Hoppa till huvudinnehållet

Kasperskys inställning till databehandling

Kasperskys inställning till att behandla användardata bygger på att respektera och skydda människors integritet, såväl som ett åtagande om transparens och ansvarsskyldighet.

Det huvudsakliga målet med databehandlingen i vårt företag är att ge våra kunder de bästa cybersäkerhetslösningarna. För att uppnå detta mål behandlar vi i allmänhet data med tre huvudsakliga syften: (a) att stödja viktiga produktfunktioner, (b) att öka prestandan och effektiviteten hos skyddskomponenterna, och (c) att erbjuda förbättrade och mer lämpliga lösningar till kunderna samt förse dem med relevant innehåll. Mer information finns i vår integritetspolicy för produkter och tjänster.

För att nå dessa mål behöver uppgifterna inte alltid vara kopplade till en specifik individ och kan anonymiseras när det är möjligt. Åtgärder som Kaspersky vidtar för att uppnå detta inkluderar att ta bort kontouppgifter från överförda webbadresser, att erhålla hashvärden av hot i stället för de faktiska filerna, att dölja användares IP-adresser osv.

I de flesta fall kan användare av Kaspersky-produkter välja om de vill lämna ut personuppgifter till företaget eller hur mycket de vill lämna ut, baserat på produkternas, tjänsternas och webbplatsernas funktionalitet. De kan också avstå från att skicka information direkt till Kaspersky. 

Kaspersky tillhandahåller alltid tydlig information om databehandling – särskilt den fullständiga förteckningen över uppgifter som kommer att behandlas – för att säkerställa att kunderna kan fatta välgrundade beslut. För att skydda kundernas integritet och följa de senaste lagkraven granskar Kaspersky kontinuerligt vilken typ av data som behandlas av sina lösningar.

Alla uppgifter som behandlas och/eller överförs är säkra genom kryptering, digitala certifikat, separat lagring, strikta riktlinjer för dataåtkomst och andra metoder. Företaget tillämpar även Secure Software Development Framework (SSDF) och inför riskhanteringskontroller i leveranskedjan för att säkra sin infrastruktur och sina system för databehandling.

Var sjätte månad redovisar vi öppet i vår transparensrapport hur många dataförfrågningar vi har mottagit och behandlat från våra användare.




Behandlar ni personuppgifter?

I enlighet med vissa rättsliga ramverk (som GDPR) kan information som behandlas av Kaspersky innehålla uppgifter som kan anses vara personliga eller personligt identifierbara. Kasperskys produkter behandlar aldrig "känsliga" personuppgifter om kunderna, såsom religion, politiska åsikter, sexuella preferenser, hälsa eller andra särskilda kategorier av personuppgifter.

Om behandlingen av personuppgifter är nödvändig för att uppnå målen med produkterna eller tjänsterna, analyserar Kaspersky noggrant syftena, sammansättningen och den rättsliga grunden för behandlingen av personuppgifterna i enlighet med tillämplig lag. De personuppgifter som behandlas motsvarar alltid syftet med behandlingen. Våra produkter eller tjänster samlar aldrig in mer information än vad som verkligen behövs. Dessutom tillhandahåller Kaspersky alltid all relevant information om databehandlingen – särskilt den fullständiga förteckningen över uppgifter som kommer att behandlas – för att säkerställa att kunderna hålls informerade och kan fatta välgrundade beslut. Detaljer om de uppgifter som behandlas finns i licensavtalet för slutanvändare (EULA), Kaspersky Security Network (KSN)-meddelandet, Kasperskys integritetspolicy för webbplatser och webbtjänster samt i andra tillhandahållna dokument, vilka skiljer sig åt beroende på produkt eller tjänst. De uppgifter som vi samlar in och behandlar används i form av aggregerad statistik och kan inte kopplas till en specifik person, utan anonymiseras i största möjliga utsträckning.

Vilka uppgifter behandlas?

Alla moderna IT-tjänster kräver behandling av stora mängder data för att fungera effektivt. Vilka uppgifter som behandlas varierar beroende på vilken produkt eller tjänst det gäller. Som en global ledare inom cybersäkerhet kan Kaspersky behandla olika typer av uppgifter och statistik relaterade till cyberhot. De cyberhotrelaterade uppgifterna inkluderar misstänkta och skadliga filer samt statistik som gör det möjligt att identifiera både redan kända informationssäkerhetshot och ny skadlig programvara samt angriparnas metoder. Denna statistik kallas även metainformation – kompletterande teknisk information om händelser som inträffat på en användares dator, som våra produkter kan skicka beroende på olika faktorer: t.ex. användaraktiviteter, inställningar för Kaspersky-produkter, konfigurationen av det operativsystem som en Kaspersky-produkt är installerad på och annan programvara som är installerad på systemet. Information om alla uppgifter som behandlas finns i licensavtalet för slutanvändare (EULA), i Kaspersky Security Network (KSN)-meddelandet samt i annan dokumentation, som skiljer sig åt beroende på vilken produkt eller tjänst det gäller.

