Πολιτική Ασφαλείας

Υποδομή

Η Oliver λειτουργεί σε υποδομή cloud (AWS και Vercel) με πολλαπλές ζώνες διαθεσιμότητας για ανθεκτικότητα. Χρησιμοποιούμε διαχειριζόμενες βάσεις δεδομένων με ανάκτηση σε συγκεκριμένο χρονικό σημείο και συνεχή αντίγραφα ασφαλείας. Η πρόσβαση στην παραγωγή είναι περιορισμένη σε μια μικρή ομάδα ανώτερων μηχανικών και ελέγχεται.

Κρυπτογράφηση

Όλα τα δεδομένα κρυπτογραφούνται κατά τη μεταφορά χρησιμοποιώντας TLS 1.2+ και σε κατάσταση ηρεμίας χρησιμοποιώντας AES-256. Τα δεδομένα καρτών δεν αποθηκεύονται ποτέ στους διακομιστές της Oliver — μετατρέπονται σε διακριτικά (tokenised) από τον επεξεργαστή πληρωμών τη στιγμή της καταγραφής.

Ασφάλεια πληρωμών

Το Oliver POS δεν αποθηκεύει αριθμούς καρτών. Τα δεδομένα καρτών διαχειρίζονται από τους ενσωματωμένους επεξεργαστές μας (Stripe, Moneris, Vendara, Sensi Pay, κ.λπ.), καθένας από τους οποίους είναι πιστοποιημένος κατά PCI-DSS Level 1. Το Oliver POS μειώνει το πεδίο εφαρμογής του PCI-DSS — η έκθεση του εμπόρου είναι περιορισμένη επειδή τα ευαίσθητα δεδομένα δεν φτάνουν ποτέ στους διακομιστές μας.

Έλεγχοι πρόσβασης

Οι έμποροι διαχειρίζονται την πρόσβαση του προσωπικού μέσω του Oliver Hub με δικαιώματα βάσει ρόλου (ταμίας, διευθυντής, ιδιοκτήτης). Ο έλεγχος ταυτότητας πολλαπλών παραγόντων επιβάλλεται για τους ρόλους ιδιοκτήτη και διαχειριστή. Κάθε προνομιακή ενέργεια καταγράφεται με το μέλος του προσωπικού, τη χρονική σήμανση και την IP.

Διαχείριση ευπαθειών

Εκτελούμε αυτοματοποιημένη σάρωση εξαρτήσεων σε κάθε έκδοση, μηνιαίες σαρώσεις υποδομής και ετήσιες δοκιμές διείσδυσης από τρίτους. Τα ευρήματα ασφαλείας παρακολουθούνται στο εσωτερικό μας σύστημα δελτίων υποστήριξης με SLA ανάλογα με τη σοβαρότητα.

Απόκριση σε περιστατικά

Έχουμε μια τεκμηριωμένη διαδικασία απόκρισης σε περιστατικά με μηχανικούς σε επιφυλακή 24/7. Σε περίπτωση περιστατικού δεδομένων που επηρεάζει εμπόρους ή αγοραστές, ειδοποιούμε τα επηρεαζόμενα μέρη εντός των χρονικών πλαισίων που απαιτούνται από την ισχύουσα νομοθεσία (72 ώρες για τον GDPR).

Υπεύθυνη γνωστοποίηση

Βρήκατε κάποιο ζήτημα ασφαλείας; Παρακαλούμε στείλτε email στο security@oliverpos.com πριν από τη δημόσια γνωστοποίηση. Απαντάμε εντός 2 εργάσιμων ημερών, συνεργαζόμαστε με τους ερευνητές καλή τη πίστει και αναγνωρίζουμε τα ευρήματα (με άδεια) στις ευχαριστίες ασφαλείας μας.

Ασφάλεια από την πλευρά του εμπόρου

Ένα μέρος της ασφάλειας βρίσκεται στα χέρια του εμπόρου: η διατήρηση του WordPress και του WooCommerce ενημερωμένων, η επιλογή ισχυρών κωδικών πρόσβασης για το προσωπικό, η ενεργοποίηση του MFA, ο περιορισμός της πρόσβασης στο ταμείο σε αποκλειστικές συσκευές και η περιοδική εξέταση του αρχείου καταγραφής ελέγχου. Το Oliver Hub παρέχει καθοδήγηση για καθένα από αυτά.