Kaspersky besteht umfassendes SOC-2-Audit des Typs 2

Kaspersky hat sich erneut dem SOC2- (Service Organization Control for Service Organizations) Audit unterzogen und dieses erfolgreich bestanden [1]. Damit bekräftigt der Sicherheitsanbieter sein Engagement für den Schutz von Kundendaten und sichere Softwareentwicklungsprozesse. Das SOC-2-Audit bestätigt die Wirksamkeit der Kontrollen, die zum Schutz vor unbefugten Änderungen des Entwicklungsprozesses und der Antiviren-Datenbanken von Kaspersky implementiert wurden. In der Vergangenheit hat Kaspersky bereits Audits des Typs 1 bestanden, nun kommt die Bewertung für Typ 2 hinzu; hierfür wurden die Kontrollen des Unternehmens über einen Zeitraum von sechs Monaten analysiert.

Seit dem Jahr 2019 unterzieht sich und besteht Kaspersky kontinuierlich und erfolgreich SOC-2-Audits. Bei dem Service-Organization-Controls- (SOC) Framework handelt es sich um einen international anerkannten Standard für Cybersicherheits-Risikomanagementsysteme, der vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Damit können Unternehmen ihren Kunden gegenüber bestätigen, dass sie über wirksame Sicherheitskontrollmechanismen verfügen. Kaspersky hat sich für diesen Standard entschieden, um seine Transparenz und die Vertrauenswürdigkeit seiner Prozesse und Lösungen sowie seine Verpflichtung hinsichtlich der AICPA-Kriterien Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz zu bestätigen.

Das Audit wurde von Wirtschaftsprüfern eines unabhängigen Dienstleistungsprüfers durchgeführt. Im Rahmen dessen wurde Kasperskys Prozess zur Entwicklung und Implementierung von Antiviren-Datenbanken für Windows- und Unix-Betriebssysteme überprüft, einschließlich der folgenden Elemente der Kontrollumgebung:

• Organisation und Verwaltung
• Kommunikation
• Risikomanagement
• Überwachung der Kontrollen

Zu den Tests gehörte unter anderem auch die Befragung des zuständigen Managements, der Aufsichtspersonen und des sonstigen Personals, die Beobachtung der Kaspersky-Aktivitäten und
-Operationen sowie die Einsichtnahme in Dokumente und -Aufzeichnungen des Unternehmens. Im Gegensatz zu früheren SOC-2-Bewertungen des Typs 1 wurden dieses Mal nicht nur die Umsetzung der internen Kontrollen des Unternehmens zu einem bestimmten Zeitpunkt untersucht, sondern auch die operative Wirksamkeit dieser Kontrollen über einen Zeitraum von sechs Monaten, von Dezember 2022 bis Mai 2023, geprüft. Das Ergebnis bestätigt, dass die internen Kontrollen von Kaspersky zur Gewährleistung regelmäßiger automatischer Aktualisierungen der Antiviren-Datenbanken wirksam sind und der Prozess der Entwicklung und Implementierung von Antiviren-Datenbanken vor unbefugter Manipulation geschützt ist. Die vollständige Bewertung der Wirtschaftsprüfer kann unter https://www.kaspersky.com/about/compliance-soc2 angefordert werden.

„Die Sicherheit unserer Kunden steht für uns an erster Stelle und wir freuen uns, erneut eine unabhängige Bestätigung dafür zu erhalten, dass unsere Sicherheitskontrollen und -prozesse ordnungsgemäß implementiert sind und den Sicherheitskriterien der AICPA entsprechen“, so Anton Ivanov, Chief Technology Officer bei Kaspersky. „Das aktuelle SOC-2-Typ-2-Audit gibt unseren Kunden die Gewissheit, dass Sicherheitskontrollmechanismen in unseren Systemen effektiv etabliert sind, und bestätigt, dass unsere internen Prozesse den höchsten Standards entsprechen.“

Die regelmäßigen Audits der internen Prozesse des Unternehmens sind Bestandteil der Globalen Transparenzinitiative (GTI) [2] von Kaspersky. Sie soll das Vertrauen der Kunden und Partner in das Unternehmen stärken und bezeugt die Einhaltung der Transparenzprinzipien durch Kaspersky.

Weitere Informationen zum SOC-2-Audit sind verfügbar unter https://www.kaspersky.com/about/compliance-soc2

[1] https://www.kaspersky.com/about/compliance-soc2

[2] https://www.kaspersky.de/about/transparency

Nützliche Links:

•  Globale Transparenzinitiative von Kaspersky: https://www.kaspersky.de/about/transparency