Sicherheitsrichtlinie

Infrastruktur

Oliver läuft auf einer Cloud-Infrastruktur (AWS und Vercel) mit mehreren Verfügbarkeitszonen zur Ausfallsicherheit. Wir verwenden verwaltete Datenbanken mit Point-in-Time-Recovery und kontinuierlichen Backups. Der Produktionszugriff ist auf eine kleine Gruppe von leitenden Ingenieuren beschränkt und wird auditiert.

Verschlüsselung

Alle Daten werden während der Übertragung mit TLS 1.2+ und im Ruhezustand mit AES-256 verschlüsselt. Kartendaten werden niemals auf Oliver-Servern gespeichert – sie werden im Moment der Erfassung vom Zahlungsabwickler tokenisiert.

Zahlungssicherheit

Oliver POS speichert keine Kartennummern. Kartendaten werden von unseren integrierten Abwicklern (Stripe, Moneris, Vendara, Sensi Pay, etc.) verarbeitet, von denen jeder PCI-DSS Level 1 zertifiziert ist. Oliver POS ist PCI-DSS- „scope-reducing“ – die Gefährdung des Händlers ist begrenzt, da die sensiblen Daten niemals unsere Server berühren.

Zugriffskontrollen

Händler verwalten den Mitarbeiterzugriff über den Oliver Hub mit rollenbasierten Berechtigungen (Kassierer, Manager, Inhaber). Für Inhaber- und Admin-Rollen wird eine Multi-Faktor-Authentifizierung erzwungen. Jede privilegierte Aktion wird mit dem Mitarbeiter, dem Zeitstempel und der IP-Adresse protokolliert.

Schwachstellenmanagement

Wir führen bei jedem Build automatisierte Abhängigkeits-Scans, monatliche Infrastruktur-Scans und jährliche Penetrationstests durch Dritte durch. Sicherheitsrelevante Ergebnisse werden in unserem internen Ticketsystem mit SLAs nach Schweregrad verfolgt.

Reaktion auf Vorfälle

Wir haben ein dokumentiertes Verfahren zur Reaktion auf Vorfälle mit diensthabenden Ingenieuren rund um die Uhr. Im Falle eines Datenvorfalls, der Händler oder Käufer betrifft, benachrichtigen wir die betroffenen Parteien innerhalb der von anwendbarem Recht geforderten Fristen (72 Stunden für die DSGVO).

Verantwortungsvolle Offenlegung

Haben Sie ein Sicherheitsproblem gefunden? Bitte senden Sie eine E-Mail an security@oliverpos.com vor der öffentlichen Bekanntgabe. Wir antworten innerhalb von 2 Werktagen, arbeiten mit Forschern nach Treu und Glauben zusammen und würdigen die Ergebnisse (mit Genehmigung) in unseren Danksagungen zur Sicherheit.

Sicherheit auf Händlerseite

Ein Teil der Sicherheit liegt in den Händen des Händlers: WordPress und WooCommerce auf dem neuesten Stand zu halten, starke Mitarbeiterpasswörter zu wählen, die MFA zu aktivieren, den Kassenzugriff auf dedizierte Geräte zu beschränken und das Audit-Protokoll regelmäßig zu überprüfen. Der Oliver Hub bietet Anleitungen zu jedem dieser Punkte.