Politique de sécurité

Infrastructure

Oliver fonctionne sur une infrastructure infonuagique (AWS et Vercel) avec plusieurs zones de disponibilité pour la résilience. Nous utilisons des bases de données gérées avec récupération à un moment précis et des sauvegardes continues. L'accès à la production est restreint à un petit groupe d'ingénieurs principaux et est audité.

Chiffrement

Toutes les données sont chiffrées en transit à l'aide de TLS 1.2+ et au repos à l'aide d'AES-256. Les données de carte ne sont jamais stockées sur les serveurs d'Oliver — elles sont tokénisées par le processeur de paiement au moment de la saisie.

Sécurité des paiements

Oliver POS ne stocke pas les numéros de carte. Les données de carte sont traitées par nos processeurs intégrés (Stripe, Moneris, Vendara, Sensi Pay, etc.), chacun étant certifié PCI-DSS Niveau 1. Oliver POS réduit la portée de la norme PCI-DSS — l'exposition du commerçant est limitée car les données sensibles ne transitent jamais par nos serveurs.

Contrôles d'accès

Les commerçants gèrent l'accès du personnel via le Hub d'Oliver avec des autorisations basées sur les rôles (caissier, gérant, propriétaire). L'authentification multifacteur est obligatoire pour les rôles de propriétaire et d'administrateur. Chaque action privilégiée est enregistrée avec le membre du personnel, l'horodatage et l'adresse IP.

Gestion des vulnérabilités

Nous effectuons une analyse automatisée des dépendances à chaque compilation, des analyses mensuelles de l'infrastructure et des tests d'intrusion annuels par des tiers. Les failles de sécurité sont suivies dans notre système de billetterie interne avec des SLA (ententes de niveau de service) selon la gravité.

Réponse aux incidents

Nous avons une procédure documentée de réponse aux incidents avec des ingénieurs d'astreinte 24/7. En cas d'incident de données affectant les commerçants ou les clients, nous avisons les parties concernées dans les délais exigés par la loi applicable (72 heures pour le RGPD).

Divulgation responsable

Vous avez trouvé une faille de sécurité? Veuillez envoyer un courriel à security@oliverpos.com avant toute divulgation publique. Nous répondons dans les 2 jours ouvrables, travaillons de bonne foi avec les chercheurs et créditons les découvertes (avec permission) dans nos remerciements de sécurité.

Sécurité côté commerçant

Une partie de la sécurité est entre les mains du commerçant : maintenir WordPress et WooCommerce à jour, choisir des mots de passe robustes pour le personnel, activer l'AMF (authentification multifacteur), restreindre l'accès à la caisse à des appareils dédiés et examiner périodiquement le journal d'audit. Le Hub d'Oliver fournit des conseils sur chacun de ces points.