セキュリティポリシー

インフラストラクチャ

Oliver POSは、耐障害性のために複数の アベイラビリティゾーンを持つクラウドインフラ（AWSおよびVercel）上で実行されます。当社は、ポイントインタイムリカバリと継続的なバックアップを備えたマネージドデータベースを使用しています。本番環境へのアクセスは、 少数のシニアエンジニアに制限され、監査されています。

暗号化

すべてのデータは、転送中はTLS 1.2以上を、保管中は AES-256を使用して暗号化されます。カードデータはOliver POSのサーバーには一切保存されません — 取得時に決済代行業者によって トークン化されます。

決済セキュリティ

Oliver POSはカード番号を保存しません。カードデータは、当社の 統合プロセッサ（Stripe、Moneris、Vendara、Sensi Payなど）によって処理され、 各社はPCI-DSSレベル1の認定を受けています。Oliver POSはPCI-DSSの 適用範囲を縮小します — 機密データが当社のサーバーに触れることがないため、加盟店のリスクは限定されます。

アクセス制御

加盟店は、Oliver Hubを介して、役割ベースの 権限（レジ担当者、マネージャー、オーナー）でスタッフのアクセスを管理します。オーナーおよび管理者ロールには多要素認証が 強制されます。すべての特権的な操作は、 スタッフメンバー、タイムスタンプ、IPアドレスと共に記録されます。

脆弱性管理

当社は、ビルドごとに自動依存関係スキャン、毎月の インフラストラクチャスキャン、および年次の第三者による侵入テストを実行します。 セキュリティ上の発見事項は、重大度別の SLAと共に社内のチケットシステムで追跡されます。

インシデント対応

当社には、24時間365日待機するオンコール エンジニアによる、文書化されたインシデント対応手順があります。加盟店 または購入者に影響を与えるデータインシデントが発生した場合、当社は適用法で要求される期間内 （GDPRの場合は72時間以内）に影響を受ける当事者に通知します。

責任ある情報開示

セキュリティ上の問題を発見されましたか？ 以下のメールアドレスにご連絡ください security@oliverpos.com 一般に公開する前に。当社は2営業日以内に返信し、誠意をもって 研究者と協力し、（許可を得て）当社のセキュリティ謝辞で 発見をクレジットします。

加盟店側のセキュリティ

一部のセキュリティは加盟店に委ねられています。例えば、WordPressと WooCommerceを最新の状態に保つこと、強力なスタッフパスワードを選択すること、 MFAを有効にすること、レジへのアクセスを専用デバイスに制限すること、監査ログを定期的に確認することなどです。Oliver Hubでは、 これらのそれぞれに関するガイダンスを提供しています。