Política de seguridad

Infraestructura

Oliver funciona en una infraestructura en la nube (AWS y Vercel) con múltiples zonas de disponibilidad para mayor resiliencia. Utilizamos bases de datos gestionadas con recuperación a un momento dado y copias de seguridad continuas. El acceso a producción está restringido a un pequeño grupo de ingenieros sénior y es auditado.

Cifrado

Todos los datos se cifran en tránsito utilizando TLS 1.2+ y en reposo utilizando AES-256. Los datos de las tarjetas nunca se almacenan en los servidores de Oliver; son tokenizados por el procesador de pagos en el momento de la captura.

Seguridad de los pagos

Oliver POS no almacena números de tarjeta. Los datos de las tarjetas son gestionados por nuestros procesadores integrados (Stripe, Moneris, Vendara, Sensi Pay, etc.), cada uno de los cuales cuenta con la certificación PCI-DSS de nivel 1. Oliver POS reduce el alcance de PCI-DSS: la exposición del comerciante es limitada porque los datos sensibles nunca llegan a nuestros servidores.

Controles de acceso

Los comerciantes gestionan el acceso del personal a través del Hub de Oliver con permisos basados en roles (cajero, gerente, propietario). La autenticación multifactor es obligatoria para los roles de propietario y administrador. Cada acción privilegiada se registra con el miembro del personal, la marca de tiempo y la IP.

Gestión de vulnerabilidades

Realizamos análisis automáticos de dependencias en cada compilación, escaneos mensuales de la infraestructura y pruebas de penetración anuales por parte de terceros. Los hallazgos de seguridad se registran en nuestro sistema interno de tickets con SLA según la gravedad.

Respuesta a incidentes

Tenemos un procedimiento documentado de respuesta a incidentes con ingenieros de guardia 24/7. En caso de un incidente de datos que afecte a comerciantes o compradores, notificamos a las partes afectadas dentro de los plazos exigidos por la legislación aplicable (72 horas para el RGPD).

Divulgación responsable

¿Has encontrado un problema de seguridad? Por favor, envía un correo electrónico a security@oliverpos.com antes de su divulgación pública. Respondemos en un plazo de 2 días hábiles, colaboramos de buena fe con los investigadores y damos crédito a los hallazgos (con permiso) en nuestros agradecimientos de seguridad.

Seguridad por parte del comerciante

Parte de la seguridad está en manos del comerciante: mantener WordPress y WooCommerce actualizados, elegir contraseñas seguras para el personal, habilitar la MFA, restringir el acceso a la caja a dispositivos dedicados y revisar el registro de auditoría periódicamente. El Hub de Oliver ofrece orientación sobre cada uno de estos puntos.