A Adapty é a camada de infraestrutura de subscrições para milhares de aplicações móveis, processando milhares de milhões de dólares em transações de subscrição em nome dos nossos clientes.
Essa posição implica uma obrigação clara: os dados que você e os seus utilizadores nos confiam devem ser tratados com cuidado, auditados por pessoas alheias à nossa empresa e protegidos por controlos que não dependam de nenhuma pessoa em particular.
Esta página descreve como o fazemos.
Certificações
SOC 2 Type II
SOC 2 Tipo II. Uma firma independente de CPA examina nossos controles de segurança, disponibilidade e confidencialidade e emite um atestado SOC 2 Tipo II cobrindo a eficácia operacional desses controles ao longo do período de relatório. O relatório atual está disponível para clientes e potenciais clientes mediante NDA. Você pode solicitá-lo à sua equipe de conta ou pelo e-mail [email protected].
Regulamentos de privacidade
Regulamentações de privacidade. A Adapty processa dados de usuários finais estritamente como operadora de dados, agindo apenas com base nas instruções documentadas de nossos clientes, conforme nosso Acordo de Processamento de Dados. Nossas práticas de processamento são desenvolvidas para atender aos requisitos de:
- GDPR (UE e Reino Unido);
- LGPD (Brasil).
Se a sua jurisdição tiver requisitos específicos não listados acima, contacte-nos — normalmente conseguimos dar-lhes resposta.
Como protegemos os dados
Encriptação
Criptografia. Todos os dados dos clientes são criptografados em trânsito (TLS 1.2+) e em repouso, utilizando algoritmos de criptografia padrão da indústria.
Rede e infraestrutura
Rede e infraestrutura. A produção opera em ambientes reforçados e padronizados pela indústria, com segmentação de rede entre serviços, restrição de entrada e saída de tráfego, e acesso com privilégio mínimo para o pequeno grupo de engenheiros que podem acessar o ambiente de produção. O acesso à produção exige autenticação multifator e é registrado em log.
Monitorização contínua
Monitoramento contínuo. Os logs de nossa infraestrutura e aplicações são agregados de forma centralizada, anomalias disparam alertas automáticos e um engenheiro de plantão está disponível 24/7 para responder a incidentes.
Desenvolvimento seguro
Desenvolvimento seguro. Toda alteração de código passa por revisão entre pares, análise estática automatizada e verificações de segurança no CI antes de chegar à produção. As dependências são rastreadas e corrigidas conforme um cronograma definido, e mantemos um pipeline de implantação claro que registra quem publicou o quê e quando.
Práticas operacionais
Pessoas
Pessoas. Todos os colaboradores concluem um treinamento de conscientização em segurança na contratação e anualmente. A MFA é obrigatória em todos os sistemas da empresa que a suportam. O acesso a dados de clientes é restrito, registrado em log e revisado regularmente.
Fornecedores
Fornecedores. Todo terceiro do qual dependemos para infraestrutura, processamento de dados ou segurança passa por uma avaliação documentada antes de ser contratado e é reavaliado periodicamente. Fornecedores críticos são obrigados a manter certificações equivalentes (geralmente SOC 2 Tipo II ou ISO 27001).
Resiliência
Resiliência. Realizamos backups criptografados em um cronograma definido, mantemos redundância em nossos serviços críticos e testamos nossos procedimentos de recuperação de desastres — para que a recuperação seja algo que já praticamos, e não algo que pretendemos resolver sob pressão.
Resposta a incidentes
Resposta a incidentes. Mantemos um plano documentado de resposta a incidentes com níveis de severidade definidos, protocolos de comunicação e revisão pós-incidente.
Comunicar uma vulnerabilidade
Se você acredita ter encontrado um problema de segurança na Adapty, envie um e-mail para [email protected]. Investigamos todos os relatos críveis, trabalhamos com o relator na remediação e reconhecemos pesquisadores que seguem a divulgação responsável (a menos que prefiram permanecer anônimos).
Para revisões de segurança empresarial
Clientes e potenciais clientes enterprise podem solicitar o seguinte pelo e-mail [email protected]:
- Relatório SOC 2 Type II atual (sob NDA);
- Questionário de segurança preenchido (CAIQ, SIG ou o seu próprio formato);
- Resumo da Política de Segurança da Informação;
- Resumo do teste de penetração.
