Kebijakan Keamanan

Infrastruktur

Oliver berjalan di infrastruktur cloud (AWS dan Vercel) dengan beberapa zona ketersediaan untuk ketahanan. Kami menggunakan basis data terkelola dengan pemulihan titik waktu dan pencadangan berkelanjutan. Akses produksi dibatasi untuk sekelompok kecil insinyur senior dan diaudit.

Enkripsi

Semua data dienkripsi saat transit menggunakan TLS 1.2+ dan saat disimpan menggunakan AES-256. Data kartu tidak pernah disimpan di server Oliver — data tersebut ditokenisasi oleh pemroses pembayaran pada saat penangkapan.

Keamanan Pembayaran

Oliver POS tidak menyimpan nomor kartu. Data kartu ditangani oleh pemroses terintegrasi kami (Stripe, Moneris, Vendara, Sensi Pay, dll.), yang masing-masing bersertifikat PCI-DSS Level 1. Oliver POS mengurangi lingkup PCI-DSS — paparan merchant terbatas karena data sensitif tidak pernah menyentuh server kami.

Kontrol Akses

Merchant mengelola akses staf melalui Oliver Hub dengan izin berbasis peran (kasir, manajer, pemilik). Autentikasi multi-faktor diberlakukan untuk peran pemilik dan admin. Setiap tindakan istimewa dicatat dengan anggota staf, stempel waktu, dan IP.

Manajemen Kerentanan

Kami menjalankan pemindaian dependensi otomatis pada setiap build, pemindaian infrastruktur bulanan, dan uji penetrasi pihak ketiga tahunan. Temuan keamanan dilacak dalam sistem tiket internal kami dengan SLA berdasarkan tingkat keparahan.

Respons Insiden

Kami memiliki prosedur respons insiden yang terdokumentasi dengan insinyur siaga 24/7. Jika terjadi insiden data yang memengaruhi merchant atau pembeli, kami akan memberi tahu pihak yang terdampak dalam jangka waktu yang disyaratkan oleh hukum yang berlaku (72 jam untuk GDPR).

Pengungkapan yang Bertanggung Jawab

Menemukan masalah keamanan? Silakan kirim email ke security@oliverpos.com sebelum pengungkapan publik. Kami merespons dalam 2 hari kerja, bekerja dengan para peneliti dengan itikad baik, dan memberikan kredit atas temuan (dengan izin) dalam pengakuan keamanan kami.

Keamanan Sisi Merchant

Sebagian keamanan ada di tangan merchant: menjaga WordPress dan WooCommerce tetap terbaru, memilih kata sandi staf yang kuat, mengaktifkan MFA, membatasi akses register ke perangkat khusus, dan meninjau log audit secara berkala. Oliver Hub menampilkan panduan untuk masing-masing hal ini.