在2017年10月,我们宣布了” 全球透明度计划“,我们希望证明,卡巴斯基实验室是全面开放的,我们没有什么可隐瞒的。除了言语号召之外,我们更希望能通过实际行动来赢得客户的信赖。
在过去的几年里,我们面临着许多错误的指控。虽然这些指控缺乏事实依据,但我们相信,证明卡巴斯基可以且值得被信任是我们的责任。我们希望客户能够基于切实可查的理由发自内心地相信我们,这就是我们的全球透明倡议的意义所在。
我们将随着项目的推进更新这篇文章。
进度更新:2020年2月13日
我们的全球透明度倡议正在持续推进。作为进程的一部分,我们获得了ISO/IEC 27001:2013认证。该认证由TÜV AUSTRIA颁发,再次认可了包括卡巴斯基安全网络在内的数据安全系统符合行业最佳标准。
为了取得该项认证,我们必须证明自己在执行、监控、维护和不断改进信息安全管理系统(ISMS)方面的标准和坚持。
评估由独立认证机构TÜV AUSTRIA进行,评估内容包括使用卡巴斯基安全网络KSN基础设施传输恶意及可疑文件的管理系统,以及安全存储和访问此类文件的分布式文件系统。我们在瑞士苏黎世、德国法兰克福、加拿大多伦多以及俄罗斯莫斯科的数据中心均在评估范围内。
用户可以在我们的网站以及TÜV AUSTRIA认证目录上公开获取该认证的相关信息。ISO 27001认证再次向我们的合作伙伴以及用户证明,我们不仅能够在防范网络威胁领域提供最好的产品和服务,在对待用户数据时也始终秉持最高的尊重与关怀。
进度更新:2019年11月13日
今天,我们宣布将于2020年1月在巴西圣保罗开设第四个透明中心。在马德里和苏黎世的欧洲透明中心及马来西亚赛城的亚太透明中心之后,这将是卡巴斯基透明中心在拉丁美洲的第一站。新中心进一步体现了卡巴斯基的承诺,保持透明,迅速彻底地解决任何安全问题。
目前正在进行数据存储和处理基础设施的迁移。在将欧洲客户的数据转移到瑞士之后,我们现在要开始转移美国和加拿大的客户数据,这些数据均由客户自愿分享,存储在基于云计算并能够自动处理网络威胁相关信息的卡巴斯基安全网络KSN之中。我们预计在2020年底前能够完成这一阶段的迁移,其他地区也将稳步加入该项目中。
作为最早签署《网络空间信任和安全巴黎倡议》的一批企业,卡巴斯基有幸在2019年巴黎和平论坛上宣布了这些举措。
透明中心的访问者将有机会了解更多有关工程和数据处理的实践,在专家的帮助下从源代码编译卡巴斯基的软件,并将其与公开可用的代码进行比较。卡巴斯基还将在该中心展示项目以及工程和数据处理方法。
进度更新:2019年8月15日
我们非常荣幸地向各位宣布,我们的第三个透明中心将在2020上半年于马来西亚赛城与大家见面。正如我们先前在马德里和苏黎世的透明中心一样,这个中心也将成为我们的合作伙伴及政府利益相关者能够信赖的设施,他们可以在这里检查我们产品的源代码。该透明中心将由马来西亚国家网络安全专家机构——马来西亚网络安全机构承办。
卡巴斯基CEO尤金·卡巴斯基在讲话中提到,我们具有开创性的全球透明倡议旨在满足合作伙伴和政府利益相关者对我们产品和技术进一步了解的需求,这次在亚太地区建立的首个透明中心也表明我们的计划正在顺利进行。
进度更新:2019年7月11日
我们的第二个透明中心于6月在马德里正式向客户和合作伙伴开放。我们计划在2020年之前在全球至少建立三个透明中心。
不仅如此,我们还成功完成了全球透明度倡议的另一重要部分,即对卡巴斯基网络安全风险管理控制的第三方服务组织控制(SOC 2类型1) 审核。四大会计事务所之一审查了我们对Windows和Unix Servers产品反病毒数据库定期自动更新的控制,并得出结论,这些数据库的开发和发布受到保护,不会发生未经授权的更改。这再次证明我们的产品是安全可靠的。根据合同条款,我们将根据客户和监管机构的要求披露报告。
除此之外,我们也在进一步开发漏洞上报奖励计划。公司现在支持Disclose.io框架,该框架为担心其发现的负面法律后果的漏洞研究人员提供安全港,我们不会对为我们产品查找漏洞的研究人员采取法律行动。你可以在此处了解更多与Disclose.io相关的内容。
进度更新:2019年4月2日
全球透明度倡议正在持续获得进展,今天我们宣布了第二个透明中心的开幕。它将落座于西班牙马德里,并提供更多有关卡巴斯基产品和技术运作的消息。除此之外,新中心还将作为一个简报中心,来访者可以在这里了解我们的产品、工程和数据处理方法。我们预计今年6月将迎来该中心的第一批访客。2020年在亚洲和北美开设透明中心的计划正在进行中。
