Politique de sécurité

Infrastructure

Oliver fonctionne sur une infrastructure cloud (AWS et Vercel) avec plusieurs zones de disponibilité pour la résilience. Nous utilisons des bases de données gérées avec une récupération à un instant T et des sauvegardes continues. L'accès à la production est restreint à un petit groupe d'ingénieurs seniors et est audité.

Chiffrement

Toutes les données sont chiffrées en transit à l'aide de TLS 1.2+ et au repos à l'aide d'AES-256. Les données de carte ne sont jamais stockées sur les serveurs d'Oliver — elles sont tokénisées par le processeur de paiement au moment de la saisie.

Sécurité des paiements

Oliver POS ne stocke pas les numéros de carte. Les données de carte sont gérées par nos processeurs intégrés (Stripe, Moneris, Vendara, Sensi Pay, etc.), chacun étant certifié PCI-DSS Niveau 1. Oliver POS réduit le périmètre PCI-DSS — l'exposition du commerçant est limitée car les données sensibles ne transitent jamais par nos serveurs.

Contrôles d'accès

Les commerçants gèrent l'accès du personnel via le Oliver Hub avec des autorisations basées sur les rôles (caissier, manager, propriétaire). L'authentification multifacteur est obligatoire pour les rôles de propriétaire et d'administrateur. Chaque action privilégiée est enregistrée avec le membre du personnel, l'horodatage et l'adresse IP.

Gestion des vulnérabilités

Nous effectuons une analyse automatisée des dépendances à chaque build, des analyses mensuelles de l'infrastructure et des tests d'intrusion annuels par des tiers. Les failles de sécurité sont suivies dans notre système de tickets interne avec des SLA en fonction de leur gravité.

Réponse aux incidents

Nous avons une procédure documentée de réponse aux incidents avec des ingénieurs d'astreinte 24h/24 et 7j/7. En cas d'incident de données affectant les commerçants ou les acheteurs, nous notifions les parties concernées dans les délais requis par la loi applicable (72 heures pour le RGPD).

Divulgation responsable

Vous avez trouvé une faille de sécurité ? Veuillez envoyer un e-mail à security@oliverpos.com avant toute divulgation publique. Nous répondons dans les 2 jours ouvrables, travaillons de bonne foi avec les chercheurs et créditons les découvertes (avec autorisation) dans nos remerciements de sécurité.

Sécurité côté commerçant

Une partie de la sécurité est entre les mains du commerçant : maintenir WordPress et WooCommerce à jour, choisir des mots de passe forts pour le personnel, activer l'AMF, restreindre l'accès à la caisse à des appareils dédiés et consulter périodiquement le journal d'audit. Le Oliver Hub fournit des conseils sur chacun de ces points.