Développé par l’American Institute of Certified Public Accountants (AICPA), le Service Organization Controls (SOC) Reporting Framework est un rapport reconnu mondialement qui confirme que les contrôles de sécurité de l’organisation sont conformes aux critères des services de confiance (TSC) de l’AICPA, à savoir la sécurité, la disponibilité, l’intégrité du traitement, la confidentialité et la vie privée. Kaspersky avait passé pour la première fois l’examen SOC 2 de Type 1 en 2019 dans le cadre de l’Initiative Globale de Transparence de l’entreprise.

La réévaluation, lancée fin janvier 2022 a été achevée avec succès fin avril. Au cours de l’examen, les auditeurs du cabinet ont notamment passé en revue les politiques et procédures de l’entreprise relatives au développement et à la distribution des bases antivirales (AV), la sécurité réseau et physique de l’infrastructure impliquée dans ce processus et les outils de suivi utilisés par l’équipe de Kaspersky. L’examen a également porté sur la manière dont l’entreprise communique les termes et conditions du processus de distribution des bases AV à ses employés, utilisateurs et clients.

Les résultats de l’audit ont conclu que les contrôles internes de Kaspersky pour protéger le développement et la distribution de ses bases antivirales pour les systèmes Windows et Unix, étaient correctement réalisés et remplissent les 5 catégories de confiance couvertes par le TSC. Le périmètre de l’audit actuel a été étendu par rapport à celui de 2019, dans la mesure où Kaspersky a depuis introduit de nouveaux outils de sécurité et de contrôle. Le rapport complet peut être fourni à nos clients sur demande.

Le renouvellement du rapport SOC 2 de Type 1 s’inscrit dans un panel d’activités plus large, compris dans l’initiative mondiale de transparence de Kaspersky, démontrant l’engagement continu de l’entreprise envers ses responsabilités. Kaspersky est l’une des premières entreprises à avoir ouvert et à opérer des centres de transparence, au sein desquels les parties prenantes de l’entreprise peuvent réviser le code source de Kaspersky, les mises à jour des logiciels et les règles de détection de la menace. Elle sollicite régulièrement des évaluations indépendantes, par des tiers, des pratiques d’ingénierie de l’entreprise, des services de données et de la conformité aux normes industrielles existantes. Plus tôt cette année, la société a également renouvelé sa certification ISO 27001*, une norme de sécurité applicable reconnue au niveau international, délivrée par l’organisme de certification indépendant TÜV AUSTRIA.