Sicherheitsrichtlinie

Infrastruktur

Oliver läuft auf einer Cloud-Infrastruktur (AWS und Vercel) mit mehreren Verfügbarkeitszonen zur Ausfallsicherheit. Wir verwenden verwaltete Datenbanken mit Point-in-Time-Recovery und kontinuierlichen Backups. Der Produktionszugriff ist auf eine kleine Gruppe von leitenden Ingenieuren beschränkt und wird auditiert.

Verschlüsselung

Alle Daten werden bei der Übertragung mit TLS 1.2+ und im Ruhezustand mit AES-256 verschlüsselt. Kartendaten werden niemals auf Oliver-Servern gespeichert – sie werden vom Zahlungsabwickler zum Zeitpunkt der Erfassung tokenisiert.

Zahlungssicherheit

Oliver POS speichert keine Kartennummern. Kartendaten werden von unseren integrierten Abwicklern (Stripe, Moneris, Vendara, Sensi Pay, etc.) verarbeitet, von denen jeder PCI-DSS Level 1 zertifiziert ist. Oliver POS reduziert den PCI-DSS-Geltungsbereich – die Gefährdung des Händlers ist begrenzt, da die sensiblen Daten niemals unsere Server berühren.

Zugriffskontrollen

Händler verwalten den Mitarbeiterzugang über den Oliver Hub mit rollenbasierten Berechtigungen (Kassier, Manager, Eigentümer). Die Multi-Faktor-Authentifizierung wird für Eigentümer- und Administratorrollen erzwungen. Jede privilegierte Aktion wird mit Mitarbeiter, Zeitstempel und IP-Adresse protokolliert.

Schwachstellenmanagement

Wir führen bei jedem Build automatisierte Abhängigkeitsscans, monatliche Infrastrukturscans und jährliche Penetrationstests durch Dritte durch. Sicherheitsrelevante Ergebnisse werden in unserem internen Ticketsystem mit SLAs nach Schweregrad verfolgt.

Reaktion auf Vorfälle

Wir haben ein dokumentiertes Verfahren zur Reaktion auf Vorfälle mit diensthabenden Ingenieuren rund um die Uhr. Im Falle eines Datenvorfalls, der Händler oder Käufer betrifft, benachrichtigen wir die betroffenen Parteien innerhalb der gesetzlich vorgeschriebenen Fristen (72 Stunden gemäß DSGVO).

Verantwortungsvolle Offenlegung

Haben Sie ein Sicherheitsproblem gefunden? Bitte senden Sie eine E-Mail an security@oliverpos.com vor der öffentlichen Bekanntgabe. Wir antworten innerhalb von 2 Werktagen, arbeiten mit Forschern nach Treu und Glauben zusammen und würdigen die Ergebnisse (mit Genehmigung) in unseren Sicherheitsdanksagungen.

Händlerseitige Sicherheit

Ein Teil der Sicherheit liegt in den Händen des Händlers: WordPress und WooCommerce aktuell zu halten, starke Mitarbeiterpasswörter zu wählen, die MFA zu aktivieren, den Kassenzugang auf dedizierte Geräte zu beschränken und das Audit-Protokoll regelmäßig zu überprüfen. Der Oliver Hub bietet Anleitungen zu jedem dieser Punkte.