Adapty es la capa de infraestructura de suscripciones para miles de aplicaciones móviles, procesando miles de millones de dólares en transacciones de suscripción en nombre de nuestros clientes.
Esa posición conlleva una obligación clara: los datos que usted y sus usuarios nos confían deben manejarse con cuidado, ser auditados por personas ajenas a nuestra empresa y estar protegidos por controles que no dependan de ninguna persona en particular.
Esta página describe cómo lo hacemos.
Certificaciones
SOC 2 Type II
SOC 2 Tipo II. Una firma independiente de CPA examina nuestros controles de seguridad, disponibilidad y confidencialidad, y emite una certificación SOC 2 Tipo II que cubre la efectividad operativa de dichos controles durante el período del informe. El informe actual está disponible para clientes y posibles clientes bajo NDA. Puede solicitarlo a través de su equipo de cuenta o escribiendo a [email protected].
Regulaciones de privacidad
Normativa de privacidad. Adapty procesa los datos de los usuarios finales estrictamente como encargado del tratamiento, actuando únicamente según las instrucciones documentadas de nuestros clientes en virtud de nuestro Acuerdo de Tratamiento de Datos. Nuestras prácticas de tratamiento están diseñadas para cumplir con los requisitos de:
- RGPD (UE y Reino Unido);
- LGPD (Brasil).
Si su jurisdicción tiene requisitos específicos no enumerados anteriormente, contáctenos — normalmente podemos adaptarnos a ellos.
Cómo protegemos los datos
Cifrado
Cifrado. Todos los datos de los clientes están cifrados en tránsito (TLS 1.2+) y en reposo mediante cifrados estándar del sector.
Red e infraestructura
Red e infraestructura. La producción se ejecuta en entornos reforzados según los estándares del sector, con segmentación de red entre servicios, restricciones de entrada y salida de tráfico, y acceso con privilegios mínimos para el reducido grupo de ingenieros que puede acceder a producción. El acceso a producción requiere autenticación multifactor y queda registrado.
Monitoreo continuo
Monitorización continua. Los registros de nuestra infraestructura y aplicaciones se agregan de forma centralizada, las anomalías generan alertas automatizadas y un ingeniero de guardia está disponible las 24 horas del día, los 7 días de la semana para responder a incidentes.
Desarrollo seguro
Desarrollo seguro. Cada cambio de código pasa por revisión entre pares, análisis estático automatizado y verificaciones de seguridad en CI antes de poder llegar a producción. Las dependencias se rastrean y actualizan según un calendario definido, y mantenemos un proceso de despliegue claro que registra quién publicó qué y cuándo.
Prácticas operativas
Personas
Personas. Todo el personal completa formación en concienciación sobre seguridad al incorporarse y de forma anual. La autenticación multifactor es obligatoria en todos los sistemas de la empresa que la admiten. El acceso a los datos de los clientes está restringido, registrado y revisado periódicamente.
Proveedores
Proveedores. Cada tercero del que dependemos para infraestructura, tratamiento de datos o seguridad pasa por una revisión documentada antes de incorporarlo y es reevaluado periódicamente. Se exige a los proveedores críticos que cuenten con certificaciones equivalentes (generalmente SOC 2 Tipo II o ISO 27001).
Resiliencia
Resiliencia. Realizamos copias de seguridad cifradas según un calendario definido, mantenemos redundancia en nuestros servicios críticos y ponemos a prueba nuestros procedimientos de recuperación ante desastres, de modo que la recuperación sea algo que hayamos ensayado realmente y no algo que planeemos resolver bajo presión.
Respuesta a incidentes
Respuesta a incidentes. Mantenemos un plan de respuesta a incidentes documentado con niveles de gravedad definidos, protocolos de comunicación y revisión posterior al incidente.
Reportar una vulnerabilidad
Si cree haber encontrado un problema de seguridad en Adapty, escríbanos a [email protected]. Investigamos cada informe creíble, colaboramos con el informante en la remediación y reconocemos públicamente a los investigadores que siguen una divulgación responsable (salvo que prefieran permanecer en el anonimato).
Para revisiones de seguridad empresarial
Los clientes y prospectos del plan Enterprise pueden solicitar lo siguiente a través de [email protected]:
- Informe SOC 2 Type II actual (bajo NDA);
- Cuestionario de seguridad completado (CAIQ, SIG o su propio formato);
- Resumen de la Política de Seguridad de la Información;
- Resumen de la prueba de penetración.
