Tietoturvakäytäntö

Infrastruktuuri

Oliver toimii pilvi-infrastruktuurissa (AWS ja Vercel), jossa on useita saatavuusvyöhykkeitä vikasietoisuuden varmistamiseksi. Käytämme hallinnoituja tietokantoja, joissa on ajankohdan mukainen palautus ja jatkuvat varmuuskopiot. Tuotantoympäristön käyttöoikeus on rajoitettu pienelle joukolle vanhempia insinöörejä ja sitä auditoidaan.

Salaus

Kaikki tiedot salataan siirron aikana TLS 1.2+ -protokollalla ja levossa ollessaan AES-256-salauksella. Korttitietoja ei koskaan tallenneta Oliverin palvelimille — maksujenvälittäjä tokenisoi ne maksutapahtuman hetkellä.

Maksujen turvallisuus

Oliver POS ei tallenna korttinumeroita. Korttitietoja käsittelevät integroidut maksujenvälittäjämme (Stripe, Moneris, Vendara, Sensi Pay jne.), jotka kaikki ovat PCI-DSS Level 1 -sertifioituja. Oliver POS vähentää PCI-DSS-vaatimusten soveltamisalaa — kauppiaan altistuminen on rajoitettua, koska arkaluonteiset tiedot eivät koskaan kulje palvelimiemme kautta.

Pääsynvalvonta

Kauppiaat hallinnoivat henkilökunnan käyttöoikeuksia Oliver Hubin kautta roolipohjaisilla luvilla (kassatyöntekijä, päällikkö, omistaja). Monivaiheinen tunnistautuminen on pakollinen omistajan ja järjestelmänvalvojan rooleille. Jokainen etuoikeutettu toimenpide kirjataan lokiin henkilökunnan jäsenen, aikaleiman ja IP-osoitteen kanssa.

Haavoittuvuuksien hallinta

Suoritamme automaattisen riippuvuuksien tarkistuksen jokaiselle koontiversiolle, kuukausittaiset infrastruktuurin tarkistukset ja vuosittaiset kolmannen osapuolen tunkeutumistestit. Tietoturvalöydöksiä seurataan sisäisessä tikettijärjestelmässämme vakavuuden mukaan määriteltyjen palvelutasosopimusten (SLA) mukaisesti.

Poikkeamiin reagointi

Meillä on dokumentoitu poikkeamiin reagoimismenettely ja päivystäviä insinöörejä 24/7. Jos tapahtuu kauppiaisiin tai asiakkaisiin vaikuttava tietoturvapoikkeama, ilmoitamme asianosaisille sovellettavan lain edellyttämissä aikarajoissa (72 tuntia GDPR:n osalta).

Vastuullinen ilmoittaminen

Löysitkö tietoturva-aukon? Lähetä sähköpostia osoitteeseen security@oliverpos.com ennen julkista paljastamista. Vastaamme 2 arkipäivän kuluessa, teemme yhteistyötä tutkijoiden kanssa hyvässä uskossa ja annamme tunnustusta löydöksistä (luvalla) tietoturvakiitoksissamme.

Kauppiaan puolen tietoturva

Osa tietoturvasta on kauppiaan käsissä: WordPressin ja WooCommercen pitäminen ajan tasalla, vahvojen salasanojen valitseminen henkilökunnalle, monivaiheisen tunnistautumisen (MFA) käyttöönotto, kassajärjestelmän käytön rajoittaminen vain tietyille laitteille ja tarkastuslokin säännöllinen tarkastelu. Oliver Hub tarjoaa ohjeita jokaiseen näistä.