Ana içeriğe atlayın

Kaspersky'nin veri işleme yaklaşımı

Kaspersky'nin kullanıcı verilerinin işlenmesine olan yaklaşımının temelini kişilerin gizliğine saygı duyulması ve gizliliğinin korunması olduğu kadar, şeffaflık ve hesap verilebilirlik konusundaki kararlılığımız oluşturur.

Şirketimizde veri işlemenin temel amacı, müşterilerimize en iyi siber güvenlik çözümlerini sunmaktır. Bu hedefe ulaşmak için, verileri genellikle üç ana hedefi göz önünde bulundurarak işliyoruz: (a) temel ürün işlevselliğini desteklemek, (b) koruma bileşenlerinin performansını ve etkinliğini artırmak ve (c) müşterilere daha iyi, daha uygun çözümler sunmak ve onlara uygun içerik sağlamak. Daha fazla ayrıntı, Ürün ve Hizmetler Gizlilik Politikamızda bulunabilir.

Bu hedeflere ulaşmak için, verilerin her zaman belirli bir kişiye bağlı olması gerekmez ve mümkün olduğunda anonimleştirilebilir. Kaspersky'nin bunu başarmak için aldığı önlemler arasında, iletilen URL'lerden hesap ayrıntılarının silinmesi, dosya yerine tehditlerin karma toplamlarının elde edilmesi, kullanıcı IP adreslerinin gizlenmesi vb. yer almaktadır.

Çoğu durumda, Kaspersky ürünlerinin kullanıcıları, ürünlerin, hizmetlerin ve web sitelerinin işlevselliğine bağlı olarak, şirkete kişisel verilerini sağlamak isteyip istemediklerini veya ne kadarını sağlamak istediklerini seçebilirler. Ayrıca, bilgileri doğrudan Kaspersky'ye göndermekten de kaçınabilirler. 

Kaspersky, veri işlemeyle ilgili her zaman net bilgiler sağlar; özellikle, müşterilerin bilinçli kararlar alabilmeleri için işlenecek verilerin tam listesini sunar. Kaspersky, müşterilerinin gizliliğini korumak ve en son yasal gerekliliklere uymak için çözümleri tarafından işlenen veri türlerini sürekli olarak gözden geçirir.

İşlenen ve/veya aktarılan tüm veriler şifreleme, dijital sertifikalar, ayrılmış depolama, sıkı veri erişim ilkeleri ve diğer yöntemlerle sağlam bir şekilde korunmaktadır. Şirket ayrıca, veri işleme altyapısını ve sistemlerini güvence altına almak için Güvenli Yazılım Geliştirme Çerçevesini (SSDF) uygular ve tedarik zinciri risk yönetimi kontrollerini hayata geçirir.

Şeffaflık raporumuzda altı ayda bir, kullanıcılarımızdan aldığımız ve işlediğimiz veri taleplerinin sayısına ilişkin bilgileri kamuoyuyla paylaşıyoruz.




Kişisel verileri işliyor musunuz?

Bazı yasal çerçevelere (GDPR gibi) göre, Kaspersky tarafından işlenen bilgiler, kişisel veya kişisel olarak tanımlanabilir olarak kabul edilebilecek veriler içerebilir. Kaspersky ürünleri, müşterilerin din, siyasi görüş, cinsel tercihler, sağlık veya diğer özel kategorilerdeki kişisel veriler gibi “hassas” kişisel verileri asla işlemez.

Kişisel verilerin işlenmesi, ürün veya hizmetlerin amaçlarına ulaşmak için gerekliyse, Kaspersky, yürürlükteki yasalarla ilişkili olarak kişisel verilerin işlenme amaçlarını, içeriğini ve yasal dayanağını dikkatle analiz eder. İşlenen kişisel veriler her zaman işleme amaçlarına uygundur; ürünlerimiz veya hizmetlerimiz gereğinden fazla kişisel veri toplamaz veya işlemez. Ayrıca Kaspersky, müşterilerin bilgilendirilmesini ve bilinçli kararlar alabilmesini sağlamak için veri işlemeyle ilgili tüm bilgileri, özellikle de işlenecek verilerin tam listesini her zaman sağlar. İşlenen verilerin ayrıntıları, Son Kullanıcı Lisans Sözleşmesi (EULA), Kaspersky Security Network (KSN) bildirimi, Kaspersky Web Siteleri ve Web Hizmetleri Gizlilik Politikası ve ürün veya hizmete göre farklılık gösteren diğer belgelerde bulunabilir. Topladığımız ve işlediğimiz veriler, toplu istatistikler şeklinde kullanılır ve mümkün olduğunca anonimleştirilerek belirli bir kişiye atfedilmez.

