Adapty to warstwa infrastruktury subskrypcyjnej dla tysięcy aplikacji mobilnych, przetwarzająca miliardy dolarów w transakcjach subskrypcyjnych w imieniu naszych klientów.
Ta pozycja wiąże się z jasnym obowiązkiem: dane, które Ty i Twoi użytkownicy nam powierzają, muszą być starannie przetwarzane, audytowane przez osoby spoza naszej firmy i chronione przez mechanizmy kontrolne niezależne od żadnej konkretnej osoby.
Ta strona opisuje, jak to robimy.
Certyfikaty
SOC 2 Type II
SOC 2 Type II. Niezależna firma audytorska (CPA) bada nasze mechanizmy kontrolne w zakresie bezpieczeństwa, dostępności i poufności oraz wydaje poświadczenie SOC 2 Type II obejmujące skuteczność operacyjną tych mechanizmów w danym okresie sprawozdawczym. Aktualny raport jest dostępny dla obecnych i potencjalnych klientów na podstawie umowy NDA. Możesz go uzyskać od swojego opiekuna klienta lub pod adresem [email protected].
Przepisy dotyczące prywatności
Przepisy o ochronie prywatności. Adapty przetwarza dane użytkowników końcowych wyłącznie jako podmiot przetwarzający dane, działając jedynie zgodnie z udokumentowanymi instrukcjami naszych klientów w ramach naszej Umowy powierzenia przetwarzania danych. Nasze praktyki przetwarzania są zaprojektowane tak, aby spełniać wymagania:
- RODO (UE i Wielka Brytania);
- LGPD (Brazylia).
Jeśli Twoja jurysdykcja ma szczegółowe wymagania nieujęte powyżej, skontaktuj się z nami — zazwyczaj jesteśmy w stanie je spełnić.
Jak chronimy dane
Szyfrowanie
Szyfrowanie. Wszystkie dane klientów są szyfrowane podczas transmisji (TLS 1.2+) oraz w stanie spoczynku przy użyciu standardowych szyfrów branżowych.
Sieć i infrastruktura
Sieć i infrastruktura. Środowisko produkcyjne działa w zabezpieczonych środowiskach branżowych z segmentacją sieci między usługami, ograniczonym ruchem przychodzącym i wychodzącym oraz dostępem opartym na zasadzie najmniejszych uprawnień dla wąskiej grupy inżynierów mających dostęp do produkcji. Dostęp do środowiska produkcyjnego wymaga uwierzytelniania wieloskładnikowego i jest rejestrowany.
Ciągłe monitorowanie
Ciągłe monitorowanie. Logi z naszej infrastruktury i aplikacji są centralnie agregowane, anomalie wyzwalają automatyczne alerty, a inżynier dyżurny jest dostępny całą dobę, 7 dni w tygodniu, aby reagować na incydenty.
Bezpieczny rozwój
Bezpieczne wytwarzanie oprogramowania. Każda zmiana kodu przechodzi przez przegląd koleżeński, automatyczną analizę statyczną oraz testy bezpieczeństwa w CI, zanim trafi do środowiska produkcyjnego. Zależności są monitorowane i aktualizowane zgodnie z ustalonym harmonogramem, a przejrzysty pipeline wdrożeniowy rejestruje, kto i kiedy dokonał danego wdrożenia.
Praktyki operacyjne
Pracownicy
Pracownicy. Wszyscy pracownicy przechodzą szkolenie z zakresu świadomości bezpieczeństwa podczas wdrożenia oraz corocznie. Uwierzytelnianie wieloskładnikowe jest obowiązkowe w każdym systemie firmowym, który je obsługuje. Dostęp do danych klientów jest ograniczony, rejestrowany i regularnie przeglądany.
Dostawcy
Dostawcy. Każda strona trzecia, na której opieramy się w zakresie infrastruktury, przetwarzania danych lub bezpieczeństwa, przechodzi udokumentowany przegląd przed nawiązaniem współpracy i jest ponownie oceniana w regularnych odstępach czasu. Od kluczowych dostawców wymagamy posiadania równoważnych certyfikatów (zazwyczaj SOC 2 Type II lub ISO 27001).
Odporność
Odporność. Wykonujemy zaszyfrowane kopie zapasowe zgodnie z ustalonym harmonogramem, utrzymujemy redundancję w ramach naszych krytycznych usług i testujemy procedury odtwarzania po awarii — tak aby przywracanie działania było czymś, co faktycznie przećwiczyliśmy, a nie czymś, co planujemy rozwiązać dopiero pod presją.
Reagowanie na incydenty
Reagowanie na incydenty. Utrzymujemy udokumentowany plan reagowania na incydenty z określonymi poziomami powagi, protokołami komunikacji oraz przeglądem po incydencie.
Zgłaszanie podatności
Jeśli uważasz, że znalazłeś problem z bezpieczeństwem w Adapty, napisz na adres [email protected]. Badamy każde wiarygodne zgłoszenie, współpracujemy z osobą zgłaszającą przy usuwaniu podatności i wymieniamy badaczy, którzy przestrzegają zasad odpowiedzialnego ujawniania (chyba że wolą pozostać anonimowi).
Dla korporacyjnych przeglądów bezpieczeństwa
Klienci korporacyjni oraz potencjalni klienci mogą złożyć wniosek o poniższe dokumenty, pisząc na adres [email protected]:
- Aktualny raport SOC 2 Type II (na podstawie NDA);
- Wypełniony kwestionariusz bezpieczeństwa (CAIQ, SIG lub własny format);
- Podsumowanie polityki bezpieczeństwa informacji;
- Podsumowanie testu penetracyjnego.
