卡巴斯基处理数据的方法
卡巴斯基处理用户数据的方法基于对用户隐私的尊重和保护,以及对保持透明和承担责任的承诺。
我们公司处理数据主要是为了向客户提供最优质的网络安全解决方案。为实现这一目标,我们在处理数据时通常会考虑以下三个主要目的:(a) 支持关键产品功能,(b) 提高保护组件的性能和效果,以及 (c) 为客户提供更完善、更合适的解决方案以及适当的内容。欲了解更多信息,请参阅我们的产品和服务隐私政策。
用户发送给卡巴斯基的数据不会识别出特定个人或组织,并且会尽可能匿名化。具体做法包括从传输的 URL 中删除帐户详细信息、获取威胁的哈希值总和而非确切的文件、隐藏用户 IP 地址等。
卡巴斯基产品的用户可以根据他们想要使用的产品或服务的功能以及接受的相应协议,选择是否想要提供数据以及提供多少数据。
卡巴斯基始终提供有关数据处理的信息,特别是将要进行处理的数据的完整列表,以确保客户能够做出明智的决定。我们每隔六个月会发布一份透明度报告,公布我们从用户那里收到和处理了多少数据请求。
所有进行处理和/或传输的数据都通过加密、数字证书、隔离存储、严格的数据访问策略和其他方式得到可靠保护。我们公司还应用安全软件开发框架 (SSDF) 并实施供应链风险管控措施,以确保用于数据处理的基础设施和系统的安全。
卡巴斯基不断审查由其解决方案处理的数据类型,以保护客户的隐私并符合最新法律要求,如欧洲的《通用数据保护条例》(GDPR)。
你们是否处理个人数据?
根据某些法律框架(如 GDPR),卡巴斯基处理的信息可能包含个人数据或可识别个人身份的数据。卡巴斯基从不处理“敏感”的个人数据,例如宗教信仰、政治观点、性取向、健康状况或其他特殊类别的个人数据。
卡巴斯基始终提供有关数据处理的信息,尤其是将要进行处理的数据的完整列表,以确保客户了解情况并做出明智的决定。所处理数据的详细信息载于最终用户许可协议 (EULA)、卡巴斯基安全网络 (KSN) 声明和其他协议,这些文档因产品而异。我们以汇总统计数据的形式使用用户发送给卡巴斯基的数据,这些数据不会识别出特定个人,并且会尽可能匿名化。
哪些数据会被处理?
卡巴斯基可能会处理与网络威胁有关的数据和统计信息。与网络威胁有关的数据包括可疑文件和恶意文件以及所谓的统计数据。统计数据代表元信息,即关于客户机器上所发生事件的补充性技术信息,我们的产品可能会基于各种因素发送这些信息:例如用户活动、卡巴斯基产品设置、安装卡巴斯基产品的操作系统的配置以及系统上安装的其他软件。所处理的所有数据的详细信息载于最终用户许可协议 (EULA)、卡巴斯基安全网络 (KSN) 声明和其他文档,这些文档因产品而异。
你们如何保护用户数据?
我们始终致力于保护客户的数据。为此,我们采用一流的技术作为后盾。卡巴斯基采取的安全措施和流程包括:
- 安全开发生命周期 — 旨在确保解决方案的安全开发并尽快修复所有潜在漏洞;
- 利用强加密来保护在用户设备和云端之间交换的数据流;
- 对 Kaspersky Password Manager 和 Kaspersky Safe Kids 等服务中的用户信息进行加密。用户有一个主密钥,这意味着除了用户本人之外,其他人均无法访问其信息;
- 数字证书,用于确保合法且安全的服务器认证和产品更新;
- 隔离存储,意味着不同的数据存储在不同的服务器上,对访问权限进行限制,并有严格的数据访问策略;
- 尽可能通过各种方法对数据进行匿名化处理,例如从传输的 URL 中删除帐户详细信息、获取威胁的哈希值总和而非确切的文件、隐藏用户 IP 地址等。
你们如何匿名化处理收集的数据?
卡巴斯基高度重视用户的隐私。公司实施以下措施对获得的数据进行匿名化处理:
- 信息以汇总或匿名统计数据的形式进行分析,并且不会识别出特定个人;
- 即使用户在最初使用浏览器时会输入登录名和密码,这些信息也会从传输的 URL 中过滤掉;
- 在处理可能存在威胁的数据时,我们会得到哈希值总和,这是提供唯一文件标识符的单向数学函数;
- 我们会尽可能将收到的数据中的 IP 地址和设备信息作隐藏处理;
- 数据存储在具有严格访问权限策略的不同服务器上,并且用户与云端之间传输的所有信息都被安全地加密。
卡巴斯基将数据存储在哪里?
