Adapty 是数千款移动应用的订阅基础设施层,代表客户处理数十亿美元的订阅交易。
这一定位承载着明确的责任:您和您的用户委托给我们的数据,必须得到妥善处理,由与我们无关的第三方进行审计,并由不依赖任何个人的控制措施加以保护。
本页面介绍我们是如何做到这一点的。
认证
SOC 2 Type II
SOC 2 Type II。一家独立的注册会计师事务所对我们的安全性、可用性和保密性控制进行审查,并就报告期内上述控制的运行有效性出具 SOC 2 Type II 认证报告。现行报告可在保密协议(NDA)约束下向现有客户及潜在客户提供。您可通过您的客户经理或发送邮件至 [email protected] 申请获取。
隐私法规
隐私法规。Adapty 严格以数据处理方的身份处理终端用户数据,仅依据客户在我们的数据处理协议下所提供的书面指示进行操作。我们的数据处理实践旨在满足以下法规要求:
- GDPR(欧盟及英国);
- LGPD(巴西)。
如果您所在司法管辖区有上述未列出的特定要求,请联系我们——我们通常可以满足。
我们如何保护数据
加密
加密。所有客户数据在传输过程中(TLS 1.2+)及静态存储时均采用行业标准密码算法进行加密。
网络与基础设施
网络与基础设施。生产环境运行于经过加固的行业标准基础设施中,各服务之间实施网络隔离,入站和出站流量受到严格限制,仅有少数工程师拥有最小权限的生产访问资质。访问生产环境须通过多因素身份验证,且所有访问行为均被记录留档。
持续监控
持续监控。来自基础设施和应用程序的日志集中汇聚分析,异常情况自动触发告警,并由值班工程师全天候(7×24小时)响应安全事件。
安全开发
安全开发。每次代码变更在进入生产环境之前,均须经过同行代码审查、自动化静态分析以及 CI 流程中的安全检查。依赖项按照既定计划进行跟踪和修补,并通过清晰的部署流水线记录每次发布的负责人、内容及时间。
运营规范
人员
人员。所有员工在入职时及每年须完成安全意识培训。MFA 在公司所有支持该功能的系统上强制启用。对客户数据的访问受到严格限制,并定期进行日志记录和审查。
供应商
供应商。我们在基础设施、数据处理或安全方面所依赖的每家第三方,在正式引入前均须经过书面评审,并定期重新评估。关键供应商须持有同等级别的认证(通常为 SOC 2 Type II 或 ISO 27001)。
韧性
韧性。我们按照既定计划执行加密备份,对关键服务保持冗余部署,并定期演练灾难恢复流程——确保恢复能力来自实际演练,而非在压力下临场摸索。
事件响应
事件响应。我们维护一份完整的事件响应计划,涵盖明确的严重级别划分、沟通协议以及事后复盘机制。
报告漏洞
如果您认为在 Adapty 中发现了安全漏洞,请发送邮件至 [email protected]。我们会对每一份可信报告展开调查,与报告者协作推进修复工作,并向遵循负责任披露原则的安全研究人员致谢(除非其本人希望保持匿名)。
企业安全审查
企业客户及潜在合作伙伴可通过 [email protected] 申请以下材料:
- 当前 SOC 2 Type II 报告(保密协议下);
- 已完成的安全问卷(CAIQ、SIG 或贵方自定义格式);
- 信息安全政策摘要;
- 渗透测试摘要。
