Adapty は数千ものモバイルアプリのサブスクリプションインフラ基盤として、お客様に代わって数十億ドル規模のサブスクリプション取引を処理しています。
この立場には明確な義務が伴います。お客様とそのユーザーから預かるデータは、慎重に取り扱われ、社外の独立した第三者による監査を受け、特定の個人に依存しない統制手段によって守られなければなりません。
このページでは、その取り組みについて説明します。
認証・資格
SOC 2 Type II
SOC 2 Type II。 独立した公認会計士事務所が当社のセキュリティ、可用性、および機密性に関するコントロールを審査し、報告期間中におけるそれらのコントロールの運用有効性を対象とした SOC 2 Type II 認証を発行します。最新のレポートは、NDA(秘密保持契約)のもとで現在のお客様および導入を検討中のお客様にご提供しています。アカウントチームまたは [email protected] までお問い合わせください。
プライバシー規制
プライバシー規制。 Adapty はエンドユーザーのデータを、当社のデータ処理契約に基づきお客様から文書化された指示に従ってのみ行動するデータ処理者として厳格に取り扱います。当社のデータ処理慣行は、以下の要件を満たすよう設計されています:
- GDPR(EU および UK);
- LGPD(ブラジル)。
上記に記載されていない特定の要件がお客様の管轄地域にある場合は、お問い合わせください。通常は対応可能です。
データ保護の方法
暗号化
暗号化。 すべてのお客様データは、転送中(TLS 1.2 以上)および保存時において、業界標準の暗号方式を使用して暗号化されます。
ネットワークとインフラ
ネットワークとインフラ。 本番環境は、サービス間のネットワークセグメンテーション、制限されたインバウンド・アウトバウンドアクセス、および本番環境にアクセスできる少数のエンジニアへの最小権限アクセスを備えた、堅牢な業界標準環境で運用されています。本番環境へのアクセスには多要素認証が必要であり、すべてのアクセスはログに記録されます。
継続的モニタリング
継続的なモニタリング。 インフラおよびアプリケーションからのログは一元的に集約され、異常が検知された場合は自動アラートが発報されます。また、インシデントへの対応のため、オンコールエンジニアが24時間365日対応可能な体制を整えています。
セキュアな開発
セキュアな開発。 すべてのコード変更は、本番環境への反映前に、ピアレビュー、自動静的解析、および CI におけるセキュリティチェックを経る必要があります。依存関係は追跡・管理され、定められたスケジュールに従ってパッチが適用されます。また、誰がいつ何をリリースしたかを記録する明確なデプロイメントパイプラインを維持しています。
運用上の取り組み
人員
人材。 すべてのスタッフは、入社時および毎年、セキュリティ意識向上トレーニングを受講します。MFA(多要素認証)は、対応しているすべての社内システムで必須とされています。お客様データへのアクセスは制限されており、ログに記録されるとともに定期的にレビューされます。
ベンダー
ベンダー管理。 インフラ、データ処理、またはセキュリティに関して当社が依存するすべてのサードパーティは、導入前に文書化されたレビューを経た上でオンボーディングされ、定期的に再評価されます。重要なベンダーには、同等の認証(通常は SOC 2 Type II または ISO 27001)の取得が求められます。
レジリエンス
レジリエンス。 当社は定められたスケジュールで暗号化バックアップを実施し、重要なサービス全体に冗長性を確保するとともに、ディザスタリカバリ手順を定期的にテストしています。これにより、障害発生時に場当たり的な対応をするのではなく、実際にリハーサルを重ねた形でリカバリを実施できる体制を整えています。
インシデント対応
インシデント対応。 当社は、重大度レベル、コミュニケーションプロトコル、およびインシデント後のレビューを定義した、文書化されたインシデント対応計画を維持しています。
脆弱性の報告
Adapty においてセキュリティ上の問題を発見されたと思われる場合は、[email protected] までメールにてご連絡ください。当社は信頼性の高いすべての報告を調査し、報告者と連携して修正対応を行います。また、責任ある開示のプロセスに従っていただいた研究者の方には(匿名を希望される場合を除き)クレジットを付与します。
エンタープライズ向けセキュリティレビュー
エンタープライズのお客様および導入を検討中のお客様は、以下の資料を [email protected] よりリクエストいただけます:
- 最新の SOC 2 Type II レポート(NDA 締結のうえ);
- 記入済みセキュリティ問診票(CAIQ、SIG、または独自フォーマット);
- 情報セキュリティポリシーの概要;
- ペネトレーションテストの概要。
