Biztonsági szabályzat

Infrastruktúra

Az Oliver felhőinfrastruktúrán (AWS és Vercel) fut, több rendelkezésre állási zónával a rugalmasság érdekében. Felügyelt adatbázisokat használunk időponthoz kötött helyreállítással és folyamatos biztonsági mentésekkel. A termelési hozzáférés egy szűk körű, vezető mérnökökből álló csoportra korlátozódik, és auditált.

Titkosítás

Minden adatot átvitel közben TLS 1.2+ protokollal, nyugalmi állapotban pedig AES-256 algoritmussal titkosítunk. A kártyaadatokat soha nem tároljuk az Oliver szerverein – azokat a fizetési feldolgozó tokenizálja a rögzítés pillanatában.

Fizetési biztonság

Az Oliver POS nem tárol kártyaszámokat. A kártyaadatokat az integrált feldolgozóink (Stripe, Moneris, Vendara, Sensi Pay stb.) kezelik, amelyek mindegyike PCI-DSS Level 1 tanúsítvánnyal rendelkezik. Az Oliver POS PCI-DSS hatókör-csökkentő – a kereskedő kitettsége korlátozott, mivel az érzékeny adatok soha nem érintik a szervereinket.

Hozzáférés-szabályozás

A kereskedők a munkatársak hozzáférését az Oliver Hub-on keresztül kezelik szerepkör-alapú engedélyekkel (pénztáros, menedzser, tulajdonos). A tulajdonosi és adminisztrátori szerepkörökhöz többfaktoros hitelesítés van érvényben. Minden kiemelt jogosultságú műveletet naplózzuk a munkatárs, az időbélyeg és az IP-cím megadásával.

Sebesülékenység-kezelés

Minden builden automatizált függőség-ellenőrzést, havi infrastruktúra-ellenőrzéseket és éves, harmadik fél által végzett behatolásvizsgálatokat futtatunk. A biztonsági megállapításokat a belső jegykezelő rendszerünkben követjük nyomon, súlyosság szerinti SLA-kkal.

Incidenskezelés

Dokumentált incidenskezelési eljárásunk van, 24/7 rendelkezésre álló ügyeletes mérnökökkel. Kereskedőket vagy vásárlókat érintő adatinciens esetén az érintett feleket az alkalmazandó jogszabályok által előírt határidőn belül (GDPR esetén 72 óra) értesítjük.

Felelős közzététel

Biztonsági problémát talált? Kérjük, írjon e-mailt a security@oliverpos.com címre a nyilvános közzététel előtt. 2 munkanapon belül válaszolunk, jóhiszeműen együttműködünk a kutatókkal, és a megállapításokat (engedéllyel) elismerjük a biztonsági köszönetnyilvánításainkban.

Kereskedő oldali biztonság

A biztonság egy része a kereskedő kezében van: a WordPress és a WooCommerce naprakészen tartása, erős jelszavak választása a munkatársaknak, az MFA engedélyezése, a pénztárgéphez való hozzáférés korlátozása dedikált eszközökre, és az auditnapló időszakos áttekintése. Az Oliver Hub mindezekhez útmutatást nyújt.