Hangi veriler işlenir?

Herhangi bir modern BT hizmeti, verimli bir şekilde çalışmak için büyük miktarda verinin işlenmesini gerektirir. İşlenen verilerin içeriği, belirli ürün veya hizmete bağlıdır. Küresel bir siber güvenlik lideri olarak Kaspersky, siber tehditlerle ilgili çeşitli verileri ve istatistikleri işleyebilir. Siber tehditlerle ilgili veriler, şüpheli ve kötü amaçlı dosyaların yanı sıra, hem bilinen IS tehditlerini hem de yeni kötü amaçlı yazılımları ve saldırganların yöntemlerini tanımlamaya olanak tanıyan istatistikleri içerir. Bu istatistikler, meta bilgiler olarak da bilinir. Kullanıcıların bilgisayarlarında meydana gelen olaylarla ilgili ek teknik bilgiler olup, ürünlerimiz çeşitli faktörlere bağlı olarak gönderebilir: örneğin, kullanıcı etkinlikleri, Kaspersky ürün ayarları, Kaspersky ürününün kurulu olduğu işletim sisteminin yapılandırması ve sistemde kurulu diğer yazılımlar. İşlenen tüm verilerin ayrıntıları, ürün veya hizmete göre farklılık gösteren Son Kullanıcı Lisans Sözleşmesi (EULA), Kaspersky Security Network (KSN) bildirimi ve diğer belgelerde bulunabilir.

Kullanıcı verilerini nasıl koruyorsunuz?

Kullanıcı verilerinin güvenliği ve emniyeti Kaspersky için bir önceliktir ve şirket, olası riskleri azaltmak için çok yönlü bir yaklaşım izlemektedir. Kaspersky, şirketin güvenlik politikası ve stratejisini uygulamakla sorumlu olan ve güvenlik performansını sürekli olarak izleyen ve güvenlik süreçlerinin etkinliğini değerlendiren özel bir Bilgi Güvenliği Departmanı tarafından yürütülen olgun bir güvenlik yönetimi politikasına sahiptir.

Kullanıcı verileri, modern koruma algoritmaları kullanılarak korunmaktadır. Şirket, kullanıcı verilerine yetkisiz erişimi önlemek için ağ ve erişim güvenliğini sağlamakta ve gözetim ve alarm sistemleri ile güvenliği sağlanan veri altyapısına fiziksel erişimi sıkı bir şekilde kontrol etmektedir. Şirketin ağlarının ve sistemlerinin genel güvenliği, başta sürekli varlık yönetimi, bütünsel risk ve güvenlik açığı yönetimi süreci, düzenli uyum kontrolleri ve sürekli çalışan eğitimi gibi tedbirlerle desteklenmektedir. Gizliliğinizi ve verilerinizi nasıl koruduğumuzla ilgili daha fazla ayrıntı için lütfen Kaspersky Ürün ve Hizmetleri Gizlilik Politikasını inceleyin.

İşlediğiniz verileri nasıl anonim hale getiriyorsunuz?

Kaspersky, kullanıcı gizliliğini çok ciddiye alır. Şirket, işlenen verileri anonimleştirmek için şu önlemleri alır:

  • Koruma düzeyini artıran ve yeniden tanımlanma risklerini azaltan katmanlı bir yaklaşım: genelleme, rastgeleleştirme ve farklılaştırılmış gizlilik gibi tekniklerin birleştirilmesi;
  • İşlenmiş verilerden (örneğin URL'ler, dosyalar vb.) tüm doğrudan tanımlayıcıları (ör. isimler, kimlik numaraları) kaldırmak;
  • Bilgiler, anonimleştirilmiş ve toplu istatistikler şeklinde işlenir ve belirli kişilere atfedilmez;
  • Anonimleştirilmiş verilerin, bireylerin kimliklerini yeniden tespit edebilecek diğer veri setleriyle ilişkilendirilmesinin önlenmesi için, veriler erişim haklarına ilişkin katı ilkelerle ayrı sunucularda depolanır;
  • Olası tehdit verilerini işlerken, benzersiz bir dosya tanımlayıcı sağlayan tek yönlü matematiksel fonksiyonlar olan karma toplamlarını kullanıyoruz.
  • Anonimleştirme süreçlerini belgelemek ve düzenli olarak denetlemek.

