Zásady zabezpečení

Infrastruktura

Oliver běží na cloudové infrastruktuře (AWS a Vercel) s několika zónami dostupnosti pro zajištění odolnosti. Používáme spravované databáze s obnovou k určitému bodu v čase a nepřetržitými zálohami. Přístup do produkčního prostředí je omezen na malou skupinu seniorních inženýrů a je auditován.

Šifrování

Všechna data jsou šifrována při přenosu pomocí TLS 1.2+ a v klidovém stavu pomocí AES-256. Údaje o kartách se nikdy neukládají na serverech Oliver – jsou tokenizovány platebním zpracovatelem v okamžiku zachycení.

Zabezpečení plateb

Oliver POS neukládá čísla karet. Údaje o kartách zpracovávají naši integrovaní zpracovatelé (Stripe, Moneris, Vendara, Sensi Pay atd.), z nichž každý má certifikaci PCI-DSS Level 1. Oliver POS snižuje rozsah PCI-DSS – expozice obchodníka je omezena, protože citlivé údaje se nikdy nedostanou na naše servery.

Řízení přístupu

Obchodníci spravují přístup zaměstnanců prostřednictvím Oliver Hub s oprávněními založenými na rolích (pokladní, manažer, vlastník). Pro role vlastníka a správce je vynucena vícefaktorová autentizace. Každá privilegovaná akce je zaznamenána s uvedením zaměstnance, časového razítka a IP adresy.

Správa zranitelností

Při každém sestavení spouštíme automatické skenování závislostí, měsíční skeny infrastruktury a roční penetrační testy třetích stran. Bezpečnostní nálezy jsou sledovány v našem interním tiketovacím systému s SLA podle závažnosti.

Reakce na incidenty

Máme zdokumentovaný postup reakce na incidenty s inženýry na příjmu 24/7. V případě datového incidentu, který se dotkne obchodníků nebo nakupujících, informujeme dotčené strany ve lhůtách vyžadovaných platnými právními předpisy (72 hodin pro GDPR).

Zodpovědné zveřejnění

Našli jste bezpečnostní problém? Napište prosím e-mail na security@oliverpos.com před veřejným zveřejněním. Odpovíme do 2 pracovních dnů, spolupracujeme s výzkumníky v dobré víře a (se svolením) uvádíme nálezy v našich bezpečnostních poděkováních.

Zabezpečení na straně obchodníka

Některá bezpečnostní opatření jsou v rukou obchodníka: udržování WordPress a WooCommerce v aktuálním stavu, volba silných hesel pro zaměstnance, povolení MFA, omezení přístupu k pokladně na vyhrazená zařízení a pravidelná kontrola auditorského záznamu. Oliver Hub poskytuje pokyny ke každému z těchto bodů.