Bảo mật và Quyền riêng tư
Adjust giúp bạn kiểm soát và hiểu dữ liệu một cách toàn diện.
Với đội ngũ chuyên trách làm việc toàn thời gian, chúng tôi duy trì tính bảo mật, tính sẵn có, và tính toàn vẹn của dữ liệu do Adjust xử lý và lưu trữ.
Hệ thống quản lý an toàn thông tin tại Adjust được tổ chức uy tín TUV Nord thanh tra định kỳ, và được cấp chứng nhận ISO/IEC 27001 kể từ năm 2020.
ISO/IEC 27001
Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) 27001:2013 là tổ chức đặt ra các tiêu chuẩn quốc tế về hệ thống quản lý an toàn thông tin uy tín và hiệu quả. Adjust cam kết thực hiện các thông lệ tốt nhất để duy trì tính bảo mật, tính sẵn có, và tính toàn vẹn của thông tin, cũng như giúp khách hàng tuân thủ pháp luật hiện hành.
ePrivacy
Adjust đạt chuẩn ePrivacy kể từ năm 2015 và mới được cấp lại chứng nhận vào năm 2021. Chứng nhận đã bao gồm các yêu cầu của GDPR (Quy định chung về bảo vệ dữ liệu của châu Âu) dành cho sản phẩm kỹ thuật số.
GDPR & CCPA
Chúng tôi cam kết, khách hàng luôn có thể yên tâm sử dụng sản phẩm của Adjust, mà không cần lo lắng vi phạm các điều luật về quyền riêng tư. Để biết thêm thông tin, vui lòng tham khảo Điều khoản & Điều kiện, Chính sách quyền riêng tư và CCPA.
CARU COPPA Safe Harbor
Adjust không ngừng nghiên cứu để đảm bảo chính sách luôn tuân thủ các quy định nghiêm ngặt về quyền riêng tư. Safe Harbor là chứng chỉ được sử dụng để đảm bảo sản phẩm và phương thức quảng cáo của Adjust đều tuân thủ COPPA và hướng dẫn về quyền trẻ em của CARU.
Chính sách về Quyền riêng tư
Chúng tôi tin rằng, mỗi cá nhân có quyền được đảm bảo tính minh bạch, được bảo mật thông tin và được bảo vệ quyền riêng tư dữ liệu khi sử dụng ứng dụng. Vì lý do đó, Adjust đã ban hành Chính sách về Quyền riêng tư, trong đó nêu rõ Adjust sẽ thu thập dữ liệu nào và sử dụng dữ liệu ra sao.
Tiềm lực của Adjust trong bảo mật thông tin đến từ các chiến lược bảo mật ngay từ trong thiết kế (security by design) và theo chiều sâu, nhiều lớp (defense-in-depth) - giúp giảm thiểu bề mặt tấn công (attack surface). Cơ sở hạ tầng của chúng tôi là một ví dụ.
Để cải thiện độ tin cậy, chúng tôi vận hành cơ sở hạ tầng phân tán theo vị trí địa lý, với sự hỗ trợ của nhà cung cấp IAAS. Tất cả ba trung tâm dữ liệu (data center) đều được thiết kế tính năng bảo mật phân lớp, với phần cứng đảm bảo loại bỏ các điểm lỗi đơn lẻ một cách triệt để.
Đáng chú ý, với việc không sử dụng nền tảng đám mây truyền thống và công nghệ trực quan hóa trong bộ sản phẩm, chúng tôi đã tránh được nhiều rủi ro bảo mật nghiêm trọng ngay từ giai đoạn đầu của vòng đời tài sản.
Việc giảm thiểu rủi ro bảo mật cũng mô tả ngắn gọn phương châm bảo mật của chúng tôi. Khi rủi ro càng nhiều, thì số lượng biện pháp và chứng nhận bảo mật bạn cần càng nhiều, nếu muốn đạt được khả năng bảo mật nhất định.
Nhưng Adjust không cần vô vàn chứng nhận, vì khả năng gặp rủi ro bảo mật thấp hơn rất nhiều. Chứng nhận ISO/IEC 27001 là đã đủ cho một chiến lược quản lý rủi ro hiệu quả, phù hợp với mục tiêu kinh tế và quản trị rủi ro của chúng tôi.
Bảo mật dữ liệu
Adjust là đơn vị duy nhất xử lý dữ liệu của khách hàng, không một bên nào khác có quyền truy cập vào dữ liệu. Hay nói cách khác, khi Adjust thay mặt khách hàng thu thập dữ liệu, tất cả dữ liệu đều được xử lý và lưu trữ độc quyền trên các máy chủ do chúng tôi toàn quyền kiểm soát.
Truyền tải dữ liệu
Adjust cam kết mang đến lược đồ (scheme) và giao thức (protocol) mã hóa tốt nhất trên thị trường, được hỗ trợ bởi chính máy chủ của chúng tôi. Với HTTPS thông qua TLS và PFS (Perfect Forward Secrecy), chúng tôi bảo mật và duy trì tính toàn vẹn dữ liệu trong suốt quá trình truyền tải dữ liệu.