Kaspersky verileri nerede saklar?

Kaspersky küresel bir şirkettir ve veri işleme altyapımız dünyanın dört bir yanına yayılmıştır (İsviçre, Almanya, Rusya, Kanada vb.). Bu sayede bilgiler daha hızlı işlenebilir ve herhangi bir nedenle sunuculardan biri arızalandığında diğerleri devreye girerek hizmetin kesintisiz devamı sağlanır. Kişisel verilerin işlenebileceği ülkelerin ayrıntılı listesi, Ürün ve Hizmetler Gizlilik Politikası dahil olmak üzere Kaspersky'nin resmi politikalarında bulunabilir.

Küresel Şeffaflık Girişimi(GTI) kapsamında Kaspersky, veri işleme altyapısının bir kısmını yeniden konumlandırdı. Avrupa, Kuzey ve Latin Amerika, Orta Doğu ve Asya-Pasifik bölgesindeki çeşitli ülkelerdeki Kaspersky ürünlerinin kullanıcıları tarafından gönüllü olarak paylaşılan kötü amaçlı ve şüpheli dosyalar, İsviçre'nin Zürih kentindeki iki veri merkezinde işlenmektedir. Bu merkezler, önde gelen güvenlik standartlarına uygun, dünya standartlarında tesisler sunmaktadır. Ayrıca, İsviçre, AB ile yeterlilik kararı almış az sayıdaki ülkeden biridir. Bu, ülkenin kişisel verilerin korunması konusunda yeterli koruma sağladığı Avrupa Komisyonu tarafından kabul edildiği anlamına gelir.

Kaspersky Security Network nedir?

Kaspersky Security Network (KSN), yeni ve bilinmeyen siber tehditleri en etkili şekilde tespit etmek ve böylece kullanıcılara en hızlı ve en etkili korumayı sağlamak amacıyla oluşturulan Kaspersky'nin ana bulut sistemlerinden biridir. KSN, bu sistemi kullanmaya karar veren Kaspersky kullanıcılarının sahip olduğu milyonlarca cihazdan alınan siber tehdit verilerini otomatik olarak işler. Bu bulut tabanlı sistem yaklaşımı, artık birçok küresel siber güvenlik tedarikçisi tarafından uygulanan endüstri standardıdır.

"Bulut tabanlı sistem" nedir?

Bireysel aygıtlar yerine şirket sunucularında çalışan ve Internet üzerinden dünyanın her yerinde kullanılabilen bir sistemdir. Bulut sistemlerine örnek olarak e-posta, dosya paylaşımı ve dosya barındırma hizmeti verilebilir. Kaspersky Security Network hizmetleri dünyanın farklı ülkelerinde (Kanada, Almanya, İsviçre, Rusya vb.) bulunmaktadır. Bu sayede bilgiler daha hızlı işlenebilir ve herhangi bir sunucu arızası durumunda diğer sunucuların kullanılabilirliği garanti altına alınır.

Bulut esaslı korumanın amacı nedir?

Kaspersky, hibrit koruma modelini (antivirüs veritabanları + proaktif savunma + bulut) en etkili model olarak görmektedir.

Güvenlik bulutunun yüksek performansı, siber tehditleri daha hızlı ve daha doğru bir şekilde analiz etmemizi sağlar. Antivirüs ve kimlik avı önleme veritabanlarının geleneksel güncelleme döngüsü genellikle birkaç saat sürerken, bulut kullanıcıları yeni tehditlere karşı dakikalar içinde koruma sağlayabilir.

Bulut kullanımı ayrıca kullanıcı cihazında çok fazla bellek ve kaynak kullanmayı önleyerek ürünün "daha hafif" olmasını sağlar.

Veri işleme sınırlı olabilir mi?

