Безопасность и конфиденциальность
Adjust предоставляет вам полный контроль над вашими данными.
Наша команда штатных специалистов по безопасности заботится о конфиденциальности, доступности и целостности данных, обрабатываемых и хранимых в системе Adjust.
Система управления информационной безопасностью Adjust регулярно проходит аудит, который выполняется авторитетным сертификационным органом TUV Nord; в 2020 г. было подтверждено ее соответствие стандарту ISO/IEC 27001.
ISO/IEC 27001
Стандарт Международной организации по стандартизации (ИСО) 27001:2013 — это международный стандарт в области безопасности, утверждающий требования к надежной и эффективной системе управления информационной безопасностью. В своей работе мы опираемся на передовые методики, что позволяет непрерывно поддерживать конфиденциальность, целостность и доступность данных наших клиентов, а также обеспечивать соблюдение законодательных норм.
ePrivacy
Наша компания впервые получила сертификат ePrivacy в 2015 г. и обновила его в 2021 г. Эта система сертификации подтверждает выполнение требований к цифровым продуктам, зафиксированных в Общем регламенте по защите данных (GDPR).
GDPR & CCPA
Мы делаем всё возможное, чтобы наши продукты могли использоваться в соответствии со всеми нормами законодательства в области конфиденциальности. Подробности см. в Правилах и условиях использования, Политике конфиденциальности, а также на странице о CCPA.
CARU COPPA Safe Harbor
Мы строго следим за соблюдением самых строгих правил и ограничений по вопросу конфиденциальности данных. Safe Harbor — единый сертификат, который означает, что наши продукты и практики продвижения не нарушают политики COPPA и CARU о работе с персональными данными несовершеннолетних.
Политика конфиденциальности
Мы убеждены в том, что пользователи приложений имеют право на прозрачность, конфиденциальность и безопасность своих данных. Поэтому мы подготовили Политику конфиденциальности, которая четко определяет порядок сбора и методы использования данных.
Для обеспечения защиты Adjust использует такие стратегии, как «security by design» (безопасность как неотъемлемая часть системы) и углубленная защита, позволяющие снизить площадь атаки. В качестве примера рассмотрим нашу инфраструктуру.
Она обладает повышенной надежностью благодаря географическому распределению (обеспечивается провайдером IAAS). Все три наших дата-центра были спроектированы с учетом многоуровневых способов обеспечения безопасности, а компоненты аппаратного обеспечения полностью дублируются, что исключает наличие единой точки отказа.
Более того, отсутствие в нашей производственной среде традиционных облачных платформ и технологий виртуализации позволяет избежать множества серьезных рисков еще в самом начале жизненного цикла продукта.
Именно стремлением снизить такие риски объясняется наше сравнительно небольшое количество аккредитаций в области безопасности. Чем выше изначальная уязвимость системы, тем больше мер защиты и сертификатов требуется, чтобы гарантировать ее безопасность.
Но благодаря устойчивости Adjust к рискам необходимость в многочисленных сертификатах отпадает. Поэтому стандарт ISO/IEC 27001 — все, что нам нужно для эффективного управления приемлемыми рисками в соответствии с нашими коммерческими задачами.
Безопасность данных
Данные, собираемые для наших клиентов, обрабатываются только в рамках Adjust. К ним не имеют доступа третьи лица. Иными словами, все данные, которые Adjust собирает от лица своих клиентов, обрабатываются и хранятся исключительно на серверах, находящихся под нашим полным контролем.
Передаваемые данные
В свою очередь, наши сервера поддерживают только те схемы и протоколы шифрования, которые соответствуют лучшим отраслевым стандартам. Конфиденциальность и целостность данных в процессе их передачи обеспечиваются при помощи протокола HTTPS с использованием технологий TLS и безопасной пересылки (PFS).
Неактивные данные
Критически важные данные клиентов шифруются при помощи алгоритма AES256. Доступ к базам данных строго контролируется в соответствии с принципами минимальных полномочий и разделения обязанностей.
Резервные копии
Резервные и рабочие сервера Adjust географически распределены по нескольким дата-центрам. В каждом регионе непрерывно выполняется резервное копирование данных.
Удержание
Все клиентские данные удаляются из базы данных спустя 30 дней после расторжения договора.
Обзор структуры безопасности
В отличие от многих международных SaaS-компаний, мы не пользуемся услугами крупных провайдеров облачных решений.
Инфраструктура Adjust — это физические сервера, к которым имеем доступ только мы. Это обеспечивает полную прозрачность при администрировании систем и возможность настроить их согласно нашим нуждам.
Контроль доступа
В компании внедрены тщательно задокументированные процедуры контроля доступа, основанные на принципах минимальных полномочий, минимальной осведомленности и разделения обязанностей. Доступ к производственным системам имеют лишь несколько ключевых сотрудников технической службы Adjust, а вход с помощью пароля запрещен.
Кадровая безопасность
Мы убеждены, что безопасность — ответственность каждого. Поэтому в компании Adjust принят ряд политик и процедур, направленных на развитие культуры корпоративной безопасности. Положения этих документов распространяются как на сотрудников, так и на подрядчиков, в том числе на тех, кто уже покинул компанию или еще только собирается работать с нами. Регулярно проводятся курсы повышения квалификации в области корпоративной безопасности.
Сетевая безопасность
Конфиденциальность, доступность и целостность клиентских данных в процессе их передачи обеспечивается с помощью многослойных мер защиты. При обмене информацией с клиентами весь сетевой трафик передается через HTTPS-соединение с протоколом TLS 1.2 — самым безопасным Интернет-протоколом на сегодняшний день.
Операционная безопасность
Мониторинг — ключевой аспект обеспечения безопасности в Adjust. Неважно, идет ли речь о доступности и надежности или о безопасности наших производственных систем, — мы оперативно реагируем на любые инциденты. Даже если причина сбоя находится вне нашей зоны контроля, мы делаем все, чтобы исключить его повторение в будущем.
Системная безопасность
Наши сервера и рабочие станции регулярно получают обновленные версии защитного ПО и внутренние средства обеспечения безопасности. Системные конфигурации последовательно поддерживаются и документируются посредством непрерывного развертывания и центрального управления.
Безопасность на уровне приложений
Чтобы свести к минимуму число уязвимостей в нашем программном обеспечении, наши разработчики применяют принципы безопасности, предложенные в рамках Проекта по обеспечению безопасности открытых веб-приложений (OWASP). В качестве дополнительной меры безопасности экземпляры базы данных физически отделены от серверов приложений.
Ведение журналов
Ведение журналов является критически важным компонентом инфраструктуры Adjust. Оно активно используется при отслеживании производственных процессов, а также при расследовании инцидентов в области безопасности. Журналы собираются в режиме реального времени по безопасным каналам с помощью централизованной службы ведения журналов.
Тесты на проникновение
Тесты на проникновение — один из важнейших этапов работы с уязвимостями. Наши сервера, сети и веб-приложение регулярно проходят внешнюю проверку, направленную на выявление и устранение потенциальных слабых мест.
Связаться с командой безопасности
Обеспечение конфиденциальности и безопасности клиентских данных — высший приоритет и ключевая ценность компании Adjust. Мы серьезно относимся к таким понятиям, как «безопасность», «конфиденциальность» и «доверие», и ценим работу тех, кто занят в этой области.
Если вы считаете, что нашли уязвимость в наших системах, или у вас возник вопрос, свяжитесь с нашей службой обеспечения безопасности по адресу security@adjust.com