卡巴斯基是一家全球性企业,其数据处理基础设施分布在世界各地(例如瑞士、德国、俄罗斯、加拿大等地),可以更快地处理信息并在其中一个设施因任何原因出现故障时保证服务器的可用性。欲查看可对用户提供的个人数据进行处理的国家/地区的详细列表,请访问:https://www.kaspersky.com/products-and-services-privacy-policy。
作为我们的 “全球透明度倡议”(GTI) 的一部分,卡巴斯基迁移了部分数据处理基础设施:在欧洲、北美和拉丁美洲、中东以及亚太地区的多个国家/地区,卡巴斯基产品用户自愿分享的恶意和可疑文件会在瑞士苏黎世的两个数据中心进行处理。这两个数据中心提供符合领先安全标准的世界级设施。此外,瑞士是少数几个取得欧盟“充分性认定”的国家/地区之一,即瑞士被欧盟委员会认定为可提供充分的个人数据保护。
什么是卡巴斯基安全网络?
卡巴斯基安全网络 (KSN) 是卡巴斯基的主要云系统之一,旨在最大限度地提高发现新型和未知网络威胁的效率,从而确保为用户提供最快、最有效的保护。卡巴斯基用户选择使用该系统后,KSN 会对从他们的数百万台设备处接收到的网络威胁相关数据进行自动处理。这种基于云的系统方法现在已成为全球众多网络安全供应商实施的行业标准。
什么是基于‘云’的系统?
这是在公司服务器上而不是各个设备上运行的一个系统,全球任何地方都可以通过互联网使用这一系统。举例来说,云系统包括电子邮件、文件共享和文件托管系统。卡巴斯基安全网络的服务设施遍布全球不同国家/地区(加拿大、德国、瑞士、俄罗斯等),可以更快地处理信息并在其中任何一个设施出现故障时保证服务器的可用性。
云保护的目的是什么?
大多数网络安全供应商借助云服务来提高保护水平,而混合保护模式(反病毒数据库 + 主动防御 + 云)是最有效的。
借助高性能的安全云服务,我们能够更快、更准确地分析网络威胁。传统的反病毒和反钓鱼数据库更新周期通常需要数小时,而云服务能让用户在数分钟内做好新威胁防范。
云服务还能让安全产品“瘦身”,使其不会占用用户设备上过多的内存和资源。
可以对数据处理进行限制吗?
我们的客户可以根据他们想要使用的产品或服务的功能以及接受的相应协议,选择是否要提供数据以及要提供多少数据。卡巴斯基始终提供有关数据处理的信息,特别是将要进行处理的数据的完整列表,以确保客户能够做出明智的决定。此外,卡巴斯基会定期发布透明度报告,公开披露我们从用户那里收到和处理了多少数据请求。欲查看最新报告,请点击此处。
我们的客户可以将解决方案配置成完全不共享任何数据,并且可以登录 https://support.kaspersky.com/general/privacy 与我们直接联系,行使正当权利,访问自己的已处理个人数据。
你们是否与第三方共享卡巴斯基解决方案处理的个人数据?
我们从不向任何第三方或任何政府组织提供对公司基础设施(包括用户数据基础设施)的访问权限。
卡巴斯基可能会依据与供应商签订的数据处理协议,与供应商共享数据。这类供应商(包括 Amazon Cloud 和 Microsoft Azure)会提供相应的服务。
你们的数据处理方法通过认证了吗?
为确认公司为用户提供最高安全保障,卡巴斯基的数据服务会定期接受第三方安全审计和评估。特别是,公司的数据服务已通过 ISO 27001 认证,并于 2022 年进行了重认证,由此扩大了认证范围,涵盖了处理网络威胁相关数据和统计数据的数据服务。该认证适用于公司在苏黎世、法兰克福、多伦多、莫斯科和北京的数据中心提供的数据服务。符合 ISO/IEC 27001:2013(国际公认的行业最佳实践和适用的安全标准),这是卡巴斯基实施和管理信息安全的核心方法。该认证由第三方认可的认证机构授予,展现了我们一直致力于最大程度地保障信息安全,同时也证明了卡巴斯基的数据服务符合行业领先的最佳实践。我们会根据客户和合作伙伴的要求提供重认证的最终报告。