Adapty는 수천 개의 모바일 앱을 위한 구독 인프라 레이어로, 고객을 대신해 수십억 달러 규모의 구독 거래를 처리합니다.
이 위치는 명확한 의무를 수반합니다. 귀하와 귀하의 사용자가 저희에게 맡긴 데이터는 신중하게 처리되고, 저희 직원이 아닌 외부 독립 감사자에 의해 감사되며, 특정 개인에 의존하지 않는 통제 수단으로 보호되어야 합니다.
이 페이지에서는 저희가 그것을 어떻게 실현하는지 설명합니다.
인증
SOC 2 Type II
SOC 2 Type II. 독립적인 공인회계법인이 당사의 보안, 가용성 및 기밀성 통제를 검토하고, 해당 보고 기간 동안 이러한 통제의 운영 효과성을 다루는 SOC 2 Type II 인증서를 발행합니다. 현재 보고서는 NDA 체결 후 고객 및 잠재 고객에게 제공됩니다. 담당 계정 팀 또는 [email protected]로 요청하실 수 있습니다.
개인정보 보호 규정
개인정보 보호 규정. Adapty는 데이터 처리 계약에 따라 고객의 문서화된 지침에 따라서만 행동하는 데이터 처리자로서 최종 사용자 데이터를 처리합니다. 당사의 처리 관행은 다음 요건을 충족하도록 설계되었습니다:
- GDPR (EU 및 영국);
- LGPD (브라질).
위에 나열되지 않은 특정 요건이 있는 경우 문의해 주세요. 대부분의 경우 수용 가능합니다.
데이터 보호 방법
암호화
암호화. 모든 고객 데이터는 전송 중(TLS 1.2+)과 저장 시 업계 표준 암호화 방식을 사용하여 암호화됩니다.
네트워크 및 인프라
네트워크 및 인프라. 프로덕션 환경은 서비스 간 네트워크 분리, 제한된 인바운드 및 아웃바운드 접근, 그리고 프로덕션에 접근할 수 있는 소수의 엔지니어에 대한 최소 권한 원칙이 적용된 강화된 업계 표준 환경에서 운영됩니다. 프로덕션 접근에는 다단계 인증이 필요하며 모든 접근 기록이 로그로 남습니다.
지속적 모니터링
지속적인 모니터링. 인프라 및 애플리케이션의 로그는 중앙에서 통합 관리되며, 이상 징후가 감지되면 자동 알림이 트리거되고 온콜 엔지니어가 24시간 365일 인시던트 대응을 위해 대기합니다.
보안 개발
안전한 개발. 모든 코드 변경은 프로덕션에 반영되기 전에 동료 검토, 자동화된 정적 분석, CI 보안 검사를 거칩니다. 의존성은 정해진 일정에 따라 추적 및 패치되며, 누가 무엇을 언제 배포했는지 기록하는 명확한 배포 파이프라인을 유지합니다.
운영 관행
인력
인력. 모든 직원은 입사 시 및 매년 보안 인식 교육을 이수합니다. MFA는 이를 지원하는 모든 사내 시스템에서 필수적으로 적용됩니다. 고객 데이터에 대한 접근은 제한되며, 로그가 기록되고 정기적으로 검토됩니다.
벤더
벤더. 인프라, 데이터 처리 또는 보안과 관련하여 당사가 의존하는 모든 서드파티는 온보딩 전에 문서화된 검토 절차를 거치며 주기적으로 재평가됩니다. 주요 벤더는 동등한 인증(일반적으로 SOC 2 Type II 또는 ISO 27001)을 보유해야 합니다.
복원력
복원력. 당사는 정해진 일정에 따라 암호화된 백업을 실행하고, 중요 서비스 전반에 걸쳐 이중화를 유지하며, 장애 복구 절차를 테스트합니다. 이를 통해 복구는 압박 상황에서 즉흥적으로 대처하는 것이 아닌, 실제로 사전에 훈련된 과정이 됩니다.
인시던트 대응
인시던트 대응. 당사는 명확한 심각도 수준, 커뮤니케이션 프로토콜, 사후 검토가 포함된 문서화된 인시던트 대응 계획을 유지합니다.
취약점 신고
Adapty에서 보안 문제를 발견하셨다면 [email protected]로 이메일을 보내주세요. 당사는 모든 신뢰할 수 있는 제보를 조사하고, 제보자와 협력하여 해결 방안을 마련하며, 책임 있는 공개 원칙을 따르는 연구자에게는 크레딧을 부여합니다(익명을 원하는 경우 제외).
엔터프라이즈 보안 검토
엔터프라이즈 고객 및 잠재 고객은 [email protected]로 다음 자료를 요청하실 수 있습니다:
- 최신 SOC 2 Type II 보고서 (NDA 체결 후);
- 작성 완료된 보안 설문지 (CAIQ, SIG 또는 자체 양식);
- 정보 보안 정책 요약;
- 침투 테스트 요약.
