Adapty, binlerce mobil uygulama için abonelik altyapısı katmanıdır ve müşterilerimiz adına milyarlarca dolarlık abonelik işlemini yönetmektedir.
Bu konum net bir yükümlülük doğurmaktadır: siz ve kullanıcılarınızın bize emanet ettiği veriler özenle işlenmeli, şirketten bağımsız dış denetçiler tarafından denetlenmeli ve hiçbir bireye bağlı olmayan kontrol mekanizmalarıyla korunmalıdır.
Bu sayfa, bunu nasıl yaptığımızı açıklamaktadır.
Sertifikalar
SOC 2 Type II
SOC 2 Type II. Bağımsız bir CPA firması, güvenlik, erişilebilirlik ve gizlilik kontrollerimizi inceleyerek raporlama dönemi boyunca bu kontrollerin işletimsel etkinliğini kapsayan bir SOC 2 Type II belgesi düzenlemektedir. Güncel rapor, NDA kapsamında mevcut ve potansiyel müşterilerimizin kullanımına sunulmaktadır. Hesap ekibinizden veya [email protected] adresinden talep edebilirsiniz.
Gizlilik düzenlemeleri
Gizlilik düzenlemeleri. Adapty, son kullanıcı verilerini yalnızca bir veri işleyici olarak ve Veri İşleme Sözleşmemiz kapsamında müşterilerimizin belgelenmiş talimatları doğrultusunda işlemektedir. Veri işleme uygulamalarımız aşağıdaki gereksinimleri karşılayacak şekilde tasarlanmıştır:
- GDPR (AB ve Birleşik Krallık);
- LGPD (Brezilya).
Yargı bölgenizde yukarıda listelenmeyen özel gereksinimler varsa bizimle iletişime geçin — genellikle bunları karşılayabiliriz.
Verileri nasıl koruyoruz
Şifreleme
Şifreleme. Tüm müşteri verileri, aktarım sırasında (TLS 1.2+) ve depolanırken sektör standardı şifreleme yöntemleriyle korunmaktadır.
Ağ ve altyapı
Ağ ve altyapı. Üretim ortamı, hizmetler arasında ağ segmentasyonu, kısıtlı giriş/çıkış trafiği ve üretime erişebilen küçük mühendis grubu için en az ayrıcalık ilkesiyle sertleştirilmiş sektör standardı ortamlarda çalışmaktadır. Üretim erişimi çok faktörlü kimlik doğrulama gerektirmekte ve kayıt altına alınmaktadır.
Sürekli izleme
Sürekli izleme. Altyapımız ve uygulamalarımızdan gelen günlükler merkezi olarak toplanmakta, anormallikler otomatik uyarılar tetiklemekte ve olaylara müdahale etmek için 7/24 nöbetçi bir mühendis görev yapmaktadır.
Güvenli geliştirme
Güvenli geliştirme. Her kod değişikliği, üretime ulaşmadan önce kod incelemesi, otomatik statik analiz ve CI güvenlik kontrollerinden geçmektedir. Bağımlılıklar takip edilmekte ve tanımlanmış bir takvime göre güncellenmektedir; ayrıca kimin, ne zaman ve neyi yayınladığını kaydeden net bir dağıtım sürecimiz bulunmaktadır.
Operasyonel uygulamalar
Çalışanlar
Çalışanlar. Tüm personel, işe alım sırasında ve yıllık olarak güvenlik farkındalığı eğitimi almaktadır. Çok faktörlü kimlik doğrulama, destekleyen her şirket sisteminde zorunludur. Müşteri verilerine erişim kısıtlıdır, kayıt altına alınmakta ve düzenli olarak gözden geçirilmektedir.
Tedarikçiler
Tedarikçiler. Altyapı, veri işleme veya güvenlik alanlarında çalıştığımız her üçüncü taraf, onboarding öncesinde belgelenmiş bir inceleme sürecinden geçmekte ve periyodik olarak yeniden değerlendirilmektedir. Kritik tedarikçilerin eşdeğer sertifikalara sahip olması (genellikle SOC 2 Type II veya ISO 27001) şart koşulmaktadır.
Dayanıklılık
Dayanıklılık. Şifrelenmiş yedeklemeleri tanımlanmış bir takvimde çalıştırıyor, kritik hizmetlerimizde yedeklilik sağlıyor ve felaket kurtarma prosedürlerimizi test ediyoruz; böylece kurtarma süreci baskı altında çözmeye çalıştığımız bir şey değil, gerçekten deneyimlediğimiz bir süreç haline geliyor.
Olay müdahalesi
Olay müdahalesi. Tanımlanmış önem seviyeleri, iletişim protokolleri ve olay sonrası değerlendirme süreçlerini içeren belgelenmiş bir olay müdahale planımız bulunmaktadır.
Güvenlik açığı bildirme
Adapty’de bir güvenlik açığı bulduğunuzu düşünüyorsanız lütfen [email protected] adresine e-posta gönderin. Güvenilir her raporu inceliyor, raporlayan kişiyle birlikte çözüm sürecini yürütüyor ve sorumlu açıklama ilkelerine uyan araştırmacıları (anonim kalmayı tercih etmedikleri sürece) kamuoyuna duyuruyoruz.
Kurumsal güvenlik incelemeleri için
Kurumsal müşteriler ve potansiyel müşteriler aşağıdakileri [email protected] adresinden talep edebilir:
- Güncel SOC 2 Type II raporu (NDA kapsamında);
- Tamamlanmış güvenlik anketi (CAIQ, SIG veya kendi formatınız);
- Bilgi Güvenliği Politikası özeti;
- Sızma testi özeti.