Hur skyddar ni användarnas uppgifter?

Säkerheten och skyddet av användaruppgifter är en prioritet för Kaspersky, och företaget följer en mångsidig strategi för att minska eventuella risker. Kaspersky har en väl genomarbetad policy för säkerhetshantering som verkställs av en särskild avdelning för informationssäkerhet. Avdelningen ansvarar för att implementera företagets säkerhetspolicy och strategi samt genomför löpande övervakning av säkerhetsprestanda och utvärdering av säkerhetsprocessernas effektivitet.

Användardata skyddas med hjälp av moderna skyddsalgoritmer, och företaget säkerställer nätverks- och åtkomstsäkerhet för att förhindra obehörig åtkomst till användardata, och kontrollerar noggrant den fysiska åtkomsten till sin datainfrastruktur, som är skyddad med övervaknings- och larmsystem. Den övergripande säkerheten för företagets nätverk och system stöds av åtgärder som kontinuerlig tillgångshantering, en heltäckande process för risk- och sårbarhetshantering, regelbundna efterlevnadskontroller och fortlöpande utbildning av personalen, men är inte begränsad till dessa. För mer information om hur vi skyddar din integritet och dina uppgifter, se Kasperskys integritetspolicy för produkter och tjänster.

Hur anonymiserar ni de uppgifter ni behandlar?

Kaspersky tar användarnas integritet på största allvar. Företaget vidtar följande åtgärder för att anonymisera behandlade uppgifter:

  • En flerskiktad metod som stärker skyddet och minskar risken för återidentifiering: genom att kombinera tekniker som generalisering, randomisering och differentierad sekretess.
  • Borttagning av alla direkta identifierare (t.ex. namn, ID-nummer) från behandlade data (t.ex. webbadresser, filer osv.).
  • Informationen behandlas i form av anonymiserad och aggregerad statistik och kopplas inte till specifika personer.
  • För att förhindra att anonymiserade data kopplas till andra datamängder som skulle kunna återidentifiera individer lagras uppgifterna på separata servrar med strikta policyer avseende åtkomsträttigheter.
  • När vi behandlar data som kan utgöra ett hot använder vi hashvärden, som är matematiska envägsfunktioner som ger en unik filidentifierare.
  • Dokumentera och regelbundet granska anonymiseringsprocesserna.

Var lagrar Kaspersky data?

Kaspersky är ett globalt företag och vår infrastruktur för databehandling är distribuerad över hela världen (t.ex. i Schweiz, Tyskland, Ryssland, Kanada etc.), vilket möjliggör snabbare behandling av information och garanterar servertillgänglighet om någon av dem av någon anledning skulle sluta fungera. Den detaljerade listan över länder där personuppgifter kan behandlas finns i Kasperskys officiella policyer, inklusive integritetspolicyn för produkter och tjänster.

Som en del av vårt Global Transparency Initiative (GTI) har Kaspersky flyttat en del av sin infrastruktur för databehandling. Skadliga och misstänkta filer som frivilligt delas av användare av Kasperskys produkter i Europa, Nord- och Latinamerika, Mellanöstern och flera länder i Asien-Stillahavsområdet behandlas i två datacenter i Zürich, Schweiz. Dessa center erbjuder förstklassiga faciliteter i enlighet med ledande säkerhetsstandarder. Dessutom är Schweiz ett av få länder som har ett adekvansbeslut med EU, vilket innebär att landet har erkänts av Europeiska kommissionen för att tillhandahålla ett tillräckligt skydd av personuppgifter.

Vad är Kaspersky Security Network?

Kaspersky Security Network (KSN) är ett av Kaspersky Labs huvudsakliga molnsystem som skapades för att maximera effektiviteten i upptäckt av nya och okända cyberhot och därigenom säkerställa det snabbaste och mest effektiva skyddet för användarna. KSN behandlar automatiskt cyberhotrelaterade data som tas emot från miljontals enheter som tillhör Kasperskys användare, och som har valt att använda detta system. Denna molnbaserade systemstrategi är nu branschstandard och tillämpas av många globala leverantörer av cybersäkerhetstjänster.

