Política de Seguridad

Infraestructura

Oliver se ejecuta en infraestructura en la nube (AWS y Vercel) con múltiples zonas de disponibilidad para mayor resiliencia. Usamos bases de datos administradas con recuperación a un punto en el tiempo y copias de seguridad continuas. El acceso a producción está restringido a un pequeño grupo de ingenieros senior y es auditado.

Cifrado

Todos los datos se cifran en tránsito usando TLS 1.2+ y en reposo usando AES-256. Los datos de las tarjetas nunca se almacenan en los servidores de Oliver; son tokenizados por el procesador de pagos en el momento de la captura.

Seguridad de los pagos

Oliver POS no almacena números de tarjetas. Los datos de las tarjetas son manejados por nuestros procesadores integrados (Stripe, Moneris, Vendara, Sensi Pay, etc.), cada uno de los cuales cuenta con la certificación PCI-DSS Nivel 1. Oliver POS reduce el alcance de PCI-DSS, lo que limita la exposición del comerciante porque los datos sensibles nunca tocan nuestros servidores.

Controles de acceso

Los comerciantes gestionan el acceso del personal a través del Oliver Hub con permisos basados en roles (cajero, gerente, propietario). La autenticación multifactor es obligatoria para los roles de propietario y administrador. Cada acción privilegiada se registra con el miembro del personal, la marca de tiempo y la IP.

Gestión de vulnerabilidades

Ejecutamos escaneos automatizados de dependencias en cada compilación, escaneos mensuales de infraestructura y pruebas de penetración anuales de terceros. Los hallazgos de seguridad se rastrean en nuestro sistema de tickets interno con SLA según la gravedad.

Respuesta a incidentes

Tenemos un procedimiento documentado de respuesta a incidentes con ingenieros de guardia 24/7. En caso de un incidente de datos que afecte a comerciantes o compradores, notificamos a las partes afectadas dentro de los plazos exigidos por la ley aplicable (72 horas para el RGPD).

Divulgación responsable

¿Encontraste un problema de seguridad? Por favor, envía un correo electrónico a security@oliverpos.com antes de hacerlo público. Respondemos en un plazo de 2 días hábiles, trabajamos de buena fe con los investigadores y damos crédito a los hallazgos (con permiso) en nuestros agradecimientos de seguridad.

Seguridad del lado del comerciante

Parte de la seguridad está en manos del comerciante: mantener WordPress y WooCommerce actualizados, elegir contraseñas seguras para el personal, habilitar la MFA, restringir el acceso a la caja a dispositivos dedicados y revisar el registro de auditoría periódicamente. El Oliver Hub ofrece orientación sobre cada uno de estos puntos.