En octubre del 2017 anunciamos la Iniciativa de Transparencia Global para demostrar que no teníamos nada que esconder y para que nuestros clientes puedan confiar en nosotros, no solo por lo que decimos, sino por lo que hacemos.
Iremos actualizando este artículo conforme el proyecto tome forma.
Actualización: 17 de noviembre de 2020
La reubicación del procesamiento y el almacenamiento de datos, anunciado en noviembre del 2018, ha finalizado. Además de Europa, Estados Unidos y Canadá, Kaspersky también ha reubicado el almacenamiento y el procesamiento de datos de varios países de Asia-Pacífico, incluidos Australia, Nueva Zelanda, Japón, Bangladesh, Brunéi, Camboya, India, Indonesia, Corea del Sur, Laos, Malasia, Nepal, Pakistán, Filipinas, Singapur, Sri Lanka, Tailandia y Vietnam.
Ahora procesamos los datos relacionados con las amenazas que comparten nuestros usuarios en dos centros de datos en Zúrich, Suiza. Estos datos incluyen archivos maliciosos sospechosos o previamente desconocidos que nuestros productos envían a Kaspersky Security Network (KSN) para el análisis automatizado de malware.
Anunciamos la apertura de nuestro Centro de Transparencia en Norteamérica en colaboración con CyberNB Association, una organización sin ánimo de lucro de Nuevo Brunswick, Canadá. Las instalaciones estarán operativas a principios del 2021. Este quinto centro de la empresa proporcionará a los socios de Kaspersky la oportunidad de verificar nuestro código fuente y conocer en profundidad las prácticas de procesamiento de datos e ingeniería, así como nuestra cartera de productos.
A principios del 2020, se activaron los Centros de Transparencia de São Paulo y Kuala Lumpur. Kaspersky también ha relanzado su primer Centro de Transparencia en Zúrich, que trasladamos al centro de datos de Interxion.
Dadas las desafiantes restricciones actuales a la hora de viajar, los clientes y socios también podrán revisar el código fuente en remoto. Para solicitar acceso remoto a los Centros de Transparencia de Kaspersky, visita este enlace.
Hemos lanzado el programa Cyber Capacity Building Program, anunciado en mayo del 2020, junto con la Autoridad de Seguridad de la Información de Vietnam, que incluye el CERT nacional y el Centro Nacional de Seguridad Cibernética del país. El programa ahora incluye una sección adicional sobre codificación fuzzing, realizada con el equipo ICS CERT de Kaspersky. En el 2021, este servicio estará disponible para los socios comerciales y otras empresas con el objetivo de mejorar su preparación, así como para la resistencia de sus sistemas y redes frente a los riesgos de la cadena de suministro. Para solicitar acceso, visita este enlace.
Hemos ampliado el ámbito de aplicación de nuestro programa de recompensas (bug bounty). Los investigadores ahora pueden enviar informes de vulnerabilidades relacionados con Kaspersky VPN Secure Connection, incluidos los módulos de software de terceros que forman parte de la solución VPN. Desde marzo del 2018, hemos resuelto 76 errores gracias a este programa y 37 informes se han visto recompensados, lo que asciende a un total de 57,750 dólares.
Actualización: 13 de febrero de 2020
Seguimos avanzado en el desarrollo de nuestra Iniciativa de Transparencia Global. Como parte de este proceso, hemos obtenido la certificación ISO/IEC 27001:2013. Emitido por TÜV AUSTRIA, la certificación confirma que los sistemas de seguridad de datos de nuestra empresa, incluyendo Kaspersky Security Network, están en conformidad con las mejores prácticas de la industria.
Para obtener la certificación, tuvimos que demostrar que nos apegamos a los estándares para implementar, supervisar, mantener y mejorar continuamente nuestro Sistema de Gestión de la Seguridad de la Información (ISMS, por sus siglas en inglés).
