Saltar al contenido principal

El enfoque de Kaspersky sobre el procesamiento de datos

La base con la que Kaspersky afronta el procesamiento de los datos de usuarios es el respeto y la protección de la privacidad de las personas, así como un compromiso de transparencia y responsabilidad.

El objetivo principal del procesamiento de datos en nuestra empresa es proporcionar a nuestros clientes las mejores soluciones de ciberseguridad. Para alcanzar este objetivo, por lo general, procesamos los datos con tres fines principales: (a) respaldar la funcionalidad clave del producto, (b) aumentar el rendimiento y la eficacia de los componentes de protección, y (c) ofrecer soluciones mejoradas y más adecuadas a los clientes y proporcionarles contenidos apropiados. Para obtener más información, consulta nuestra Política de privacidad de productos y servicios.

Para alcanzar estos objetivos, los datos no siempre tienen que estar vinculados a una persona concreta y pueden ser anonimizados siempre que sea posible. Las medidas adoptadas por Kaspersky para lograr este objetivo incluyen la eliminación de los datos de las cuentas de las URL transmitidas, la obtención de sumas hash de las amenazas en lugar de los archivos exactos, el ocultamiento de las direcciones IP de los usuarios, etc.

En la mayoría de los casos, los usuarios de los productos Kaspersky pueden elegir si desean proporcionar datos personales a la empresa o pueden elegir cuántos datos desean proporcionar, según la funcionalidad de los productos, servicios y sitios web. También pueden abstenerse de enviar información directamente a Kaspersky. 

Kaspersky siempre proporciona información clara sobre el procesamiento de datos, en particular, la lista completa de datos que se someterán a procesamiento, con el fin de garantizar que los clientes puedan tomar decisiones informadas. Kaspersky revisa constantemente el tipo de datos que procesan sus soluciones para proteger la privacidad de sus clientes y cumplir con los requisitos legales más recientes.

Todos los datos procesados o transferidos están completamente protegidos mediante código de cifrado, certificados digitales, almacenamiento por separado y políticas estrictas de acceso a datos y mediante otros métodos. La empresa también aplica el Marco de desarrollo de software seguro (SSDF) e implementa controles de gestión de riesgos en la cadena de suministro para proteger su infraestructura y sus sistemas de procesamiento de datos.

Cada seis meses, en nuestro informe de transparencia, compartimos públicamente información sobre cuántas solicitudes de datos recibimos y procesamos de nuestros usuarios.




¿Procesas datos personales?

De conformidad con algunos marcos legales (como el RGPD), la información procesada por Kaspersky puede contener datos que podrían considerarse personales o de identificación personal. Los productos Kaspersky nunca procesan datos personales "confidenciales" de los clientes, como religión, opiniones políticas, preferencias sexuales, salud u otras categorías especiales de datos personales.

Si el procesamiento de datos personales es necesario para alcanzar los objetivos de los productos o servicios, Kaspersky analiza cuidadosamente los fines, la composición y la base jurídica del procesamiento de los datos personales en relación con la legislación aplicable. El conjunto de datos personales procesados siempre se ajusta a los fines del procesamiento; nuestros productos o servicios no recopilan ni procesan datos personales excesivos. Además, Kaspersky siempre proporciona toda la información relacionada sobre el procesamiento de datos, en particular, la lista completa de datos que se someterán a procesamiento, con el fin de garantizar que los clientes estén informados y puedan tomar decisiones con conocimiento de causa. Los detalles sobre los datos procesados se pueden encontrar en el Acuerdo de licencia de usuario final (EULA), la declaración de Kaspersky Security Network (KSN), la Política de privacidad de Kaspersky para sitios web y servicios web y en otros documentos proporcionados, que varían en función del producto o servicio. Los datos que recopilamos y procesamos se utilizan en forma de estadísticas agregadas y no se atribuyen a ninguna persona concreta, ya que se anonimizan siempre que es posible.

¿Qué datos se procesan?

Cualquier servicio de TI moderno requiere procesar grandes cantidades de datos para funcionar de manera eficiente. La composición de los datos procesados depende del producto o servicio específico. Como líder mundial en ciberseguridad, Kaspersky puede procesar datos y estadísticas diversos relacionados con las ciberamenazas. Los datos relacionados con ciberamenazas incluyen archivos sospechosos y maliciosos, así como estadísticas que permiten identificar tanto amenazas de seguridad de la información ya conocidas como nuevo malware y métodos de los atacantes. Estas estadísticas también se conocen como metainformación, es decir, información técnica complementaria sobre eventos que tuvieron lugar en el equipo de un usuario y que nuestros productos pueden enviar en función de diversos factores, como las actividades del usuario, la configuración de los productos Kaspersky, la configuración del sistema operativo en el que está instalado un producto Kaspersky y otro software instalado en el sistema. Los detalles sobre todos los datos procesados se pueden encontrar en el Acuerdo de licencia de usuario final (EULA), la declaración de Kaspersky Security Network (KSN) y en otros documentos proporcionados, que varían en función del producto o servicio.

