Kaspersky'nin veri işlemeye yönelik yaklaşımı
Kaspersky'nin kullanıcı verilerinin işlenmesine olan yaklaşımının temelini kişilerin gizliğine saygı duyulması ve gizliliğinin korunması olduğu kadar, şeffaflık ve hesap verilebilirlik konusundaki kararlılığımız oluşturur.
Şirketimizdeki veri işlemenin ana amacı müşterilerimize en iyi siber güvenlik çözümlerini sağlayabilmektir. Bu amaca ulaşabilmek için verileri üç amacı aklımızda tutarak işleriz: (a) ana ürün işlevselliğini destekleme, (b) koruma bileşenlerinin performansını ve etkinliğini artırma ve (c) müşterilere iyileştirilmiş daha uygun çözümler sunma ve onlara uygun içerik sağlama. Daha fazla ayrıntı Ürünler ve Hizmetler Gizlilik Politikamızda bulunabilir.
Kullanıcılar tarafından Kaspersky'ye gönderilen veriler belirli bir kişi ya da kuruluşla ilişkilendirilmez ve mümkün olan durumlarda anonim hale getirilir. Bunu başaracak eylemler arasında iletilen URL adreslerinden gelen hesap ayrıntılarının silinmesi, kesin dosyaların yerine tehditlerin karma toplamlarının alınması, kullanıcı IP adreslerinin gizlenmesi vs. eylemler yer alır.
Kaspersky ürünlerinin kullanıcıları kullanmak istedikleri ürün ya da hizmetin işlevselliğine ve kabul edilmiş olan ilgili sözleşmelere göre verileri sağlayıp sağlamamayı ve ne kadar sağlamak istediklerini seçebilirler.
Kaspersky müşterilerin bilgiye dayalı karar vermelerini sağlamak için veri işlemeyle ilgili bilgileri, özellikle de işlemeye tabi tutulacak verilerin tam listesinin bilgilerini her zaman sağlamaktadır. Her altı ayda bir Şeffaflık Raporumuzda kullanıcılarımızdan almış olduğumuz ve işlediğimiz veri isteklerinin sayısı hakkındaki bilgileri genel açık olarak paylaşırız.
İşlenen ve/veya aktarılan tüm veriler şifreleme, dijital sertifikalar, ayrılmış depolama alanları, katı veri erişim politikaları ve diğer yöntemlerle sağlam şekilde güvence altına alınır. Şirket aynı zamanda veri işleme altyapısını ve sistemlerini güvence altına almak için Güvenli Yazılım Geliştirme Çerçevesi (SSDF) ve tedarik zinciri risk yönetimi kontrollerini uygular.
Kaspersky, kendi çözümleriyle işlenen veri türlerini müşterilerimizin gizliliğini korumak ve Avrupa'daki GDPR yönetmelikleri gibi en yeni yasal gerekliliklere uygun olması için sürekli gözden geçirir.
Kişisel verileri işliyor musunuz?
Bazı yasal çerçevelere (GDPR gibi) uygun olarak, Kaspersky tarafından işlenen bilgiler kişisel ya da kişisel olarak tanınmaya neden olabilecek veriler içerebilir. Kaspersky din, siyasi görüşler, cinsel yönelim, sağlık ya da diğer özel kişisel veri kategorileri gibi "hassas" kişisel verileri asla işlemez.
Kaspersky müşterilerin sürekli bilgilendirilmelerini ve bilgiye dayalı karar vermelerini sağlamak için veri işlemeyle ilgili bilgileri, özellikle de işlemeye tabi tutulacak verilerin tam listesinin bilgilerini her zaman sağlamaktadır. İşlenen verilerin ayrıntıları, ürünlere göre farklılık göstermek üzere, Son Kullanıcı Lisans Sözleşmesi (EULA), Kaspersky Security Network (KSN) beyanı ve diğer sözleşmelerde bulunabilir. Kullanıcılar tarafından Kaspersky'ye gönderilen veriler toplu istatistikler şeklinde kullanılır ve herhangi bir bireyle ilişkilendirilmez, mümkün olduğu durumlarda anonimleştirilir.
Hangi veriler işlenir?
Kaspersky siber tehditle ilgili verileri ve istatistikleri işleyebilir. Siber tehditle ilgili veriler şüpheli ve kötü amaçlı dosyaları olduğu kadar adı geçen istatistikleri de içerir. İstatistikler bir müşterinin makinesinde meydana gelen olaylar hakkında kullanıcı faaliyetleri, Kaspersky ürün ayarları, Kaspersky ürününün kurulu olduğu işletim sistemindeki yapılandırma ve sistemde yüklü diğer yazılımlar gibi çeşitli faktörlere bağlı olarak ürünlerimiz gönderebileceği tamamlayıcı teknik bilgilerden oluşan meta bilgileri ifade eder. İşlenen tüm verilerin, ayrıntıları ürünlere göre farklılık göstermek üzere, Son Kullanıcı Lisans Sözleşmesi (EULA), Kaspersky Security Network (KSN) beyanı ve diğer belgelerde bulunabilir.