La evaluación realizada por el organismo de certificación TÜV AUSTRIA abarcó los sistemas de gestión para el envío de archivos sospechosos y maliciosos mediante la infraestructura de Kaspersky Security Network (KSN), así como el almacenamiento y el acceso seguros a estos archivos en nuestro Sistema de archivos distribuido (KLDFS); también se incluyó a nuestros centros de datos en Zúrich, Suiza; Fráncfort, Alemania; Toronto, Canadá; y Moscú, Rusia.
La certificación se encuentra publicada en el Directorio de Certificado de TÜV AUSTRIA y también en nuestro sitio web. La auditoría ISO 27001 no solo garantiza de modo adicional que nuestros productos y servicios, así como nuestros socios y clientes, sean los mejores en cuestiones de protección contra ciberamenazas, sino que tratamos los datos de nuestros clientes con sumo respecto y cuidado.
Actualización del 13 de noviembre del 2019
Hoy anunciamos nuestro cuarto Centro de Transparencia, cuya fecha de apertura está prevista para enero del 2020 en São Paulo, Brasil. Será el primero en América Latina, precedido por los otros Centros de Transparencia de la compañía: Madrid y Zúrich en Europa y Ciberjaya, Malasia, en la región de Asia-Pacífico. Este nuevo centro es otro reflejo más de nuestro compromiso por demostrar que somos transparentes y que podemos afrontar cualquier problema de seguridad inmediata y exhaustivamente.
El traslado del almacenamiento de nuestros datos y de la infraestructura de procesamiento ya está en marcha. Después de la migración de los datos de nuestros clientes europeos a Suiza, ahora estamos empezando a trasladar los datos de los clientes de Estados Unidos y Canadá. Toda esta información se comparte de forma voluntaria con Kaspersky Security Network (KSN), nuestro sistema avanzado en la nube que procesa automáticamente los datos relacionados con las ciberamenazas. Esperamos finalizar esta etapa de migración para finales del 2020 y poder seguir añadiendo regiones continuamente.
Como uno de los primeros signatarios del Paris Call for Trust and Security in Cyberspace, nos enorgullece anunciar estos pasos en el Paris Peace Forum 2019.
Los visitantes de nuestro Centro de Transparencia tienen la oportunidad de conocer las prácticas de ingeniería y de procesamiento de datos para compilar, con la ayuda de nuestros expertos, el software de Kaspersky desde su código fuente y compararlo con el código disponible al público. También utilizaremos el Centro para mostrar nuestro porfolio, además de nuestras prácticas de procesamiento de datos y de ingeniería.
Actualización del 15 de agosto del 2019
Nos complace anunciar que nuestro tercer Centro de Transparencia se abrirá a principios del 2020 en Ciberjaya, Malasia. Al igual que los anteriores, inaugurados en Zurich y en Madrid, este Centro de Transparencia servirá como instalaciones acreditadas para nuestros socios e inversores gubernamentales, un sitio donde pueden revisar el código fuente de nuestros productos. La agencia de ciberseguridad nacional, CyberSecurity Malaysia, lo alojará.
Nuestro fundador Eugene Kaspersky señala que este primer Centro de Transparencia, el primero en la región de Asia Pacífico, demuestra que nuestra Iniciativa de Transparencia Global, que busca responder a la creciente demanda por parte de nuestros socios e inversores gubernamentales de información acerca del funcionamiento de nuestros productos y tecnología, va por buen camino.
Actualización del 11 de julio del 2019
Nuestro segundo Centro de Transparencia abrió en Madrid en junio para los clientes y socios de Kaspersky. Y nuestra intención es contar con al menos tres Centros de Transparencia en todo el mundo para el 2020.