¿Cómo proteges los datos de los usuarios?

La seguridad y protección de los datos de los usuarios es una prioridad para Kaspersky, y la empresa sigue un enfoque multifacético para mitigar cualquier riesgo potencial. Kaspersky cuenta con una política de gestión de la seguridad consolidada, ejecutada por un Departamento de Seguridad de la Información dedicado, que se encarga de implementar la política y la estrategia de seguridad de la empresa y lleva a cabo un seguimiento continuo del rendimiento de la seguridad y la evaluación de la eficacia de los procesos de seguridad.

Los datos de los usuarios están protegidos mediante algoritmos de protección modernos, y la empresa garantiza la seguridad de la red y del acceso para impedir el acceso no autorizado a los datos de los usuarios y controla estrictamente el acceso físico a su infraestructura de datos, que está protegida con sistemas de vigilancia y alarma. La seguridad general de las redes y los sistemas de la empresa se sustenta en medidas tales como la gestión continua de activos, un proceso integral de gestión de riesgos y vulnerabilidades, controles periódicos de cumplimiento y formación continua de los empleados, entre otras. Para obtener más información sobre cómo protegemos tu privacidad y tus datos, consulta la Política de privacidad de los productos y servicios Kaspersky.

¿Cómo se anonimizan los datos que se procesan?

Kaspersky se toma muy en serio la privacidad de los usuarios. La empresa implementa las siguientes medidas para anonimizar los datos procesados:

  • Un enfoque por capas que mejora la protección y reduce los riesgos de reidentificación: combinación de técnicas como la generalización, la aleatorización y la privacidad diferencial.
  • Eliminación de todos los identificadores directos (por ejemplo, nombres, números de identificación) de los datos procesados (por ejemplo, URL, archivos, etc.).
  • La información se procesa en forma de estadísticas anónimas y agregadas y no se atribuye a personas específicas.
  • Para evitar que los datos anonimizados se vinculen con otros conjuntos de datos que podrían volver a identificar a las personas, los datos se almacenan en servidores separados con políticas estrictas en materia de derechos de acceso.
  • Cuando procesamos datos sobre posibles amenazas, utilizamos sumas hash, que son funciones matemáticas unidireccionales que proporcionan un identificador de archivo único.
  • Documentación y auditoría periódica de los procesos de anonimización.

¿Donde almacena Kaspersky los datos?

Kaspersky es una empresa global y nuestra infraestructura para el procesamiento de datos está distribuida por todo el mundo (por ejemplo, en Suiza, Alemania, Rusia, Canadá, etc.), lo que permite un procesamiento más rápido de la información y garantiza la disponibilidad de los servidores en caso de que uno de ellos falle por cualquier motivo. La lista detallada de los países en los que se pueden procesar datos personales se encuentra en las políticas oficiales de Kaspersky, incluida la Política de privacidad de productos y servicios.

Como parte de nuestra Iniciativa de transparencia global (GTI), Kaspersky reubicó parte de su infraestructura de procesamiento de datos. Los archivos maliciosos y sospechosos compartidos voluntariamente por usuarios de productos Kaspersky en Europa, América del Norte y Latina, Medio Oriente y en varios países de Asia-Pacífico se procesan en dos centros de datos en Zúrich, Suiza. Estos centros ofrecen instalaciones de primera categoría que cumplen con los principales estándares de seguridad. Además, Suiza es uno de los pocos países que cuenta con una decisión de adecuación con la UE, lo que significa que la Comisión Europea reconoció que el país ofrece una protección adecuada de los datos personales.

¿Qué es Kaspersky Security Network?

Kaspersky Security Network (KSN) es uno de los principales sistemas basados en la nube de Kaspersky creado para sacar el máximo partido del descubrimiento de ciberamenazas nuevas y desconocidas para de este modo poder garantizar a los usuarios una protección rápida y eficaz. KSN procesa automáticamente los datos relacionados con ciberamenazas recibidos de millones de dispositivos propiedad de usuarios de Kaspersky que decidieron utilizar este sistema. Este enfoque de sistema basado en la nube se ha convertido en la norma del sector y lo aplican muchos proveedores globales de ciberseguridad.

¿Qué es un sistema "basado en la nube"?

