Adapty ist die Abonnement-Infrastrukturschicht für Tausende von mobilen Apps und verarbeitet im Auftrag unserer Kunden Abonnementtransaktionen in Milliardenhöhe.
Diese Position bringt eine klare Verpflichtung mit sich: Die Daten, die Sie und Ihre Nutzer uns anvertrauen, müssen sorgfältig behandelt, von unabhängigen Prüfern auditiert und durch Kontrollen geschützt werden, die nicht von einzelnen Personen abhängen.
Diese Seite beschreibt, wie wir das umsetzen.
Zertifizierungen
SOC 2 Type II
SOC 2 Typ II. Eine unabhängige Wirtschaftsprüfungsgesellschaft prüft unsere Sicherheits-, Verfügbarkeits- und Vertraulichkeitskontrollen und stellt eine SOC 2 Typ II-Bescheinigung aus, die die Wirksamkeit dieser Kontrollen im Berichtszeitraum abdeckt. Der aktuelle Bericht ist für Kunden und potenzielle Kunden unter NDA verfügbar. Sie können ihn bei Ihrem Account-Team oder unter [email protected] anfordern.
Datenschutzvorschriften
Datenschutzvorschriften. Adapty verarbeitet Endnutzerdaten ausschließlich als Auftragsverarbeiter und handelt dabei nur gemäß den dokumentierten Weisungen unserer Kunden im Rahmen unseres Datenverarbeitungsvertrags. Unsere Verarbeitungspraktiken sind darauf ausgelegt, die Anforderungen folgender Regelwerke zu erfüllen:
- DSGVO (EU und Vereinigtes Königreich);
- LGPD (Brasilien).
Wenn Ihre Rechtsordnung spezifische Anforderungen hat, die oben nicht aufgeführt sind, kontaktieren Sie uns — wir können diesen in der Regel gerecht werden.
So schützen wir Daten
Verschlüsselung
Verschlüsselung. Alle Kundendaten werden bei der Übertragung (TLS 1.2+) und im Ruhezustand mit branchenüblichen Verschlüsselungsverfahren gesichert.
Netzwerk und Infrastruktur
Netzwerk und Infrastruktur. Der Produktivbetrieb läuft in abgesicherten, branchenüblichen Umgebungen mit Netzwerksegmentierung zwischen den Diensten, eingeschränktem ein- und ausgehendem Datenverkehr sowie einem Prinzip der minimalen Rechtevergabe für die kleine Gruppe von Ingenieuren, die Zugang zur Produktionsumgebung haben. Der Produktionszugang erfordert eine Multi-Faktor-Authentifizierung und wird protokolliert.
Kontinuierliches Monitoring
Kontinuierliche Überwachung. Protokolle unserer Infrastruktur und Anwendungen werden zentral aggregiert, Anomalien lösen automatisierte Warnmeldungen aus, und ein Bereitschaftsingenieur steht rund um die Uhr für die Reaktion auf Vorfälle zur Verfügung.
Sichere Entwicklung
Sichere Entwicklung. Jede Codeänderung durchläuft vor der Übernahme in die Produktion ein Peer-Review, eine automatisierte statische Analyse sowie Sicherheitsprüfungen in der CI-Pipeline. Abhängigkeiten werden erfasst und nach einem festgelegten Zeitplan aktualisiert. Eine klar definierte Deployment-Pipeline dokumentiert, wer was wann ausgeliefert hat.
Betriebliche Praktiken
Mitarbeiter
Mitarbeitende. Alle Mitarbeitenden absolvieren bei Eintritt und jährlich eine Sicherheitsschulung. Die Multi-Faktor-Authentifizierung ist auf jedem Unternehmenssystem, das sie unterstützt, verpflichtend. Der Zugriff auf Kundendaten ist eingeschränkt, wird protokolliert und regelmäßig überprüft.
Anbieter
Dienstleister. Jeder Dritte, auf den wir für Infrastruktur, Datenverarbeitung oder Sicherheit angewiesen sind, durchläuft vor der Zusammenarbeit eine dokumentierte Prüfung und wird regelmäßig neu bewertet. Von kritischen Anbietern werden gleichwertige Zertifizierungen verlangt (in der Regel SOC 2 Typ II oder ISO 27001).
Resilienz
Ausfallsicherheit. Wir erstellen verschlüsselte Backups nach einem festgelegten Zeitplan, gewährleisten Redundanz bei unseren kritischen Diensten und testen unsere Disaster-Recovery-Verfahren – damit eine Wiederherstellung etwas ist, das wir tatsächlich geübt haben, und nicht etwas, das wir erst unter Druck herausfinden müssen.
Incident Response
Reaktion auf Sicherheitsvorfälle. Wir pflegen einen dokumentierten Incident-Response-Plan mit definierten Schweregraden, Kommunikationsprotokollen und einer Nachbesprechung nach jedem Vorfall.
Eine Schwachstelle melden
Wenn Sie glauben, ein Sicherheitsproblem in Adapty entdeckt zu haben, senden Sie bitte eine E-Mail an [email protected]. Wir untersuchen jeden glaubwürdigen Bericht, arbeiten gemeinsam mit dem Meldenden an der Behebung und würdigen Sicherheitsforschende, die verantwortungsvolle Offenlegung praktizieren (sofern sie nicht anonym bleiben möchten).
Für Unternehmenssicherheitsprüfungen
Enterprise-Kunden und Interessenten können folgendes bei [email protected] anfordern:
- Aktueller SOC 2 Type II Bericht (unter NDA);
- Ausgefüllter Sicherheitsfragebogen (CAIQ, SIG oder Ihr eigenes Format);
- Zusammenfassung der Informationssicherheitsrichtlinie;
- Zusammenfassung des Penetrationstests.
