Política de Seguridad

Infraestructura

Oliver se ejecuta en una infraestructura en la nube (AWS y Vercel) con múltiples zonas de disponibilidad para mayor resiliencia. Usamos bases de datos gestionadas con recuperación a un punto en el tiempo y copias de seguridad continuas. El acceso a producción está restringido a un pequeño grupo de ingenieros sénior y es auditado.

Cifrado

Todos los datos se cifran en tránsito usando TLS 1.2+ y en reposo usando AES-256. Los datos de las tarjetas nunca se almacenan en los servidores de Oliver, sino que son tokenizados por el procesador de pagos en el momento de la captura.

Seguridad de los pagos

Oliver POS no almacena números de tarjetas. Los datos de las tarjetas son gestionados por nuestros procesadores integrados (Stripe, Moneris, Vendara, Sensi Pay, etc.), cada uno de los cuales cuenta con la certificación PCI-DSS Nivel 1. Oliver POS reduce el alcance de PCI-DSS: la exposición del comerciante es limitada porque los datos sensibles nunca llegan a nuestros servidores.

Controles de acceso

Los comerciantes gestionan el acceso del personal a través del Hub de Oliver con permisos basados en roles (cajero, gerente, propietario). La autenticación multifactor es obligatoria para los roles de propietario y administrador. Cada acción privilegiada se registra con el miembro del personal, la marca de tiempo y la IP.

Gestión de vulnerabilidades

Ejecutamos análisis automatizados de dependencias en cada compilación, escaneos mensuales de infraestructura y pruebas de penetración anuales de terceros. Los hallazgos de seguridad se rastrean en nuestro sistema de tickets interno con SLA según la gravedad.

Respuesta a incidentes

Tenemos un procedimiento documentado de respuesta a incidentes con ingenieros de guardia 24/7. En caso de un incidente de datos que afecte a comerciantes o compradores, notificamos a las partes afectadas dentro de los plazos exigidos por la ley aplicable (72 horas para el RGPD).

Divulgación responsable

¿Encontraste un problema de seguridad? Por favor, enviá un correo electrónico a security@oliverpos.com antes de la divulgación pública. Respondemos en un plazo de 2 días hábiles, trabajamos con los investigadores de buena fe y damos crédito a los hallazgos (con permiso) en nuestros agradecimientos de seguridad.

Seguridad del lado del comerciante

Parte de la seguridad está en manos del comerciante: mantener WordPress y WooCommerce actualizados, elegir contraseñas seguras para el personal, habilitar la MFA, restringir el acceso a la caja a dispositivos dedicados y revisar el registro de auditoría periódicamente. El Hub de Oliver ofrece orientación sobre cada uno de estos puntos.