Es un sistema que se ejecuta en los servidores de una empresa y no en los dispositivos individuales, y que se puede utilizar a través de Internet desde cualquier parte del mundo. Algunos ejemplos de sistemas en la nube son el correo electrónico, el intercambio de archivos y el alojamiento de archivos. Los servicios de Kaspersky Security Network se encuentran ubicados en diferentes países de todo el mundo (Canadá, Alemania, Suiza, Rusia, etc.), lo que permite un procesamiento más rápido de la información y garantiza la disponibilidad del servidor en caso de que alguno de ellos falle.

¿Cuál es el objetivo de la protección basada en la nube?

Kaspersky considera que el modelo de protección híbrido (bases de datos antivirus + defensa proactiva + la nube) es el más eficaz.

El alto rendimiento de la nube de seguridad nos permite analizar las ciberamenazas con mayor rapidez y precisión. Mientras que el ciclo tradicional de actualización de las bases de datos antivirus y antiphishing suele tardar varias horas, la nube puede proporcionar a los usuarios protección contra una nueva amenaza en cuestión de minutos.

El uso de la nube también puede hacer que un producto de seguridad sea más "ligero", ya que evita que emplee demasiada memoria y recursos en el dispositivo del usuario.

¿Puede limitarse el procesamiento de datos?

Nuestros clientes pueden elegir si desean proporcionar datos y en qué medida, según la funcionalidad del producto o servicio que deseen utilizar y de los respectivos acuerdos aceptados. Kaspersky siempre proporciona información sobre el procesamiento de datos, en particular, la lista completa de datos que se someterán a procesamiento, con el fin de garantizar que los clientes puedan tomar decisiones informadas. Además, Kaspersky divulga periódicamente información sobre la cantidad de solicitudes de datos recibidas y procesadas de nuestros usuarios en su Informe de transparencia. El último informe está disponible aquí.

En el caso de algunos de los productos corporativos, nuestros clientes pueden configurar sus soluciones de manera que no se comparta ningún dato en absoluto, así como ejercer su derecho a acceder a sus datos personales tratados poniéndose en contacto con nosotros directamente a través de https://support.kaspersky.com/mx/general/privacy.

¿Se comparten con terceros datos personales que procesan las soluciones de Kaspersky?

Nunca permitimos a ningún tercero u organización gubernamental acceder a la infraestructura de la empresa, lo que incluye la infraestructura de los datos de usuarios.

Kaspersky puede compartir datos con sus proveedores mediante acuerdos de procesamiento de datos celebrados con ellos. Al seleccionar dichos proveedores, controlamos cuidadosamente el cumplimiento de los requisitos legales y nuestros enfoques en materia de tratamiento de datos. Estos proveedores nos proporcionan, por ejemplo, almacenamiento en la nube y otros servicios relevantes.

Kaspersky también colabora con organismos internacionales encargados de hacer cumplir la ley y comparte con ellos la información necesaria para la investigación de delitos cibernéticos.  La empresa es transparente sobre estos contactos y publica datos sobre las solicitudes recibidas por parte de las fuerzas del orden en relación con los datos de los usuarios y los conocimientos técnicos en sus Informes de transparencia.

Estos informes también describen los principios fundamentales de la empresa a la hora de responder a las solicitudes de organismos gubernamentales y fuerzas del orden de todo el mundo, y muestran nuestro procedimiento de varios pasos para evaluar cada solicitud recibida.  Por lo tanto, todas las solicitudes entrantes de datos de usuarios se someten a una verificación legal obligatoria, durante la cual nos aseguramos de que las solicitudes estén legalmente justificadas, se hayan emitido de conformidad con las leyes aplicables y puedan implementarse de manera que no pongan en riesgo la seguridad ni la privacidad de los usuarios de Kaspersky. 

¿Están certificados los métodos de procesamiento de datos?

Para confirmar que la empresa aplica la máxima seguridad para nuestros usuarios, los servicios de datos de Kaspersky se someten periódicamente a auditorías y evaluaciones de seguridad realizadas por terceros. En concreto, los servicios de datos de la empresa obtuvieron la certificación ISO 27001 y se recertificaron en 2022 con un alcance ampliado, de modo que los servicios de datos para el tratamiento tanto de datos relacionados con las ciberamenazas como de estadísticas están cubiertos por la certificación. La certificación es válida para los servicios de datos de la empresa ubicados en centros de datos en Zúrich, Fráncfort, Toronto, Moscú y Pekín. El cumplimiento de la norma ISO/IEC 27001:2013, reconocida internacionalmente como la mejor práctica de la industria y la norma de seguridad aplicable, es la base del enfoque de Kaspersky para implementar y gestionar la seguridad de la información. La certificación, otorgada por un organismo de certificación acreditado independiente, demuestra nuestro compromiso con la seguridad de la información y que el servicio de datos de Kaspersky cumple con las mejores prácticas líderes de la industria. El informe final de la recertificación se entrega a nuestros clientes corporativos y socios previa solicitud.