Kullanıcı verilerini nasıl koruyorsunuz?
Müşterilerimizin verilerini her zaman korumakta kararlıyız. Bunu yapabilmek için sınıfının en iyisi teknolojileri kullanırız. Kaspersky'nin üstlendiği güvenlik önlemleri ve süreçlerinin içerdikleri:
- Güvenlik Geliştirme Yaşam Döngüsü: çözümlerin güvenli şekilde geliştirilmesini ve tüm potansiyel güvenlik açıklarının mümkün olan en kısa sürede yamalanmasını hedefler;
- Kullanıcı cihazlarıyla bulut arasında veri akışı alışverişini koruyan güçlü şifreleme;
- Kaspersky Password Manager ve Kaspersky Safe Kids gibi hizmetlerde kullanıcı bilgilerinin şifrelenmesi. Kullanıcıların ana anahtarı vardır; bu da bilgilerine söz konusu kişinin dışında başka hiç kimsenin erişimi olmaması anlamına gelir;
- Meşru ve güvenli sunucu kimlik doğrulaması ve ürün güncellemelerini sağlayan dijital sertifikalar;
- Ayrı depolama alanı: farklı veriler kısıtlı erişim haklarına sahip farklı sunucularda ve katı veri erişim politikalarıyla saklanır;
- Veriler iletilen URL adreslerinden gelen hesap ayrıntılarının silinmesi, kesin dosyaların yerine tehditlerin karma toplamlarının alınması, kullanıcı IP adreslerinin gizlenmesi vs. gibi çeşitli yöntemlerle mümkün olan durumlarda anonim hâle getirilir.
İşlediğiniz verileri nasıl anonim hale getiriyorsunuz?
Kaspersky kullanıcı gizliliğini çok ciddiye almaktadır. Şirket, aldığı verileri anonim hale getirmek için aşağıdaki önlemleri uygulamaktadır:
- Bilgi, toplanmış ya da anonim hale getirilmiş istatistikler biçiminde analiz edilir ve belirli kişilerle ilişkilendirilmez;
- Oturum açma bilgileri ve parolalar kullanıcıdan gelen ilk tarayıcı isteğinde geçmiş olsa bile, iletilen URL adreslerinden ayrılarak ayıklanır;
- Olası tehdit verisini işlediğimizde, benzersiz bir dosya tanımlayıcı sağlayan tek yönlü matematik fonksiyonu olan bir karma toplam elde ederiz;
- Mümkün olan durumlarda alınan verilerdeki IP adreslerini ve cihaz bilgilerini gizleriz;
- Ayrı sunucular üzerinde erişim haklarıyla ilgili katı ilkelerle saklanan veriler ve kullanıcı ile bulut arasında paylaşılan tüm bilgiler güvenli şekilde şifrelenir.
Kaspersky verileri nerede saklar?
Kaspersky global bir şirket olup, veri işleme altyapımız tüm dünyaya dağıtılarak (örn. İsviçre, Almanya, Rusya, Kanada, vs.) bilgilerin daha hızlı işlenebilmesini sağlar ve herhangi bir nedenle herhangi bir tanesinin çalışmaması durumunda sunucu kullanılabilirliğini garanti eder. Sağlanan kişisel verilerin işlenebileceği ülkelerin detaylı listesine erişilebilecek adres: https://www.kaspersky.com/products-and-services-privacy-policy.
Küresel Şeffaflık Girişimimizin (GTI) bir parçası olarak Kaspersky veri işleme altyapısının bir parçasını yeniden konumlandırdı: Avrupa, Kuzey ve Latin Amerika, Orta Doğu ve Asya Pasifik'teki çeşitli ülkelerdeki Kaspersky kullanıcılarının gönüllü olarak paylaştıkları kötü amaçlı ve şüpheli dosyalar İsviçre Zürih'teki iki veri merkezinde işlenir. Bu merkezler önde gelen güvenlik standartlarıyla uyumlu birinci sınıf imkanlar sağlar. Ek olarak, İsviçre AB ile yeterlilik kararı olan birkaç ülkeden biridir; bu da kişisel veriler için yeterli koruma sağlaması Avrupa Komisyonu tarafından tanındığı anlamına gelir.
Kaspersky Security Network nedir?
Kaspersky Security Network (KSN), Kaspersky'nin yeni ve bilinmeyen siber tehditleri daha etkili şekilde tespit etmek ve kullanıcılar için en hızlı ve en etkili korumayı sağlamak için geliştirilen temel bulut sistemlerinden biridir. KSN, bu sistemi kullanmaya karar vermiş Kaspersky kullanıcılarının sahip olduğu milyonlarca cihazdan alınan siber tehditle alakalı verileri otomatik olarak işler. Bu bulut tabanlı sistem yaklaşımı artık küresel siber güvenlik satıcısının uyguladığı sektör standardıdır.
