Passa al contenuto principale

L'approccio di Kaspersky all'elaborazione dei dati

L'approccio di Kaspersky all'elaborazione dei dati degli utenti si basa sul rispetto e sulla protezione della privacy delle persone, nonché sull'impegno verso la trasparenza e la responsabilità.

L'obiettivo principale dell'elaborazione dei dati nella nostra azienda è fornire ai nostri clienti le migliori soluzioni di cybersecurity. Per raggiungere questo obiettivo, generalmente elaboriamo i dati tenendo a mente tre scopi principali: (a) supportare le funzionalità chiave del prodotto, (b) aumentare le prestazioni e l'efficacia dei componenti di protezione e (c) offrire soluzioni migliorate e più adatte ai clienti e fornire loro contenuti appropriati. Ulteriori dettagli sono disponibili nella nostra Informativa sulla privacy relativa a prodotti e servizi.

Per raggiungere questi obiettivi, i dati non devono sempre essere collegati a un individuo specifico e possono essere resi anonimi ove possibile. Le azioni intraprese da Kaspersky per raggiungere questo obiettivo includono l'eliminazione dei dettagli dell'account dagli URL trasmessi, l'ottenimento di hash sum delle minacce anziché dei file esatti, l'oscuramento degli indirizzi IP degli utenti e così via.

Nella maggior parte dei casi, gli utenti dei prodotti Kaspersky possono scegliere se fornire dati personali all'azienda oppure possono scegliere la quantità di dati che desiderano fornire, in base alla funzionalità dei prodotti, dei servizi e dei siti Web. Possono anche astenersi dal fornire informazioni direttamente a Kaspersky. 

Kaspersky fornisce sempre informazioni chiare in merito all'elaborazione dei dati, in particolare l'elenco completo dei dati che saranno elaborati, per garantire che i clienti possano prendere decisioni informate. Kaspersky esamina costantemente la tipologia di dati elaborati dalle relative soluzioni per proteggere la privacy dei propri clienti e per conformarsi ai più recenti requisiti legali.

Tutti i dati elaborati e/o trasferiti sono protetti in maniera affidabile mediante criptaggio, certificati digitali, archiviazione separata e rigorosi criteri di accesso ai dati. L'azienda applica inoltre il Secure Software Development Framework (SSDF) e implementa controlli di gestione del rischio della supply chain per proteggere la propria infrastruttura e i propri sistemi per l'elaborazione dei dati.

Ogni sei mesi, nel nostro rapporto sulla trasparenza, condividiamo pubblicamente informazioni sul numero di richieste di dati che abbiamo ricevuto ed elaborato dai nostri utenti.




Elaborate i dati personali?

In conformità con alcuni quadri normativi (come il GDPR), le informazioni elaborate da Kaspersky potrebbero contenere dati che potrebbero essere considerati personali o personalmente identificabili. I prodotti Kaspersky non elaborano mai dati personali "sensibili" dei clienti, quali religione, orientamento politico o sessuale, salute o altre categorie speciali di dati personali.

Se il trattamento dei dati personali è necessario per raggiungere gli obiettivi dei prodotti o dei servizi, Kaspersky analizza attentamente le finalità, la composizione e la base giuridica del trattamento dei dati personali in relazione alla legge applicabile. L'insieme dei dati personali trattati corrisponde sempre alle finalità del trattamento; i nostri prodotti o servizi non raccolgono né elaborano dati personali eccessivi. Inoltre, Kaspersky fornisce sempre tutte le informazioni correlate all'elaborazione dei dati, in particolare l'elenco completo dei dati che saranno sottoposti all'elaborazione, per garantire che i clienti siano sempre informati e possano prendere decisioni consapevoli. I dettagli sui dati elaborati sono reperibili nel Contratto di licenza con l'utente finale (EULA), nell'informativa di Kaspersky Security Network (KSN), nell'Informativa sulla privacy di Kaspersky per siti Web e servizi Web e in altri documenti forniti, che variano a seconda del prodotto o del servizio. I dati che raccogliamo ed elaboriamo vengono utilizzati sotto forma di statistiche aggregate e non vengono attribuiti a un individuo specifico, essendo resi anonimi ove possibile.

Quali dati vengono elaborati?

Per funzionare in modo efficiente, qualsiasi servizio IT moderno richiede l'elaborazione di grandi quantità di dati. La composizione dei dati elaborati dipende dal prodotto o dal servizio specifico. In qualità di leader mondiale nella cybersecurity, Kaspersky può elaborare vari dati e statistiche relativi alle cyberminacce. I dati relativi alle cyberminacce includono file sospetti e dannosi, nonché statistiche che consentono di identificare sia le minacce IS già note, che nuovi malware e metodi degli autori degli attacchi. Queste statistiche sono anche note come meta-informazioni, ovvero informazioni tecniche supplementari sugli eventi accaduti sul computer di un utente, che i nostri prodotti potrebbero inviare in base a vari fattori: ad esempio, le attività dell'utente, le impostazioni del prodotto Kaspersky, la configurazione del sistema operativo su cui è installato un prodotto Kaspersky e altri software installati nel sistema. I dettagli di tutti i dati elaborati sono reperibili nel Contratto di licenza con l'utente finale (EULA), nell'informativa su Kaspersky Security Network (KSN) e in altra documentazione, che varia a seconda del prodotto o del servizio.

