Adapty — це інфраструктурний рівень підписок для тисяч мобільних застосунків, що обробляє мільярди доларів у транзакціях підписок від імені наших клієнтів.
Така позиція накладає чіткі зобов’язання: дані, які ви та ваші користувачі довіряєте нам, мають оброблятися дбайливо, перевірятися незалежними зовнішніми аудиторами та захищатися засобами контролю, що не залежать від жодної конкретної особи.
На цій сторінці описано, як ми це робимо.
Сертифікація
SOC 2 Type II
SOC 2 Type II. Незалежна аудиторська фірма перевіряє наші засоби контролю у сфері безпеки, доступності та конфіденційності й видає атестацію SOC 2 Type II, що підтверджує операційну ефективність цих засобів контролю за звітний період. Поточний звіт доступний чинним і потенційним клієнтам за умови підписання NDA. Ви можете запросити його у свого менеджера або за адресою [email protected].
Вимоги щодо конфіденційності
Регуляторні вимоги у сфері конфіденційності. Adapty обробляє дані кінцевих користувачів виключно як обробник даних, діючи лише відповідно до задокументованих інструкцій наших клієнтів у рамках Угоди про обробку даних. Наші практики обробки даних розроблені з урахуванням вимог:
- GDPR (ЄС та Велика Британія);
- LGPD (Бразилія).
Якщо у вашій юрисдикції є специфічні вимоги, не зазначені вище, зверніться до нас — зазвичай ми можемо їх врахувати.
Як ми захищаємо дані
Шифрування
Шифрування. Усі дані клієнтів шифруються під час передачі (TLS 1.2+) і в стані спокою з використанням галузевих стандартів шифрування.
Мережа та інфраструктура
Мережа та інфраструктура. Продакшн-середовище функціонує у захищених інфраструктурах галузевого стандарту із сегментацією мережі між сервісами, обмеженим вхідним і вихідним трафіком та доступом за принципом мінімальних привілеїв для невеликої групи інженерів, які мають доступ до продакшну. Доступ до продакшн-середовища вимагає багатофакторної автентифікації та протоколюється.
Безперервний моніторинг
Безперервний моніторинг. Журнали нашої інфраструктури та застосунків централізовано агрегуються, аномалії ініціюють автоматичні сповіщення, а черговий інженер доступний цілодобово для реагування на інциденти.
Безпечна розробка
Безпечна розробка. Кожна зміна коду проходить рецензування колегами, автоматичний статичний аналіз і перевірки безпеки в CI перед тим, як потрапити до продакшну. Залежності відстежуються та оновлюються за визначеним графіком, а чіткий конвеєр розгортання фіксує, хто, що і коли випустив.
Операційні практики
Персонал
Персонал. Усі співробітники проходять навчання з питань інформаційної безпеки під час прийому на роботу та щорічно. Багатофакторна автентифікація є обов’язковою для кожної корпоративної системи, яка її підтримує. Доступ до даних клієнтів обмежений, протоколюється та регулярно переглядається.
Постачальники
Постачальники. Кожна третя сторона, на яку ми покладаємось в питаннях інфраструктури, обробки даних або безпеки, проходить задокументовану перевірку до початку співпраці та переоцінюється на регулярній основі. Від критично важливих постачальників вимагається наявність аналогічних сертифікатів (як правило, SOC 2 Type II або ISO 27001).
Відмовостійкість
Відмовостійкість. Ми виконуємо зашифровані резервні копії за визначеним графіком, забезпечуємо надлишковість критично важливих сервісів і тестуємо процедури аварійного відновлення — щоб відновлення було тим, що ми реально відпрацювали, а не тим, що плануємо з’ясовувати під тиском.
Реагування на інциденти
Реагування на інциденти. Ми підтримуємо задокументований план реагування на інциденти з визначеними рівнями серйозності, протоколами комунікації та розбором інцидентів після їх завершення.
Повідомити про вразливість
Якщо ви вважаєте, що виявили проблему безпеки в Adapty, будь ласка, надішліть листа на [email protected]. Ми розглядаємо кожне достовірне повідомлення, співпрацюємо з репортером щодо усунення проблеми та визнаємо дослідників, які дотримуються принципів відповідального розкриття (якщо вони не бажають залишатися анонімними).
Для корпоративних перевірок безпеки
Корпоративні клієнти та потенційні партнери можуть запросити наступне на [email protected]:
- Актуальний звіт SOC 2 Type II (під NDA);
- Заповнена анкета безпеки (CAIQ, SIG або власний формат);
- Зведення політики інформаційної безпеки;
- Зведення результатів тесту на проникнення.