Vad är ett ”molnbaserat" system?

Det är ett system som körs på ett företags servrar i stället för på enskilda enheter och som kan användas via internet var som helst i världen. Exempel på molnsystem är e-post, fildelning och filhosting. Kaspersky Security Networks tjänster finns i olika länder runt om i världen (Kanada, Tyskland, Schweiz, Ryssland etc.), vilket möjliggör snabbare behandling av information och garanterar servertillgänglighet om någon av dem skulle sluta fungera.

Vad är syftet med molnbaserat skydd?

Kaspersky anser att en hybrid skyddsmodell (antivirusdatabaser + proaktivt försvar + molnet) är den mest effektiva.

Säkerhetsmolnets höga prestanda gör det möjligt för oss att analysera cyberhot snabbare och mer exakt. Det tar vanligtvis flera timmar att uppdatera antivirusdatabaser och databaser för skydd mot nätfiske, men med molnet kan användarna få skydd mot nya hot på bara några minuter.

Genom att använda molnet kan man också göra en säkerhetsprodukt "lättare" så att den inte tar upp för mycket minne och resurser på användarens enhet.

Kan databehandling begränsas?

Våra kunder kan själva välja om och hur mycket data de vill tillhandahålla, baserat på funktionaliteten hos den produkt eller tjänst de vill använda och respektive avtal som godkänts. Kaspersky tillhandahåller alltid information om databehandling – särskilt den fullständiga förteckningen över uppgifter som kommer att behandlas – för att säkerställa att kunderna kan fatta välgrundade beslut. Dessutom offentliggör Kaspersky regelbundet information om hur många dataförfrågningar som har mottagits och behandlats från våra användare i sin transparensrapport. Den senaste rapporten finns tillgänglig här.

För vissa företagsprodukter kan kunderna själva ställa in sina lösningar så att ingen information delas alls, och de kan även begära tillgång till sina behandlade personuppgifter genom att kontakta oss direkt via https://support.kaspersky.com/general/privacy.

Delar ni personuppgifter som behandlas av Kasperskys lösningar med tredje parter?

Vi ger aldrig någon tredje part eller någon statlig organisation tillgång till företagets infrastruktur, inklusive infrastruktur för användardata.

Kaspersky kan dela uppgifter med sina leverantörer genom personuppgiftsbiträdesavtal. När vi väljer sådana leverantörer kontrollerar vi noggrant att de uppfyller lagkrav och följer våra principer för databehandling. Dessa leverantörer tillhandahåller oss till exempel molnlagring och andra relevanta tjänster.

Kaspersky samarbetar också med internationella brottsbekämpande myndigheter och delar med sig av information som behövs för utredning av cyberbrott.  Företaget har varit öppet med dessa kontakter och offentliggjort data om inkommande förfrågningar från brottsbekämpande myndigheter om användardata och teknisk expertis i sina transparensrapporter.

Dessa rapporter beskriver också företagets grundläggande principer för hur vi hanterar förfrågningar från globala myndigheter och brottsbekämpande organ och visar vår flerstegsprocedur för att bedöma varje mottagen förfrågan.  Alla inkommande förfrågningar om användardata genomgår därför en obligatorisk juridisk granskning, under vilken vi säkerställer att förfrågningarna är juridiskt motiverade, utfärdade i enlighet med tillämpliga lagar och kan genomföras på ett sätt som inte äventyrar säkerheten eller integriteten för Kaspersky-användare. 

Har ni certifierat era databehandlingsmetoder?

För att bekräfta att företaget tillämpar högsta säkerhet för våra användare genomgår Kasperskys datatjänster regelbundet säkerhetsgranskningar och bedömningar utförda av tredje part. I synnerhet har företagets datatjänster certifierats enligt ISO 27001 och omcertifierats 2022 medutökat tillämpningsområde, så att datatjänster för behandling av både cyberhotrelaterade data och statistik omfattas av certifieringen. Certifieringen gäller för företagets datatjänster som finns i datacenter i Zürich, Frankfurt, Toronto, Moskva och Peking. Överensstämmelse med ISO/IEC 27001:2013 – som internationellt erkänns som bästa praxis inom branschen och tillämplig säkerhetsstandard – utgör grunden för Kasperskys tillvägagångssätt för att implementera och hantera informationssäkerhet. Certifieringen, som beviljats av ett oberoende ackrediterat certifieringsorgan, visar vårt engagemang för stark informationssäkerhet och att Kasperskys datatjänst uppfyller branschledande bästa praxis. Slutrapporten från omcertifieringen tillhandahålls våra företagskunder och partner på begäran.