Come proteggere i dati degli utenti?

La sicurezza e la protezione dei dati degli utenti sono una priorità per Kaspersky e l'azienda adotta un approccio multiforme per mitigare qualsiasi potenziale rischio. Kaspersky ha implementato un criterio di gestione della sicurezza maturo, attuato da un reparto dedicato alla sicurezza informatica, responsabile dell’implementazione del criterio e della strategia di sicurezza dell’azienda e svolge un monitoraggio continuo delle prestazioni di sicurezza e una valutazione dell’efficacia dei processi di sicurezza.

I dati degli utenti sono protetti utilizzando moderni algoritmi di protezione, con l'azienda che garantisce la sicurezza della rete e degli accessi per impedire l'accesso non autorizzato ai dati degli utenti e controllando rigorosamente l'accesso fisico alla relativa infrastruttura dati, protetta da sistemi di sorveglianza e di allarme. La sicurezza complessiva delle reti e dei sistemi aziendali è supportata da misure quali la gestione continua delle risorse, un processo olistico di gestione del rischio e della vulnerabilità, controlli di conformità regolari e formazione continua dei dipendenti, tra gli altri. Per maggiori dettagli sulla protezione della privacy e dei dati degli utenti, consulta l'Informativa sulla privacy dei prodotti e servizi di Kaspersky.

Come vengono anonimizzati i dati elaborati?

Kaspersky prende molto sul serio la privacy degli utenti. Per rendere anonimi i dati elaborati, l’azienda attua le seguenti misure:

  • Un approccio stratificato che migliora la protezione e riduce i rischi di reidentificazione: unendo tecniche come la generalizzazione, la randomizzazione e la privacy differenziale;
  • Rimozione di tutti gli identificatori diretti (ad esempio nomi, numeri ID) dai dati elaborati (ad esempio URL, file e così via);
  • Le informazioni vengono elaborate sotto forma di statistiche anonime e aggregate e non sono attribuite a persone specifiche;
  • Per evitare il collegamento dei dati resi anonimi con altri set di dati che potrebbero identificare nuovamente gli individui, i dati vengono archiviati su server separati con rigidi criteri in materia di diritti di accesso;
  • Quando elaboriamo i dati sulle possibili minacce, utilizziamo i valori hash, ovvero funzioni matematiche unidirezionali che forniscono un identificatore di file univoco.
  • Documentare e verificare regolarmente i processi di anonimizzazione.

Dove vengono archiviati i dati da Kaspersky?

Kaspersky è un'azienda globale e la nostra infrastruttura per l'elaborazione dei dati è distribuita in tutto il mondo (ad esempio, in Svizzera, Germania, Russia, Canada e così via), consentendo un'elaborazione più rapida delle informazioni e garantendo la disponibilità del server nel caso in cui uno di essi dovesse guastarsi per qualsiasi motivo. L'elenco dettagliato dei Paesi in cui i dati personali possono essere elaborati è disponibile nelle informative ufficiali di Kaspersky, inclusa l'Informativa sulla privacy di prodotti e servizi.

Nell'ambito della nostra Global Transparency Initiative (GTI), Kaspersky ha trasferito parte della sua infrastruttura di elaborazione dati. I file dannosi e sospetti condivisi volontariamente dagli utenti dei prodotti Kaspersky in Europa, Nord America e America Latina, Medio Oriente e in diversi paesi dell'area Asia-Pacifico vengono elaborati in due data center a Zurigo, in Svizzera. Questi centri offrono strutture di livello mondiale conformi ai più elevati standard di sicurezza. Inoltre, la Svizzera è tra i pochi paesi che dispongono di una decisione di adeguatezza con l'UE, il che significa che il paese è stato riconosciuto dalla Commissione europea per fornire un'adeguata protezione dei dati personali.

Che cos'è Kaspersky Security Network?

Kaspersky Security Network (KSN) è uno dei principali sistemi cloud di Kaspersky, creato per ottenere il massimo dell'efficacia nella scoperta di nuove e sconosciute cyberminacce, quindi, garantire la più rapida ed efficace protezione degli utenti. KSN elabora automaticamente i dati relativi alle cyberminacce ricevuti da milioni di dispositivi di proprietà degli utenti Kaspersky che hanno deciso di utilizzare questo sistema. Questo approccio al sistema basato su cloud rappresenta al momento uno standard di settore applicato da molti fornitori di soluzioni di sicurezza IT di livello globale.

Che cos'è un "sistema cloud-based"?

