävyyden, jos jokin niistä ei toimi.

Mikä pilvipohjaisen suojauksen käyttötarkoitus on?

Monet kyberturvallisuusratkaisujen valmistajat käyttävät pilvipalveluja suojaustasojen parantamiseen, ja hybridisuojausmalli (virustorjuntatietokannat + ennakoiva suojaus+ pilvi) on tässä kaikkein tehokkain.

Suojaukseen käytetyn pilvipalvelun tehokkuuden ansiosta voimme analysoida kyberuhat entistä nopeammin ja tarkemmin. Kun perinteisen virustorjunnan ja verkkourkinnan eston tietokannan päivityskierros vie yleensä useita tunteja, pilvipalvelu voi tarjota käyttäjille suojauksen uudelta uhalta minuuttien sisällä.

Pilvipalvelun käyttäminen voi myös tehdä suojaustuotteesta ”kevyemmän”, koska se käyttää vähemmän muistia ja resursseja käyttäjän laitteella.

Voiko tietojenkäsittelyä rajoittaa?

Asiakkaamme voivat valita, haluavatko he antaa tietoja ja kuinka paljon tietoja he haluavat antaa, sen tuotteen tai palvelun toiminnallisuuden perusteella, jota he haluavat käyttää, sekä kulloinkin hyväksyttyjen sopimusten perusteella. Kaspersky antaa aina tietoja tietojen käsittelystä − erityisesti täydellisen luettelon käsiteltävistä tiedoista, jotta asiakkaat voivat tehdä tietoon perustuvia päätöksiä. Lisäksi Kaspersky julkistaa säännöllisesti läpinäkyvyysraportissaan tiedot siitä, kuinka monta tietopyyntöä käyttäjiltä on saatu ja käsitelty. Viimeisin raportti on saatavilla täällä.

Asiakkaamme voivat konfiguroida ratkaisunsa siten, että tietoja ei jaeta lainkaan, sekä käyttää oikeuttaan saada käsiteltyjä henkilötietojaan ottamalla meihin suoraan yhteyttä osoitteessa https://support.kaspersky.com/general/privacy.

Luovutatteko Kasperskyn ratkaisuissa käsiteltyjä henkilötietoja kolmansille osapuolille?

Emme koskaan luovuta millekään kolmannelle osapuolelle tai viranomaisorganisaatiolle pääsyä yrityksen infrastruktuuriin, mukaan lukien käyttäjätietoinfrastruktuuri.

Kaspersky voi jakaa tietoja toimittajilleen näiden kanssa tehtyjen tietojenkäsittelysopimusten perusteella. Tällaisia toimittajia ovat muun muassa Amazonin pilvipalvelut ja Microsoft Azure ym.

Oletteko sertifioineet tietojenkäsittelymenetelmänne?

Varmistaaksemme, että yritys soveltaa käyttäjiimme korkeinta mahdollista tietoturvaa, Kasperskyn tietopalvelut läpäisevät säännöllisesti kolmansien osapuolten suorittamat tietoturva-auditoinnit ja -arvioinnit. Erityisesti yrityksen tietopalvelut on sertifioitu ISO 27001 -standardin mukaisesti ja 2022 med utvidet omfang, joten sertifiointi kattaa sekä kyberuhkiin liittyvien tietojen että tilastojen käsittelyyn liittyvät tietopalvelut. Sertifikaatti koskee yhtiön datapalveluja, jotka sijaitsevat Zürichin, Frankfurtin, Toronton, Moskovan ja Pekingin datakeskuksissa. Yhdenmukaisuus ISO/IEC 27001:2013 -standardin kanssa – joka on kansainvälisesti tunnustettu alan parhaaksi käytännöksi ja sovellettavaksi turvallisuusstandardiksi – on keskeinen osa Kasperskyn lähestymistapaa tietoturvan toteuttamiseen ja hallintaan. Kolmannen osapuolen akkreditoiman sertifiointilaitoksen myöntämä sertifikaatti osoittaa, että olemme sitoutuneet vahvaan tietoturvaan ja että Kasperskyn tietopalvelu on alan johtavien parhaiden käytäntöjen mukainen. Uudelleensertifioinnin loppuraportti toimitetaan asiakkaillemme ja kumppaneillemme pyynnöstä.