Безопасность и конфиденциальность

Adjust предоставляет вам полный контроль над вашими данными.

Наша команда штатных специалистов по безопасности заботится о конфиденциальности, доступности и целостности данных, обрабатываемых и хранимых в системе Adjust.

Система управления информационной безопасностью Adjust регулярно проходит аудит, который выполняется авторитетным сертификационным органом TUV Nord; в 2020 г. было подтверждено ее соответствие стандарту ISO/IEC 27001.

ISO/IEC 27001

Стандарт Международной организации по стандартизации (ИСО) 27001:2013 — это международный стандарт в области безопасности, утверждающий требования к надежной и эффективной системе управления информационной безопасностью. В своей работе мы опираемся на передовые методики, что позволяет непрерывно поддерживать конфиденциальность, целостность и доступность данных наших клиентов, а также обеспечивать соблюдение законодательных норм.

Скачать сертификат

ePrivacy

Наша компания впервые получила сертификат ePrivacy в 2015 г. и обновила его в 2019 г. Эта система сертификации подтверждает выполнение требований к цифровым продуктам, зафиксированных в Общем регламенте по защите данных (GDPR).

Скачать сертификат

GDPR и CCPA

С момента основания компании мы делаем все возможное, чтобы наши продукты могли использоваться в соответствии со всеми нормами законодательства в области конфиденциальности. Система Adjust соответствовала требованиям GDPR еще до вступления этого регламента в силу. Сейчас мы с гордостью подтверждаем полное соответствие GDPR и CCPA.

Adjust и GDPR Adjust и CCPA Общие условия и положения Adjust

Политика конфиденциальности

Мы убеждены в том, что пользователи приложений имеют право на прозрачность, конфиденциальность и безопасность своих данных. Поэтому мы подготовили Политику конфиденциальности, которая четко определяет порядок сбора и методы использования данных.
Перейти к Политике конфиденциальности

  • Для обеспечения защиты Adjust использует такие стратегии, как «security by design» (безопасность как неотъемлемая часть системы) и углубленная защита, позволяющие снизить площадь атаки. В качестве примера рассмотрим нашу инфраструктуру.

  • Она обладает повышенной надежностью благодаря географическому распределению (обеспечивается провайдером IAAS). Все три наших дата-центра были спроектированы с учетом многоуровневых способов обеспечения безопасности, а компоненты аппаратного обеспечения полностью дублируются, что исключает наличие единой точки отказа.

  • Более того, отсутствие в нашей производственной среде традиционных облачных платформ и технологий виртуализации позволяет избежать множества серьезных рисков еще в самом начале жизненного цикла продукта.

  • Именно стремлением снизить такие риски объясняется наше сравнительно небольшое количество аккредитаций в области безопасности. Чем выше изначальная уязвимость системы, тем больше мер защиты и сертификатов требуется, чтобы гарантировать ее безопасность.

  • Но благодаря устойчивости Adjust к рискам необходимость в многочисленных сертификатах отпадает. Поэтому стандарт ISO/IEC 27001 — все, что нам нужно для эффективного управления приемлемыми рисками в соответствии с нашими коммерческими задачами.

Безопасность данных

Данные, собираемые для наших клиентов, обрабатываются только в рамках Adjust. К ним не имеют доступа третьи лица. Иными словами, все данные, которые Adjust собирает от лица своих клиентов, обрабатываются и хранятся исключительно на серверах, находящихся под нашим полным контролем.

Передаваемые данные

В свою очередь, наши сервера поддерживают только те схемы и протоколы шифрования, которые соответствуют лучшим отраслевым стандартам. Конфиденциальность и целостность данных в процессе их передачи обеспечиваются при помощи протокола HTTPS с использованием технологий TLS и безопасной пересылки (PFS).

Неактивные данные

Критически важные данные клиентов шифруются при помощи алгоритма AES256. Доступ к базам данных строго контролируется в соответствии с принципами минимальных полномочий и разделения обязанностей.

Резервные копии

Резервные и рабочие сервера Adjust географически распределены по нескольким дата-центрам. В каждом регионе непрерывно выполняется резервное копирование данных.

Удержание

Все клиентские данные удаляются из базы данных спустя 30 дней после расторжения договора.

Обзор структуры безопасности

В отличие от многих международных SaaS-компаний, мы не пользуемся услугами крупных провайдеров облачных решений.
Инфраструктура Adjust — это физические сервера, к которым имеем доступ только мы. Это обеспечивает полную прозрачность при администрировании систем и возможность настроить их согласно нашим нуждам.

Контроль доступа

В компании внедрены тщательно задокументированные процедуры контроля доступа, основанные на принципах минимальных полномочий, минимальной осведомленности и разделения обязанностей. Доступ к производственным системам имеют лишь несколько ключевых сотрудников технической службы Adjust, а вход с помощью пароля запрещен.

Кадровая безопасность

Мы убеждены, что безопасность — ответственность каждого. Поэтому в компании Adjust принят ряд политик и процедур, направленных на развитие культуры корпоративной безопасности. Положения этих документов распространяются как на сотрудников, так и на подрядчиков, в том числе на тех, кто уже покинул компанию или еще только собирается работать с нами. Регулярно проводятся курсы повышения квалификации в области корпоративной безопасности.

Сетевая безопасность

Конфиденциальность, доступность и целостность клиентских данных в процессе их передачи обеспечивается с помощью многослойных мер защиты. При обмене информацией с клиентами весь сетевой трафик передается через HTTPS-соединение с протоколом TLS 1.2 — самым безопасным Интернет-протоколом на сегодняшний день.

Операционная безопасность

Мониторинг — ключевой аспект обеспечения безопасности в Adjust. Неважно, идет ли речь о доступности и надежности или о безопасности наших производственных систем, — мы оперативно реагируем на любые инциденты. Даже если причина сбоя находится вне нашей зоны контроля, мы делаем все, чтобы исключить его повторение в будущем.

Системная безопасность

Наши сервера и рабочие станции регулярно получают обновленные версии защитного ПО и внутренние средства обеспечения безопасности. Системные конфигурации последовательно поддерживаются и документируются посредством непрерывного развертывания и центрального управления.

Безопасность на уровне приложений

Чтобы свести к минимуму число уязвимостей в нашем программном обеспечении, наши разработчики применяют принципы безопасности, предложенные в рамках Проекта по обеспечению безопасности открытых веб-приложений (OWASP). В качестве дополнительной меры безопасности экземпляры базы данных физически отделены от серверов приложений.

Ведение журналов

Ведение журналов является критически важным компонентом инфраструктуры Adjust. Оно активно используется при отслеживании производственных процессов, а также при расследовании инцидентов в области безопасности. Журналы собираются в режиме реального времени по безопасным каналам с помощью централизованной службы ведения журналов.

Тесты на проникновение

Тесты на проникновение — один из важнейших этапов работы с уязвимостями. Наши сервера, сети и веб-приложение регулярно проходят внешнюю проверку, направленную на выявление и устранение потенциальных слабых мест.

Связаться с командой безопасности

Обеспечение конфиденциальности и безопасности клиентских данных — высший приоритет и ключевая ценность компании Adjust. Мы серьезно относимся к таким понятиям, как «безопасность», «конфиденциальность» и «доверие», и ценим работу тех, кто занят в этой области.
Если вы считаете, что нашли уязвимость в наших системах, или у вас возник вопрос, свяжитесь с нашей службой обеспечения безопасности по адресу security@adjust.com