È un sistema che può essere eseguito sui server di un'azienda o sui singoli dispositivi e che può essere utilizzato tramite Internet da qualsiasi parte del mondo. Esempi di sistemi su cloud includono sistemi di hosting di file, di condivisione di file ed e-mail. I servizi di Kaspersky Security Network sono dislocati in diversi paesi del mondo (Canada, Germania, Svizzera, Russia e così via), consentendo un'elaborazione più rapida delle informazioni e garantendo la disponibilità del server in caso di guasto di uno di essi.

Qual è lo scopo della protezione cloud-based?

Kaspersky ritiene che il modello di protezione ibrido (database anti-virus + difesa proattiva + cloud) sia il più efficace.

Le elevate prestazioni del cloud di sicurezza ci consentono di analizzare le cyberminacce in modo più rapido e accurato. Mentre il ciclo tradizionale di aggiornamento dei database anti-virus e anti-phishing richiede solitamente diverse ore, il cloud può fornire agli utenti protezione contro una nuova minaccia in pochi minuti.

L'utilizzo del cloud può anche rendere più "leggero" un prodotto per la sicurezza, che non utilizzerà troppa memoria o troppe risorse nel dispositivo dell'utente.

L'elaborazione dei dati può essere limitata?

I nostri clienti possono scegliere se e quanti dati fornire, in base alla funzionalità del prodotto o del servizio che intendono utilizzare e ai rispettivi accordi accettati. Kaspersky fornisce sempre informazioni in merito all'elaborazione dei dati, in particolare l'elenco completo dei dati che saranno elaborati, per garantire che i clienti possano prendere decisioni informate. Inoltre, Kaspersky divulga regolarmente informazioni sul numero di richieste di dati ricevute ed elaborate dai nostri utenti nel rapporto sulla trasparenza. Il report più recente è disponibile qui.

Per alcuni prodotti aziendali, i nostri clienti possono configurare le loro soluzioni in modo che non vengano condivisi dati, nonché esercitare il diritto di accesso ai propri dati personali trattati contattandoci direttamente all'indirizzo https://support.kaspersky.it/general/privacy.

Condividete dati personali elaborati dalle soluzioni di Kaspersky con terze parti?

Non forniamo mai a terze parti o organizzazioni governative l'accesso all'infrastruttura dell'azienda, inclusa l'infrastruttura dei dati degli utenti.

Kaspersky può condividere i dati con i propri fornitori tramite contratti di elaborazione dei dati stipulati con loro. Quando selezioniamo tali fornitori, controlliamo attentamente la conformità ai requisiti legali e i nostri approcci all'elaborazione dei dati. Questi fornitori ci forniscono, ad esempio, spazio di archiviazione cloud e altri servizi pertinenti.

Kaspersky collabora inoltre con le forze dell'ordine internazionali e condivide con loro le informazioni necessarie per le indagini sui reati informatici.  L'azienda è stata trasparente in merito a questi contatti, pubblicando nei suoi Rapporti sulla trasparenza i dati sulle richieste in arrivo da parte delle forze dell'ordine di dati degli utenti e di competenze tecniche.

Questi rapporti delineano inoltre i principi fondamentali dell'azienda nel rispondere alle richieste provenienti da enti governativi e forze dell'ordine di tutto il mondo e illustrano la nostra procedura in più fasi per la valutazione di ogni richiesta ricevuta.  Pertanto, tutte le richieste in arrivo di dati degli utenti vengono sottoposte a una verifica legale obbligatoria, durante la quale ci assicuriamo che le richieste siano legalmente giustificate, rilasciate in conformità alle leggi applicabili e possono essere implementate in modo da non compromettere la sicurezza o la privacy degli utenti Kaspersky. 

Le modalità di elaborazione dei dati sono certificate?

Per confermare che l'azienda applica la massima sicurezza ai propri utenti, i servizi dati di Kaspersky superano periodicamente verifiche e valutazioni di sicurezza di terze parti. In particolare, i servizi dati dell’azienda sono stati certificati ISO 27001 e ricertificati nel 2022 conambito esteso, in modo che i servizi dati per l’elaborazione di dati e statistiche relativi alle minacce informatiche siano coperti dalla certificazione. La certificazione è valida per i servizi dati dell'azienda situati nei data center di Zurigo, Francoforte, Toronto, Mosca e Pechino. La conformità allo standard ISO/IEC 27001:2013, riconosciuto a livello internazionale come la migliore prassi del settore e lo standard di sicurezza applicabile, è al centro dell'approccio di Kaspersky all'implementazione e alla gestione della sicurezza informatica. La certificazione, rilasciata da un ente di certificazione terzo accreditato, dimostra il nostro impegno per una solida sicurezza informatica e che il servizio dati di Kaspersky è conforme alle migliori pratiche leader del settore. Il rapporto finale della ricertificazione viene fornito ai nostri clienti aziendali e partner su richiesta.