Dữ liệu tĩnh
Dữ liệu quan trọng của khách hàng được mã hóa bằng AES256. Việc truy cập vào bất kỳ cơ sở dữ liệu nào đều được kiểm soát chặt chẽ theo nguyên tắc ít đặc quyền nhất và tách biệt nhiệm vụ.
Sao lưu dữ liệu
Adjust có các máy chủ dư hiệu năng và triển khai ứng dụng phân tán theo vị trí địa lý trên toàn trung tâm dữ liệu. Việc sao lưu được tiến hành liên tục và theo khu vực.
Lưu trữ dữ liệu
Sau 30 ngày tính từ thời điểm chấm dứt hợp đồng, chúng tôi sẽ xóa toàn bộ dữ liệu của khách hàng ra khỏi cơ sở dữ liệu.
Tổng quan về các biện pháp bảo mật
Không như các công ty SaaS khác trên toàn cầu, Adjust không sử dụng nhà cung cấp dịch vụ đám mây công cộng.
Thay vào đó, chúng tôi lưu trữ cơ sở hạ tầng trên máy chủ bare-metal và sở hữu hệ thống riêng (single tenant). Nhờ vậy, hệ thống được quản lý một cách minh bạch, và dễ dàng được điều chỉnh để đáp ứng yêu cầu của chúng tôi.
Kiểm soát quyền truy cập
Chúng tôi thiết lập và ghi chép đầy đủ các quy trình về kiểm soát truy cập, dựa trên nguyên tắc ít đặc quyền nhất, tách biệt nhiệm vụ, và chỉ được biết khi nhiệm vụ được yêu cầu. Adjust chỉ cho phép một vài thành viên chủ chốt của nhóm kỹ thuật xem xét hệ thống sản xuất, và nghiêm cấm đăng nhập bằng mật khẩu.
Bảo mật về mặt nhân sự
Tất cả nhân viên và nhà thầu, bất kể trước, trong, hay sau thời gian làm việc với Adjust, đều cần tuân thủ chính sách và quy trình về bảo mật, với quan điểm bảo mật thông tin là trách nhiệm của tất cả mọi người. Adjust còn thường xuyên tổ chức các khóa đào tạo về bảo mật.
Bảo mật về mặt mạng lưới
Chúng tôi triển khai kiểm soát phân lớp để đảm bảo tính bảo mật, tính sẵn có, và tính toàn vẹn của dữ liệu khách hàng trong suốt quá trình truyền tải dữ liệu. HTTPS thông qua TLS 1.2, giao thức đáng tin cậy nhất trên Internet, được dùng để bảo vệ mọi lưu lượng mạng (network traffic) trao đổi với khách hàng.
Bảo mật về mặt vận hành
Một trong những điểm nổi bật nhất trong tiềm lực bảo mật của Adjust là khả năng giám sát. Dù là về tính sẵn có, độ tin cậy, hay tính bảo mật của hệ thống sản xuất, chúng tôi đều phản ứng và khắc phục sự cố ngay lập tức. Nếu có bất kỳ việc gì xảy ra ngoài khu vực mục tiêu (target area), chúng tôi sẽ triển khai các biện pháp cần thiết để đảm bảo việc này không lặp lại trong tương lai.
Bảo mật về mặt hệ thống
Với biện pháp kiểm soát bảo mật nội bộ và các phiên bản bảo mật mới, máy chủ và máy trạm được nâng cấp liên tục. Ngoài ra, với giải pháp triển khai liên tục và hệ thống quản lý trung tâm, cấu hình hệ thống còn được ghi lại và duy trì một cách nhất quán.
Bảo mật tầng ứng dụng (application layer)
Nhóm phát triển tại Adjust sử dụng OWASP, phương pháp mã hóa an toàn, để giảm thiểu lỗ hổng ứng dụng trong phần mềm đặc thù (custom-built software). Database instance cũng được tách riêng về mặt vật lý với máy chủ ứng dụng để giảm thiểu rủi ro bảo mật.
Logging
Logging là một thành phần quan trọng trong cơ sở hạ tầng của Adjust. Logging được sử dụng rộng rãi để giám sát hoạt động trong sản xuất cũng như điều tra các sự kiện bảo mật. Log được thu thập theo thời gian thực (real-time) qua các kênh bảo mật và chuyển về bộ log tập trung (centralized logging).
Kiểm thử thâm nhập (penetration testing)
Kiểm thử thâm nhập là một trong những giải pháp chính trong quy trình quản lý lỗ hổng hệ thống của chúng tôi. Máy chủ, mạng lưới, và ứng dụng web thường xuyên được tổ chức uy tín xem xét đánh giá, nhằm xác định và khắc phục các lỗ hổng tiềm ẩn.
Liên hệ với Nhóm Phụ trách Bảo mật
Bảo mật dữ liệu khách hàng là ưu tiên hàng đầu và giá trị cốt lõi tại Adjust. Với việc luôn chú trọng tính bảo mật, sự tin cậy, và quyền riêng tư, chúng tôi đánh giá rất cao công việc của các nhà nghiên cứu giải pháp bảo mật.
Nếu bạn tìm thấy lỗ hổng trong hệ thống của chúng tôi, hay bạn có bất kỳ câu hỏi nào, vui lòng liên hệ với Nhóm Phụ trách Bảo mật tại security@adjust.com