Adapty — инфраструктурный слой подписок для тысяч мобильных приложений, обрабатывающий миллиарды долларов в транзакциях от имени наших клиентов.
Такая позиция налагает чёткое обязательство: данные, которые вы и ваши пользователи доверяете нам, должны обрабатываться с должной тщательностью, проверяться независимыми аудиторами со стороны и защищаться средствами контроля, не зависящими от конкретных людей.
На этой странице описано, как мы это реализуем.
Сертификация
SOC 2 Type II
SOC 2 Type II. Независимая аудиторская компания проверяет наши средства контроля в области безопасности, доступности и конфиденциальности и выдаёт аттестацию SOC 2 Type II, подтверждающую операционную эффективность этих средств за отчётный период. Актуальный отчёт доступен действующим и потенциальным клиентам под NDA. Его можно запросить у менеджера вашего аккаунта или по адресу [email protected].
Требования в области конфиденциальности
Регуляторные требования в области конфиденциальности. Adapty обрабатывает данные конечных пользователей исключительно как обработчик данных, действуя только в соответствии с задокументированными инструкциями наших клиентов в рамках Соглашения об обработке данных. Наши практики обработки данных разработаны с учётом требований:
- GDPR (ЕС и Великобритания);
- LGPD (Бразилия).
Если в вашей юрисдикции действуют специфические требования, не перечисленные выше, свяжитесь с нами — как правило, мы можем их выполнить.
Как мы защищаем данные
Шифрование
Шифрование. Все данные клиентов шифруются при передаче (TLS 1.2+) и при хранении с использованием отраслевых стандартов шифрования.
Сеть и инфраструктура
Сеть и инфраструктура. Производственная среда функционирует в защищённых инфраструктурных окружениях с сегментацией сети между сервисами, ограничением входящего и исходящего трафика, а также с доступом по принципу минимальных привилегий для ограниченного круга инженеров. Доступ к производственной среде требует многофакторной аутентификации и полностью протоколируется.
Непрерывный мониторинг
Непрерывный мониторинг. Логи инфраструктуры и приложений централизованно агрегируются, аномалии вызывают автоматические оповещения, а дежурный инженер доступен круглосуточно для реагирования на инциденты.
Безопасная разработка
Безопасная разработка. Каждое изменение кода проходит код-ревью, автоматический статический анализ и проверки безопасности в CI перед попаданием в производственную среду. Зависимости отслеживаются и обновляются по установленному расписанию, а чёткий пайплайн развёртывания фиксирует, кто, что и когда выпустил.
Операционные практики
Персонал
Персонал. Все сотрудники проходят обучение по вопросам информационной безопасности при найме и ежегодно. МФА обязательна для каждой корпоративной системы, которая её поддерживает. Доступ к данным клиентов ограничен, протоколируется и регулярно проверяется.
Поставщики
Поставщики. Каждая третья сторона, которую мы привлекаем для работы с инфраструктурой, обработки данных или обеспечения безопасности, проходит задокументированную проверку перед подключением и периодически переоценивается. Критически важные поставщики обязаны иметь эквивалентные сертификаты (как правило, SOC 2 Type II или ISO 27001).
Отказоустойчивость
Отказоустойчивость. Мы выполняем зашифрованное резервное копирование по установленному расписанию, обеспечиваем избыточность критически важных сервисов и регулярно проверяем процедуры аварийного восстановления — чтобы восстановление было отработанной практикой, а не импровизацией в условиях сбоя.
Реагирование на инциденты
Реагирование на инциденты. Мы поддерживаем задокументированный план реагирования на инциденты с определёнными уровнями критичности, протоколами коммуникации и разбором инцидентов после их устранения.
Сообщить об уязвимости
Если вы обнаружили проблему с безопасностью в Adapty, пожалуйста, напишите на [email protected]. Мы рассматриваем каждое достоверное сообщение, совместно с исследователем разрабатываем меры по устранению уязвимости и выражаем признательность тем, кто придерживается принципов ответственного раскрытия (если только они не предпочитают остаться анонимными).
Для корпоративных проверок безопасности
Корпоративные клиенты и потенциальные партнёры могут запросить следующие материалы по адресу [email protected]:
- Актуальный отчёт SOC 2 Type II (под NDA);
- Заполненная анкета безопасности (CAIQ, SIG или собственный формат);
- Сводка политики информационной безопасности;
- Сводка результатов теста на проникновение.