Pero eso no es todo. Se ha completado una parte importante de nuestra Iniciativa de Transparencia Global: la revisión de Service Organization Controls de terceros (SOC2 Type 1) de los controles de gestión de riesgos de ciberseguridad de Kaspersky. Uno de los editores de las “Big Four” ha analizado nuestros controles sobre las actualizaciones automáticas de las bases de datos de antivirus de los productos de Windows y Unix Servers y concluyó que el desarrollo y lanzamiento de estas bases de datos están protegidos contra cambios sin autorización. Esto vuelve a confirmar que nuestros productos son seguros y de confianza. Según los términos del contrato, podemos enviar el informe a nuestros clientes y reguladores, solo tienen que solicitarlo en el siguiente enlace.
Además, seguimos ampliando nuestro programa Bug Bounty uniéndonos hace poco al movimiento Disclose.io. Es decir, ahora ofrecemos un refugio a los investigadores de vulnerabilidades que analizan nuestros productos y garantizamos que no habrá ninguna acción legal contra ellos. Puedes encontrar más información sobre Disclose.io en nuestro blog.
Actualización del 2 de abril del 2019
Nuestra Iniciativa de Transparencia Global está progresando: hoy anunciamos, de hecho, la apertura de un segundo Centro de Transparencia, ubicado en Madrid, el cual ofrecerá más información sobre el funcionamiento de los productos y tecnologías de Kaspersky. Además, el nuevo centro también servirá como un punto de reunión en el que los visitantes conocerán nuestra cartera de productos, la ingeniería y las prácticas de procesamiento de datos. Se espera que la primera visita al centro tenga lugar este junio. Los planes para abrir Centros de Transparencia en Asia y Norteamérica en el 2020 siguen en marcha.
El traslado de la infraestructura de procesamiento de datos también está en camino. Ya hemos reubicado la infraestructura de recepción a Suiza y se prevé el fin de la reubicación del almacenamiento para el segundo trimestre. Esperamos haber finalizado la reubicación del proceso de datos de los clientes europeos a finales de año.
Además, hemos publicado los resultados de una evaluación legal voluntario de terceros sobre los actos legislativos rusos y cómo se aplican a Kaspersky. El encargado de dirigir este análisis fue el doctor Kaj Hober, profesor de Inversión y derecho mercantil internacional en la Universidad de Uppsala, en Suecia, y experto del sistema jurídico ruso. Las conclusiones principales son las siguientes:
- Pese a que el servicio de seguridad federal (FSB) puede pedirle a Kaspersky que coopere con él, la empresa no tiene la obligación.
- Las leyes que obligan a los proveedores a asistir al FSB con actividades de investigación operativa solo se aplican a las empresas que ofrecen servicios de comunicación electrónica, por lo que no es el caso de Kaspersky.
- Las leyes que obligan a las compañías a almacenar datos en Rusia y a proporcionarlos, junto con las claves de descifrado, al FSB se aplican solo a los proveedores de telecomunicaciones; tampoco es el caso de Kaspersky.
Y por último, aunque no menos importante, hemos mejorado nuestro programa Bug Bounty, añadiendo Kaspersky Password Manager y Kaspersky Endpoint Security for Linux, entre otros productos, al alcance del software disponible para análisis. Por lo que se han descubierto más de 50 bugs y los investigadores han recibido más de 17.000 dólares como recompensa.
Actualización del 13 de noviembre del 2018
Queda oficialmente inaugurado nuestro primer Centro de Transparencia, que permite a los socios autorizados acceder al análisis del código de la compañía, las actualizaciones de software y las normas de detección de amenazas.
A partir de hoy, también procesaremos todos los archivos maliciosos y sospechosos que compartan los usuarios de los productos de Kaspersky en Europa en nuestras dos instalaciones de datos a nivel mundial en Zurich.
Como prometió, Kaspersky contrató a una de las empresas de servicios profesionales del Big Four para llevar a cabo una auditoría, bajo el estándar SSAE 18, de las prácticas de ingeniería de la empresa en torno a la creación y distribución de la base de datos de normas para la detección de amenazas. El objetivo es confirmar de forma independiente que cumplen con las prácticas de seguridad más elevadas de la industria.