Müşterilerimiz, kullanmak istedikleri ürün veya hizmetin işlevselliğine ve ilgili kabul edilen anlaşmalara göre, hangi verileri ve ne kadar veri sağlamak istediklerini seçebilirler. Kaspersky, müşterilerin bilinçli kararlar alabilmelerini sağlamak için her zaman veri işlemeyle ilgili bilgileri, özellikle de işlenecek verilerin tam listesini sağlar. Ayrıca Kaspersky, Şeffaflık raporunda kullanıcılarımızdan kaç adet veri talebi alındığını ve işlendiğini düzenli olarak kamuya açıklar. En son rapora buradanulaşabilirsiniz.

Bazı kurumsal ürünler için, müşterilerimiz hiçbir veri paylaşımı olmayacak şekilde çözümlerini yapılandırabilir ve https://support.kaspersky.com/general/privacy adresinden doğrudan bizimle iletişime geçerek işlenen kişisel verilerine erişim hakkını kullanabilirler.

Kaspersky çözümleri tarafından işleme alınan kişisel verileri üçüncü kişilerle paylaşıyor musunuz?

Kullanıcı veri altyapısı da dahil olmak üzere, hiçbir üçüncü taraf ya da herhangi bir devlet kuruluşuna şirketin altyapısına asla erişim hakkı sağlamayız.

Kaspersky, tedarikçileriyle veri işleme anlaşmaları yoluyla verileri paylaşabilir. Bu tür tedarikçileri seçerken, yasal gerekliliklere ve veri işleme yaklaşımlarımıza uyumu dikkatle kontrol ediyoruz. Bu satıcılar bize örneğin bulut depolama ve diğer ilgili hizmetleri sağlar.

Kaspersky ayrıca uluslararası kolluk kuvvetleriyle işbirliği yaparak siber suçların soruşturulması için gerekli bilgileri onlarla paylaşmaktadır.  Şirket, bu temaslar konusunda şeffaf davranarak, Şeffaflık Raporlarında kullanıcı verileri ve teknik uzmanlık ile ilgili gelen kolluk kuvvetleri taleplerine ilişkin verileri yayınlamaktadır.

These reports also outline the company’s core principles in responding to requests from global government and law enforcement agencies and demonstrate our multi-step procedure for assessing each received request.  Bu nedenle, kullanıcı verileriyle ilgili tüm gelen talepler zorunlu yasal doğrulama sürecinden geçer. Bu süreçte, taleplerin yasal olarak haklı olup olmadığını, geçerli yasalara uygun olarak düzenlendiğini ve Kaspersky kullanıcılarının güvenliğini veya gizliliğini tehlikeye atmayacak şekilde uygulanabileceğini kontrol ederiz. 

Veri işleme yöntemlerinizi sertifikalandırdınız mı?

Şirketin kullanıcılarımız için en yüksek güvenlik önlemlerini uyguladığını doğrulamak amacıyla, Kaspersky'nin veri hizmetleri düzenli olarak üçüncü taraf güvenlik denetimlerinden ve değerlendirmelerinden geçmektedir. Özellikle, şirketin veri hizmetleri ISO 27001 sertifikasına sahip olup, 2022 yılında kapsamı genişletilerekyeniden sertifikalandırılmıştır. Böylece, siber tehditlerle ilgili verilerin ve istatistiklerin işlenmesine yönelik veri hizmetleri de sertifikasyon kapsamına alınmıştır. Sertifika, şirketin Zürih, Frankfurt, Toronto, Moskova ve Pekin'deki veri merkezlerinde bulunan veri hizmetleri için geçerlidir. Uluslararası alanda en iyi uygulama sektörü ve geçerli güvenlik standardı olarak kabul edilen ISO/IEC 27001:2013 standardına uygunluk, Kaspersky'nin bilgi güvenliğini uygulama ve yönetme yaklaşımının temelini oluşturmaktadır. Üçüncü taraf akredite sertifikasyon kuruluşu tarafından verilen bu sertifika, güçlü bilgi güvenliğine olan bağlılığımızı ve Kaspersky Veri Hizmetinin sektörün önde gelen en iyi uygulamalarına uygun olduğunu göstermektedir. Yeniden sertifikalandırmaya dair nihai rapor, talep üzerine kurumsal müşterilerimize ve ortaklarımıza sunulmaktadır.