Politique de sécurité

Infrastructure

Oliver fonctionne sur une infrastructure cloud (AWS et Vercel) avec plusieurs zones de disponibilité pour la résilience. Nous utilisons des bases de données gérées avec une récupération à un point dans le temps et des sauvegardes continues. L'accès à la production est limité à un petit groupe d'ingénieurs seniors et est audité.

Chiffrement

Toutes les données sont chiffrées en transit via TLS 1.2+ et au repos via AES-256. Les données de carte ne sont jamais stockées sur les serveurs d'Oliver — elles sont tokénisées par le processeur de paiement au moment de la saisie.

Sécurité des paiements

Oliver POS ne stocke pas les numéros de carte. Les données de carte sont traitées par nos processeurs intégrés (Stripe, Moneris, Vendara, Sensi Pay, etc.), chacun étant certifié PCI-DSS Niveau 1. Oliver POS réduit le périmètre PCI-DSS — l'exposition du commerçant est limitée car les données sensibles ne transitent jamais par nos serveurs.

Contrôles d'accès

Les commerçants gèrent l'accès du personnel via le Hub Oliver avec des autorisations basées sur les rôles (caissier, manager, propriétaire). L'authentification multifacteur est obligatoire pour les rôles de propriétaire et d'administrateur. Chaque action privilégiée est enregistrée avec le membre du personnel, l'horodatage et l'IP.

Gestion des vulnérabilités

Nous effectuons une analyse automatisée des dépendances à chaque build, des analyses mensuelles de l'infrastructure et des tests d'intrusion annuels par des tiers. Les failles de sécurité sont suivies dans notre système de tickets interne avec des SLA selon la gravité.

Réponse aux incidents

Nous avons une procédure documentée de réponse aux incidents avec des ingénieurs d'astreinte 24/7. En cas d'incident de données affectant les commerçants ou les clients, nous notifions les parties concernées dans les délais exigés par la loi applicable (72 heures pour le RGPD).

Divulgation responsable

Vous avez trouvé une faille de sécurité ? Veuillez envoyer un e-mail à security@oliverpos.com avant toute divulgation publique. Nous répondons dans les 2 jours ouvrables, travaillons de bonne foi avec les chercheurs et créditons les découvertes (avec autorisation) dans nos remerciements de sécurité.

Sécurité côté commerçant

Une partie de la sécurité est entre les mains du commerçant : maintenir WordPress et WooCommerce à jour, choisir des mots de passe forts pour le personnel, activer l'AMF, restreindre l'accès à la caisse à des appareils dédiés et examiner périodiquement le journal d'audit. Le Hub Oliver fournit des conseils sur chacun de ces points.