Adapty est la couche d’infrastructure d’abonnement de milliers d’applications mobiles, traitant des milliards de dollars de transactions d’abonnement pour le compte de nos clients.
Cette position implique une obligation claire: les données que vous et vos utilisateurs nous confiez doivent être traitées avec soin, auditées par des personnes extérieures à notre équipe et protégées par des contrôles qui ne dépendent d’aucune personne en particulier.
Cette page décrit comment nous y parvenons.
Certifications
SOC 2 Type II
SOC 2 Type II. Un cabinet comptable indépendant examine nos contrôles de sécurité, de disponibilité et de confidentialité, et émet une attestation SOC 2 Type II couvrant l’efficacité opérationnelle de ces contrôles sur la période de référence. Le rapport actuel est disponible pour les clients et les prospects sous NDA. Vous pouvez le demander auprès de votre équipe commerciale ou à l’adresse [email protected].
Réglementations sur la confidentialité
Réglementations sur la protection des données. Adapty traite les données des utilisateurs finaux exclusivement en tant que sous-traitant, agissant uniquement sur les instructions documentées de nos clients dans le cadre de notre Accord de traitement des données. Nos pratiques de traitement sont conçues pour répondre aux exigences de :
- RGPD (UE et Royaume-Uni) ;
- LGPD (Brésil).
Si votre juridiction a des exigences spécifiques non listées ci-dessus, contactez-nous — nous pouvons généralement y répondre.
Comment nous protégeons les données
Chiffrement
Chiffrement. Toutes les données clients sont chiffrées en transit (TLS 1.2+) et au repos à l’aide de chiffrements conformes aux standards du secteur.
Réseau et infrastructure
Réseau et infrastructure. La production s’exécute dans des environnements renforcés conformes aux standards du secteur, avec une segmentation réseau entre les services, des règles d’entrée et de sortie restreintes, et un accès selon le principe du moindre privilège pour le petit groupe d’ingénieurs pouvant accéder à la production. L’accès à la production requiert une authentification multifacteur et est journalisé.
Surveillance continue
Surveillance continue. Les journaux de notre infrastructure et de nos applications sont centralisés, les anomalies déclenchent des alertes automatiques, et un ingénieur d’astreinte est disponible 24h/24, 7j/7 pour répondre aux incidents.
Développement sécurisé
Développement sécurisé. Chaque modification du code fait l’objet d’une revue par les pairs, d’une analyse statique automatisée et de contrôles de sécurité en intégration continue avant de pouvoir atteindre la production. Les dépendances sont suivies et corrigées selon un calendrier défini, et nous maintenons un pipeline de déploiement clair qui enregistre qui a livré quoi et à quel moment.
Pratiques opérationnelles
Personnes
Collaborateurs. Tout le personnel suit une formation de sensibilisation à la sécurité à l’embauche et annuellement. L’authentification multifacteur est obligatoire sur chaque système de l’entreprise qui la prend en charge. L’accès aux données clients est restreint, journalisé et régulièrement audité.
Fournisseurs
Fournisseurs. Chaque tiers sur lequel nous nous appuyons pour l’infrastructure, le traitement des données ou la sécurité fait l’objet d’une évaluation documentée avant son intégration et est réévalué périodiquement. Les fournisseurs critiques doivent détenir des certifications équivalentes (généralement SOC 2 Type II ou ISO 27001).
Résilience
Résilience. Nous effectuons des sauvegardes chiffrées selon un calendrier défini, maintenons une redondance sur nos services critiques, et testons nos procédures de reprise après sinistre afin que la récupération soit quelque chose que nous avons réellement répété, plutôt qu’une improvisation sous pression.
Réponse aux incidents
Gestion des incidents. Nous maintenons un plan de réponse aux incidents documenté, avec des niveaux de gravité définis, des protocoles de communication et une revue post-incident.
Signaler une vulnérabilité
Si vous pensez avoir découvert un problème de sécurité dans Adapty, veuillez envoyer un e-mail à [email protected]. Nous examinons chaque signalement crédible, travaillons avec le déclarant sur la remédiation, et reconnaissons publiquement les chercheurs qui respectent la divulgation responsable (sauf s’ils préfèrent rester anonymes).
Pour les audits de sécurité en entreprise
Les clients et prospects Enterprise peuvent demander les éléments suivants à [email protected] :
- Rapport SOC 2 Type II actuel (sous NDA) ;
- Questionnaire de sécurité complété (CAIQ, SIG ou votre propre format) ;
- Résumé de la politique de sécurité de l’information ;
- Résumé du test de pénétration.
