كاسبرسكي تجتاز تدقيق SOC 2 لتعزيز أمان بيانات العملاء
لتأكيد التزامها بأعلى معايير أمن البيانات للعملاء وتطوير البرمجيات الآمنة، اجتازت كاسبرسكي تدقيق رقابة المنظمات الخدمية من النوع الثاني (SOC 2). عمل التقييم على تحديد مستوى أمان عمليات تطوير وإصدار قاعدة بيانات مكافحة الفيروسات الخاصة لدى كاسبرسكي، بجانب الحماية من التغييرات غير المصرح بها.
تواصل كاسبرسكي تقديم ضمانات مستمرة لسلامة حلولها من خلال تقييمات منتظمة من جهات خارجية، بما يشمل تدقيق رقابة المنظمات الخدمية من النوع الثاني، والذي تجريه الشركة منذ عام 2019.
يُعد إطار عمل رقابة المنظمات الخدمية معيار تقارير دولي لأنظمة إدارة مخاطر الأمن السيبراني، وقد أصدرها المعهد الأمريكي للمحاسبين القانونيين المعتمدين (AICPA). حيث يقيّم المعيار عمليات التحكم الأمني بناءً على 5 مبادئ أساسية: الأمن، والتوافر، وسلامة العمليات، والسرية، والخصوصية.
ولأول مرة، استغرق تدقيق رقابة المنظمات الخدمية من النوع الثاني الذي أكملته الشركة عاماً كاملاً، بدايةً من شهر أغسطس 2023، وانتهاءً بشهر يوليو 2024، بينما استغرقت التقييمات السابقة ما بين 3 و6 أشهر.
وأُجري تقييم كاسبرسكي بواسطة مدقق خدمات مستقل للتحقق من عمليات تطوير وتنفيذ قواعد بيانات مكافحة الفيروسات لنظامي التشغيل Windows وLinux، وفق معياريّ الأمن والتوافر، بما يشمل العناصر التالية:
• خدمات التطوير والتجميع الخاصة بقواعد مكافحة الفيروسات من كاسبرسكي، والمُستخدمة في تطوير وتجميع الأكواد المصدرية؛
• وأنظمة تخزين ومراجعة الأكواد الخاصة بقواعد مكافحة الفيروسات من كاسبرسكي، والمُستخدمة في عملية تخزين ومراجعة الأكواد المصدرية؛
• ونظام الاختبار والإصدار الخاص بقواعد مكافحة الفيروسات من كاسبرسكي، والمُستخدم في تنفيذ قواعد مكافحة الفيروسات؛
• ونظام الاختبار الخاص بقواعد مكافحة الفيروسات من كاسبرسكي، والمُستخدم في التحقق من قواعد مكافحة الفيروسات؛
• وأنظمة المعلومات الداعمة للعمليات المذكورة أعلاه.
شمل التدقيق مقابلات مع الإدارة المسؤولة، والمشرفين، والموظفين. وتضمن مراقبةً لأنشطة وعمليات كاسبرسكي، وفحص مستندات وسياسات الشركة. وقد اكتشف المدققون أن الضوابط الخاصة بكاسبرسكي، والمُصممة لتوفير تحديثات مؤتمتة لقاعدة بيانات مكافحة الفيروسات تمتثل لمعايير خدمات الثقة المُطبقة، بينما اكتشفوا أن عملية تطوير وتطبيق قواعد بيانات مكافحة الفيروسات محميةً من التلاعب. يتوفر تقرير التدقيق الشامل عند الطلب.
قال ألكساندر ليسكين، رئيس قسم أبحاث التهديدات لدى كاسبرسكي: «نسعى دائماً لتزويد عملائنا وشركائنا بضمانات ثابتة لموثوقية وسلامة منتجاتنا وخدماتنا. وبجانب تطبيق ضوابط أمنية صارمة، فمن الضروري بالنسبة لنا أن نحصل على رأي خبير خارجي يؤكد أن التدابير المتخذة كافيةً ومتوافقةً مع معايير الصناعة. لقد أكد تدقيق رقابة المنظمات الخدمية من النوع الثاني مجدداً أن أساليب التحكم الخاصة بنا تعمل بشكل صحيح، وأن عملية تطوير وإصدار قواعد بيانات مكافحة الفيروسات محميةً ضد التغييرات غير المصرح بها.»
تشكل عمليات التدقيق المنتظمة للعمليات الداخلية مكوناً أساسياً في مبادرة الشفافية العالمية (GTI) الخاصة بكاسبرسكي، والتي يتمثل هدفها في تعزيز الثقة مع أصحاب المصلحة في الشركة، مع إظهار التزام الشركة بالشفافية والمساءلة. بجانب تدقيق رقابة المنظمات الخدمية من النوع الثاني، اعتمدت كاسبرسكي نظام إدارة أمن المعلومات الخاص بها وفق المعيار الدولي ISO/IEC 27001:2013، كما حصلت على شهادات المعايير المشتركة للمنتجات الرائدة للمؤسسات؛ Kaspersky Endpoint Security وKaspersky Security Center، وهو وحدة تحكم لجميع منتجات المؤسسات.