"Bulut tabanlı sistem" nedir?
Bireysel cihazlar yerine şirket sunucularında çalışan ve Internet üzerinden dünyanın her yerinde kullanılabilen bir sistemdir. E-posta, dosya paylaşımı ve dosya barındırma sistemleri, bulut sistemlerine örnektir. Kaspersky Security Network hizmetleri dünya genelinde farklı ülkelerde bulunarak (Kanada, Almanya, İsviçre, Rusya, vs.) bilgilerin daha hızlı işlenebilmesini sağlar ve herhangi bir nedenle herhangi bir tanesinin çalışmaması durumunda sunucu kullanılabilirliğini garanti eder.
Bulut esaslı korumanın amacı nedir?
Birçok siber güvenlik satıcısı koruma seviyelerini artırmak için bulutu kullanır ve hibrit koruma modeli (anti-virüs veritabanları + proaktif savunma + bulut) en etkili olanıdır.
Güvenlik bulutunun yüksek performansı siber tehditleri daha hızlı ve daha doğru şekilde analiz edebilmemizi sağlar. Geleneksel anti–virüs ve kimlik avı koruması veritabanı güncelleme döngüsü genellikle saatler sürerken, bulut kullanıcılara dakikalar içinde yeni bir tehdide karşı koruma sağlayabilir.
Bulut kullanımı ayrıca kullanıcı cihazında çok fazla bellek ve kaynak kullanmayı önleyerek ürünün "daha hafif" olmasını sağlar.
Veri işleme sınırlı olabilir mi?
Müşterilerimiz kullanmak istedikleri ürün ya da hizmetin işlevselliğine ve kabul edilmiş olan ilgili sözleşmelere göre verileri sağlayıp sağlamamayı ve ne kadar sağlamak istediklerini seçebilirler. Kaspersky müşterilerin bilgiye dayalı karar vermelerini sağlamak için veri işlemeyle ilgili bilgileri, özellikle de işlemeye tabi tutulacak verilerin tam listesinin bilgilerini her zaman sağlar. Ayrıca, düzenli olarak Kaspersky kullanıcılarımızdan almış olduğumuz ve işlediğimiz veri isteklerinin sayısı hakkındaki bilgileri Şeffaflık Raporunda genele ifşa eder. En son rapora buradan ulaşılabilir.
Müşterilerimiz kesinlikle hiçbir verinin paylaşılmaması için olduğu kadar doğrudan https://support.kaspersky.com/general/privacy adresinden bizimle iletişime geçerek işlenmiş kişisel verilerine erişim haklarını kullanabilecek şekilde çözümlerini yapılandırabilirler.
Kaspersky çözümleri tarafından işleme alınan kişisel verileri üçüncü kişilerle paylaşıyor musunuz?
Kullanıcı veri altyapısı da dahil olmak üzere, hiçbir üçüncü taraf ya da herhangi bir devlet kuruluşuna şirketin altyapısına asla erişim hakkı sağlamayız.
Kaspersky verileri satıcılarla yaptığı veri işleme sözleşmeleri üzerinden paylaşabilir. Bu tür satıcılara hizmet sağlarlar ve Amazon bulut ve Microsoft Azure v.s. şirketleri içerir.
Veri işleme yöntemlerinizi sertifikalandırdınız mı?
Şirketin kullanıcılarımız için en yüksek güvenliği uyguladığını teyit etmek üzere Kaspersky veri hizmetleridüzenli olarak üçüncü taraf güvenlik denetlemelerinden ve değerlendirmelerinden geçer. Özellikle şirketin veri hizmetleri tarafından ISO 27001 ile sertifikalandırıldığı gibi genişletilmiş genişletilmiş kapsamla 2022 yılında yeniden sertifikalandırılmış olup, siber tehditle ilgili verilerin ve istatistiklerin her ikisinin işlenmesiyle veri hizmetleri bu sertifikasyon kapsamındadır. Sertifikasyon şirketin Zürih, Frankfurt, Toronto, Moskova ve Pekin'deki veri merkezlerinde bulunan veri merkezleri için geçerlidir. ISO/IEC 27001:2013 uyumluluğu; en iyi sektör ve uygulanabilir güvenlik standardı olarak uluslararası tanınırlığa sahip olup, Kaspersky'nin bilgi güvenliği uygulamasına ve yönetimine olan yaklaşımının temelinde bu standart yatar. Üçüncü taraf akredite sertifikasyon kurumu tarafından verilen sertifikasyon güçlü bilgi güvenliği konusundaki kararlılığımızı ve Kaspersky'nin Veri Hizmeti'nin sektörün önde gelen en iyi uygulamalarıyla uyum içinde olduğunu gösterir. Yeniden sertifikalandırmanın son raporu istek üzere müşterilerimize ve iş ortaklarımıza sağlanmaktadır.