我们数据处理基础设施的迁移也在稳步进行中。我们已经将接收基础设施迁到瑞士,并计划在第二季度末完成存储部分的迁移。我们希望在今年年底前完成对欧洲客户数据处理的全面迁移。
此外,我们还公布了对俄罗斯立法行为的自愿第三方法律评估结果以及这些法律如何适用于卡巴斯基实验室的结果。这项评估是由瑞典乌普萨拉大学(Uppsala University)国际投资与贸易法教授、俄罗斯法律体系专家卡伊·霍伯(Kaj Hober)博士进行的。主要调查结果如下:
- 联邦安全局(FSB)可能会要求卡巴斯基与之合作,但该公司没有义务这样做。
- 要求供应商协助FSB开展业务调查活动的法律,只适用于提供电子通信服务的公司,不适用于卡巴斯基。
- 要求企业在俄罗斯存储数据并向FSB提供数据和加密密钥(用于解密)的法律,只适用于电信供应商,而卡巴斯基不是电信公司。
同样重要的另一件事是,我们已经改进了我们的漏洞上报奖励计划,将卡巴斯基密码管理器、Linux版卡巴斯基端点安全以及其他一些产品列入软件审查的范围内。到目前为止,经由该计划已经发现并报告了50多个漏洞,研究人员因指出这些漏洞而获得了超过1.7万美元的奖金。
进度更新:2018年11月13日
我们的首个透明中心现在正式开放,允许授权的合作伙伴访问公司的代码审查、软件更新和威胁检测规则。
从今天开始,我们还将在苏黎世的两个世界级数据设施中处理卡巴斯基产品在欧洲的用户与我们共享的恶意和可疑文件。
正如我们所承诺的,卡巴斯基还与四大会计事务所之一签订了合同,根据SSAE 18标准,对该公司围绕威胁检测规则数据库的创建和分发的工程进行审计,以独立证实它们是否符合最高的行业安全标准。
进度更新:2018年8月29日
我们正在取得良好的进展,其中一个主要的变化是,将报告漏洞的奖励提高到100,000美元,这将有助于使我们的产品更安全可靠。同一时间,我们还启动了全球透明度倡议项目的下一阶段,设置安装将我们的用户数据处理工作转移到欧洲的必要设备。
卡巴斯基还与两家欧洲供应商Interxion和NTS签署了合同,将在2018年底前在瑞士苏黎世建立收集、处理和存储客户数据所需的新基础设施,以解决公共和私营部门利益相关者对未经授权访问客户数据的担忧。数据处理和存储的转移将从欧洲客户开始,其他国家的部分也将跟进。我们计划在2019年第四季度完成对欧洲国家用户数据的全面迁移。
为什么选择瑞士?
我们出于多角度的考虑作出了这一决定。一方面,瑞士位于欧洲的中心地带,另一方面,它不属于欧盟,这使其成为一个可以自行决定政策的独立国家。 而且,我们全球透明度计划的主要目的之一就是表明我们的独立性,那么也就没有比瑞士更好的出发点了。
此外,瑞士还以其高度创新和先进的IT环境以及对政府权威机构处理数据请求的严格规定而闻名。 因此,我们的客户数据可以说是将被存储在世界上最安全的地点之一。
全球透明度倡议进程
我们还制定了全球透明度倡议的其他内容。
我们正计划在瑞士开设第一个信息透明中心。 该项目目前还在建设中,一旦我们准备开始在苏黎世数据中心中处理数据(预计今年晚些时候),该中心将被正式启用。
最新进度:瑞士苏黎世以及西班牙马德里的透明中心已经正式启用,我们接下来还将在马来西亚赛城以及巴西圣保罗建立两个新的中心。
我们决定对其他国家和地区用于处理客户数据的设施同样进行位置迁移。 这是一个非常复杂的过程,因此为了最大程度地减少这一过程可能对用户造成的不便,我们决定继续采用逐量增加的方式。 我们会在完成对欧洲用户数据处理设施的重新安置后,再去迁移其他地区的用户数据。
最新进度:数据迁移已经开始,欧洲用户的部分将在2019完成,我们将逐步开始迁移美国及加拿大客户的数据。
第三方代码和流程审核也将在迁移后进行,我们正在寻找合适的合作伙伴。
最新进度:四大会计事务所之一完成了针对使用SOC 2 类型1报告框架的审查。
全球透明度计划的另一目标是将软件和威胁检测规则数据库的组装过程移至瑞士。 但在此之前,解决用户对于数据安全性的担忧是重中之重。因此,该目标将在我们完成数据迁移后进行。
实施”全球透明度计划”对我们来说是非常重要的过程。 我们有绝对的信心投入足够的时间和精力完成该计划,以证明卡巴斯基实验室的完全透明性,独立性和可靠性。 一旦有更多的有关全球透明度计划进程的最新消息,我们会在第一时间将其发布在我们的博客和透明中心网站,以便大家阅读和了解相关信息。