Informativa sulla sicurezza

Infrastruttura

Oliver opera su un'infrastruttura cloud (AWS e Vercel) con più zone di disponibilità per garantire la resilienza. Utilizziamo database gestiti con ripristino point-in-time e backup continui. L'accesso alla produzione è limitato a un piccolo gruppo di ingegneri senior e sottoposto a verifica.

Crittografia

Tutti i dati sono crittografati in transito utilizzando TLS 1.2+ e a riposo utilizzando AES-256. I dati delle carte non vengono mai memorizzati sui server di Oliver — vengono tokenizzati dal processore di pagamento al momento dell'acquisizione.

Sicurezza dei pagamenti

Oliver POS non memorizza i numeri delle carte. I dati delle carte sono gestiti dai nostri processori integrati (Stripe, Moneris, Vendara, Sensi Pay, ecc.), ognuno dei quali è certificato PCI-DSS Livello 1. Oliver POS riduce l'ambito di applicazione PCI-DSS — l'esposizione del commerciante è limitata perché i dati sensibili non toccano mai i nostri server.

Controlli degli accessi

I commercianti gestiscono l'accesso del personale tramite l'Hub di Oliver con autorizzazioni basate sui ruoli (cassiere, manager, proprietario). L'autenticazione a più fattori è obbligatoria per i ruoli di proprietario e amministratore. Ogni azione privilegiata viene registrata con il membro dello staff, il timestamp e l'IP.

Gestione delle vulnerabilità

Eseguiamo scansioni automatizzate delle dipendenze a ogni build, scansioni mensili dell'infrastruttura e test di penetrazione annuali da parte di terzi. I risultati sulla sicurezza vengono tracciati nel nostro sistema di ticketing interno con SLA in base alla gravità.

Risposta agli incidenti

Disponiamo di una procedura documentata di risposta agli incidenti con ingegneri reperibili 24/7. In caso di incidente relativo ai dati che coinvolga commercianti o acquirenti, notifichiamo le parti interessate entro i termini previsti dalla legge applicabile (72 ore per il GDPR).

Divulgazione responsabile

Hai trovato un problema di sicurezza? Invia un'e-mail a security@oliverpos.com prima della divulgazione pubblica. Rispondiamo entro 2 giorni lavorativi, collaboriamo in buona fede con i ricercatori e attribuiamo il merito delle scoperte (con autorizzazione) nei nostri ringraziamenti per la sicurezza.

Sicurezza lato commerciante

Parte della sicurezza è nelle mani del commerciante: mantenere aggiornati WordPress e WooCommerce, scegliere password robuste per il personale, abilitare l'MFA, limitare l'accesso al registratore di cassa a dispositivi dedicati e rivedere periodicamente il registro di controllo. L'Hub di Oliver fornisce indicazioni su ciascuno di questi aspetti.