Informativa sulla sicurezza

Infrastruttura

Oliver opera su un'infrastruttura cloud (AWS e Vercel) con più zone di disponibilità per la resilienza. Utilizziamo database gestiti con ripristino point-in-time e backup continui. L'accesso alla produzione è limitato a un piccolo gruppo di ingegneri senior e viene sottoposto a verifica.

Crittografia

Tutti i dati sono crittografati in transito utilizzando TLS 1.2+ e a riposo utilizzando AES-256. I dati delle carte non vengono mai memorizzati sui server di Oliver — vengono tokenizzati dal processore di pagamento al momento dell'acquisizione.

Sicurezza dei pagamenti

Oliver POS non memorizza i numeri delle carte. I dati delle carte sono gestiti dai nostri processori integrati (Stripe, Moneris, Vendara, Sensi Pay, ecc.), ciascuno dei quali è certificato PCI-DSS Livello 1. Oliver POS riduce l'ambito di applicazione PCI-DSS: l'esposizione dell'esercente è limitata perché i dati sensibili non transitano mai sui nostri server.

Controlli degli accessi

Gli esercenti gestiscono l'accesso del personale tramite l'Hub di Oliver con autorizzazioni basate sui ruoli (cassiere, manager, proprietario). L'autenticazione a più fattori è obbligatoria per i ruoli di proprietario e amministratore. Ogni azione privilegiata viene registrata con il membro dello staff, il timestamp e l'IP.

Gestione delle vulnerabilità

Eseguiamo scansioni automatizzate delle dipendenze su ogni build, scansioni mensili dell'infrastruttura e penetration test annuali di terze parti. I risultati sulla sicurezza vengono tracciati nel nostro sistema di ticketing interno con SLA in base alla gravità.

Risposta agli incidenti

Abbiamo una procedura documentata di risposta agli incidenti con ingegneri reperibili 24/7. In caso di incidente relativo ai dati che coinvolga esercenti o acquirenti, notifichiamo le parti interessate entro i termini previsti dalla legge applicabile (72 ore per il GDPR).

Divulgazione responsabile

Hai riscontrato un problema di sicurezza? Invia un'e-mail a security@oliverpos.com prima della divulgazione pubblica. Rispondiamo entro 2 giorni lavorativi, collaboriamo in buona fede con i ricercatori e attribuiamo il merito delle scoperte (previa autorizzazione) nei nostri ringraziamenti per la sicurezza.

Sicurezza lato esercente

Parte della sicurezza è nelle mani dell'esercente: mantenere aggiornati WordPress e WooCommerce, scegliere password complesse per il personale, abilitare l'MFA, limitare l'accesso al registratore di cassa a dispositivi dedicati e rivedere periodicamente il registro di controllo. L'Hub di Oliver fornisce indicazioni su ciascuno di questi aspetti.