Actualización del 29 de agosto del 2018
Hemos hecho buenos progresos. Implementamos un gran cambio con el aumento de la recompensa en el programa bug bounty, que actualmente asciende a un total de 100.000 dólares y que esperamos que incremente la seguridad y confianza de nuestros productos. Las cosas están avanzando e iniciamos otra parte del proyecto de la Iniciativa de Transparencia Global, pues empezamos a instalar el equipo necesario para trasladar el proceso de nuestros datos de usuario a Europa.
Kaspersky ha firmado contratos con dos proveedores europeos (Interxion y NTS) que proporcionarán instalaciones para alojar nuestros servidores. Para abordar las preocupaciones de las partes interesadas del sector privado y público en relación con el acceso no autorizado a los datos de los clientes, estos centros albergarán una nueva infraestructura para recopilar, procesar y almacenar datos de clientes en Zúrich, Suiza, a finales del 2018. El traslado del procesamiento y el almacenamiento de los datos de los clientes europeos comenzará a finales de año y le seguirán otros países. El traslado completo de los países europeos está previsto para el último trimestre del 2019.
¿Por qué Suiza?
La elección de la ubicación está bastante clara. Por un lado, Suiza está ubicada en el centro de Europa y, por otro, no forma parte de la UE, lo que lo convierte en un país independiente que puede tomar sus propias decisiones. Y, como uno de los principios básicos de la Iniciativa de Transparencia Global es demostrar que somos independientes, no hay mejor sitio que Suiza para empezar.
Suiza también es conocida por su panorama informático, tan innovador y avanzado, y por su estricta regulación por el procesamiento de solicitudes de datos recibidas de las autoridades. Por lo que los datos de nuestros clientes se almacenarán y procesarán en una de las ubicaciones más seguras del mundo.
Fases de la Iniciativa de Transparencia Global
Se están desarrollando otros elementos de nuestra Iniciativa de Transparencia Global.
Tenemos planeado abrir nuestro primer Centro de Transparencia en Suiza. Ya se está habilitando y se abrirá cuando estemos listos para comenzar a procesar información en los centros de datos de Zúrich (se prevé para finales de este año). [ACTUALIZACIÓN: hemos inaugurado dos Centros de Transparencia: uno en Zurich y otro en Madrid].
Estamos decididos a reubicar las instalaciones cuyo cometido es procesar datos de clientes para otros países también. Se trata de un proceso muy complicado, por lo que, con el objetivo de minimizar cualquier interrupción posible en la protección de nuestros clientes, hemos decidido llevarlo a cabo de forma progresiva. Así que, volveremos a ello una vez terminada la reubicación de las instalaciones para el proceso de los datos de ciudadanos europeos en Suiza. [ACTUALIZACIÓN: el traslado del procesamiento de datos ha comenzado y, en lo que respecta a los ciudadanos europeos, finalizará durante el 2019]
El código de terceros y el análisis de procesos también tendrán lugar después de la reubicación, ya que ahora estamos buscando al socio adecuado. [ACTUALIZACIÓN: una de las cuatro firmas más grandes de consultoría [Big Four] ha concluido su auditoría mediante el marco de creación de informes SOC 2 Type 1].
Otro objetivo es trasladar a Suiza el proceso de ensamblaje de las bases de datos que se ocupan de las reglas de software y detección de amenazas. No obstante, abordar las preocupaciones sobre el acceso no autorizado a datos de usuario era la máxima prioridad, por lo que este traslado tendrá lugar hasta que arranquemos el proceso de reubicación de datos.
La implementación de la Iniciativa de Transparencia Global es un proceso muy importante para nosotros. Estamos completamente seguros de que es necesario invertir tiempo y esfuerzos en este proyecto para demostrar que Kaspersky es totalmente transparente, independiente y de confianza. Cuando tengamos novedades sobre el proceso de nuestra Iniciativa de Transparencia Global, iremos actualizando este artículo además del sitio web de nuestro Centro de Transparencia, para que todo el mundo pueda encontrar información sobre nuestras actividades a favor de la transparencia en un solo sitio.