Como reiteración de su compromiso con los más altos estándares de seguridad para los datos de los clientes y el desarrollo de software seguro, Kaspersky ha superado con éxito la auditoría Service Organization Control (SOC 2) Tipo II para organizaciones de servicios. La evaluación examinó la seguridad de los procesos de desarrollo y la presentación de bases de datos antivirus de Kaspersky, así como su protección contra alteraciones no autorizadas.
Kaspersky ha estado proporcionando continuamente garantías de la integridad de sus soluciones mediante evaluaciones periódicas realizadas por terceros, entre ellas las auditorías SOC 2, a la que la empresa se ha sometido desde 2019. El marco de Controles de la Organización de Servicios (SOC, por sus siglas en inglés) es una norma internacional de informes para sistemas de gestión de riesgos de ciberseguridad, que fue establecido por el Instituto Americano de Contadores Públicos Certificados (AICPA, por sus siglas en inglés). Este Sistema evalúa los procesos de control de seguridad basándose en cinco principios fundamentales: seguridad, disponibilidad, integridad del proceso, confidencialidad y privacidad.
Por primera vez, la auditoría SOC 2 realizada por la empresa abarcó un período de un año (de agosto de 2023 a julio de 2024), mientras que las evaluaciones anteriores se centraron en períodos de entre 3 y 6 meses. La evaluación, realizada por un auditor de servicios independiente, verificó el proceso de desarrollo e implementación de bases de datos antivirus de Kaspersky para sistemas operativos Windows y Unix en función de los criterios de seguridad y disponibilidad, incluidos los siguientes elementos:
- Servicios de desarrollo y compilación de bases de datos Kaspersky AV que se utilizan para el desarrollo del código fuente y su compilación;
- Sistemas de almacenamiento y revisión de código de Kaspersky AV que se utilizan para el proceso de almacenamiento y revisión del código fuente;
- Sistema de prueba y lanzamiento de bases de AV de Kaspersky que se utiliza para la implementación de las bases de AV;
- Sistema de prueba de bases de AV de Kaspersky que se utiliza para la verificación de las bases de AV;
- Sistemas de información que respaldan los procesos mencionados anteriormente.
La auditoría incluyó entrevistas con personal responsable administrativo, de supervisión y de plantilla. También implicó la observación de las actividades y operaciones de Kaspersky, y la inspección de los documentos y políticas de la empresa. Como resultado de la verificación, los auditores concluyeron que los controles de Kaspersky que garantizan las actualizaciones automáticas de las bases de datos antivirus cumplen con los criterios de servicios de confianza aplicables, en tanto que el proceso de desarrollo e implementación de las bases de datos antivirus está protegido contra manipulaciones. El informe de auditoría completo está disponible bajo solicitud.
“Una vez más, Kaspersky ha superado con éxito la auditoría SOC 2 (Service Organization Control) Tipo II, esta vez con una evaluación aún más extensa y detallada, estableciendo un nuevo estándar en ciberseguridad y transparencia. Esta renovación abarca un período ampliado de un año completo — de agosto de 2023 a julio de 2024 —, reafirmando el compromiso inquebrantable de la empresa con la protección de los datos de sus clientes y la integridad de sus procesos de desarrollo de software. Con este esfuerzo riguroso, Kaspersky demuestra su liderazgo en ofrecer seguridad sólida y confianza reconocida globalmente, demostrando una vez más que sus métodos de control de seguridad son rigurosos y protegen sus productos contra modificaciones no autorizadas”, señaló Claudio Martinelli, director general para Américas en Kaspersky.
Las auditorías periódicas de los procesos internos forman un componente clave de la Global Transparency Initiative (Iniciativa de Transparencia Global, GTI) de Kaspersky, cuyo objetivo es fomentar la confianza de las partes interesadas de la empresa y, al mismo tiempo, demostrar el compromiso de Kaspersky con la transparencia y la rendición de cuentas. Además de la auditoría SOC 2, Kaspersky ha certificado su sistema de gestión de seguridad de la información según la norma internacional ISO/IEC 27001:2013 y ha obtenido las certificaciones Common Criteria para los productos empresariales insignia de la empresa, Kaspersky Endpoint Security y Kaspersky Security Center, una consola de control para todos los productos empresariales.