为了重申其对客户数据安全和软件开发最高标准的承诺,卡巴斯基成功通过了针对服务组织的服务组织控制(SOC 2) Type II审计。此次评估对卡巴斯基反病毒软件数据库开发和发布流程的安全性以及防止未经授权更改的保护措施进行了评估。
卡巴斯基通过定期的第三方评估,包括自2019年以来进行的SOC 2审计,来持续确保其解决方案的完整性。服务组织控制(SOC)框架是由美国注册会计师协会(AICPA)制定的国际网络安全风险管理系统的报告标准。它基于五个基本原则评估安全控制流程:安全性、可用性、流程完整性、保密性和隐私性。
公司首次完成的SOC 2审计涵盖了一整年的时间段——从2023年8月至2024年7月,而之前的评估只覆盖3到6个月的时间。评估由独立的服务审计师进行,根据安全性和可用性的标准,审核了卡巴斯基针对Windows和Unix操作系统开发和实施反病毒数据库的流程,包括以下几个方面:
· 卡巴斯基反病毒数据库的开发和编译服务,用于源代码的开发和编译;
· 卡巴斯基反病毒数据库的代码存储和审查系统,用于源代码的存储和审查过程;
· 卡巴斯基反病毒数据库的测试和发布系统,用于反病毒数据库的实施;
· 卡巴斯基反病毒数据库的测试系统,用于反病毒数据库的验证;
· 支持上述流程的信息系统。
审计涉及对相关管理人员、监督人员和员工的访谈,也包括对卡巴斯基活动和运营的观察,以及对卡巴斯基文件和政策的检查。审计结果显示,卡巴斯基确保自动反病毒数据库更新的控制措施符合适用的信任服务标准,同时反病毒数据库的开发和实施过程受到保护,可防止篡改。完整的审计报告可根据要求提供。
“卡巴斯基始终致力于为客户和合作伙伴提供公司产品和服务的可靠性和完整性的可靠保证。除了实施严格的安全控制措施之外,获取外部专家意见以确认现有措施的充分性并符合行业标准对我们来说至关重要。最新的SOC 2审计再次证实我们的控制方法运行正常,反病毒数据库的开发和发布流程得到保护,可防止未经授权的更改,”卡巴斯基威胁研究负责人Alexander Liskin表示。
定期审计内部流程是卡巴斯基全球透明计划(GTI) 的关键组成部分,该计划的目标是促进与公司利益相关者的信任,同时展示卡巴斯基对透明度和问责制的承诺。除了SOC 2审计,卡巴斯基还根据ISO/IEC 27001:2013国际标准认证了其信息安全管理体系,并为公司旗舰企业产品卡巴斯基端点安全和卡巴斯基安全中心(所有企业产品的控制台)获得了通用标准认证。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
