Política de Seguridad

Infraestructura

Oliver se ejecuta en infraestructura en la nube (AWS y Vercel) con múltiples zonas de disponibilidad para mayor resiliencia. Utilizamos bases de datos administradas con recuperación a un punto en el tiempo y copias de seguridad continuas. El acceso a producción está restringido a un pequeño grupo de ingenieros sénior y es auditado.

Cifrado

Todos los datos se cifran en tránsito utilizando TLS 1.2+ y en reposo utilizando AES-256. Los datos de las tarjetas nunca se almacenan en los servidores de Oliver; son tokenizados por el procesador de pagos en el momento de la captura.

Seguridad de pagos

Oliver POS no almacena números de tarjetas. Los datos de las tarjetas son manejados por nuestros procesadores integrados (Stripe, Moneris, Vendara, Sensi Pay, etc.), cada uno de los cuales cuenta con la certificación PCI-DSS Nivel 1. Oliver POS reduce el alcance de PCI-DSS: la exposición del comerciante es limitada porque los datos sensibles nunca tocan nuestros servidores.

Controles de acceso

Los comerciantes gestionan el acceso del personal a través del Hub de Oliver con permisos basados en roles (cajero, gerente, propietario). La autenticación multifactor es obligatoria para los roles de propietario y administrador. Cada acción privilegiada se registra con el miembro del personal, la marca de tiempo y la IP.

Gestión de vulnerabilidades

Ejecutamos escaneos automatizados de dependencias en cada compilación, escaneos mensuales de infraestructura y pruebas de penetración anuales de terceros. Los hallazgos de seguridad se rastrean en nuestro sistema de tickets interno con SLA por gravedad.

Respuesta a incidentes

Tenemos un procedimiento documentado de respuesta a incidentes con ingenieros de guardia 24/7. En caso de un incidente de datos que afecte a comerciantes o compradores, notificamos a las partes afectadas dentro de los plazos requeridos por la ley aplicable (72 horas para el RGPD).

Divulgación responsable

¿Encontraste un problema de seguridad? Por favor, envía un correo electrónico a security@oliverpos.com antes de su divulgación pública. Respondemos en un plazo de 2 días hábiles, trabajamos con los investigadores de buena fe y damos crédito a los hallazgos (con permiso) en nuestros agradecimientos de seguridad.

Seguridad del lado del comerciante

Parte de la seguridad está en manos del comerciante: mantener WordPress y WooCommerce actualizados, elegir contraseñas seguras para el personal, habilitar la MFA, restringir el acceso a la caja a dispositivos dedicados y revisar el registro de auditoría periódicamente. El Hub de Oliver ofrece orientación sobre cada uno de estos puntos.