Sikkerhetspolicy

Infrastruktur

Oliver kjører på skyinfrastruktur (AWS og Vercel) med flere tilgjengelighetssoner for robusthet. Vi bruker administrerte databaser med punkt-i-tid-gjenoppretting og kontinuerlige sikkerhetskopier. Produksjonstilgang er begrenset til et lite antall senioringeniører og blir revidert.

Kryptering

Alle data krypteres under overføring med TLS 1.2+ og i hvile med AES-256. Kortdata lagres aldri på Olivers servere — de blir tokenisert av betalingsbehandleren i det øyeblikket de fanges opp.

Betalingssikkerhet

Oliver POS lagrer ikke kortnumre. Kortdata håndteres av våre integrerte behandlere (Stripe, Moneris, Vendara, Sensi Pay, osv.), som alle er PCI-DSS Level 1-sertifiserte. Oliver POS er omfangsreduserende for PCI-DSS — forhandlerens eksponering er begrenset fordi de sensitive dataene aldri berører serverne våre.

Tilgangskontroller

Forhandlere administrerer ansattes tilgang via Oliver Hub med rollebaserte tillatelser (kasserer, leder, eier). Flerfaktorautentisering håndheves for eier- og administratorroller. Hver privilegerte handling logges med den ansatte, tidsstempel og IP-adresse.

Sårbarhetshåndtering

Vi kjører automatiserte avhengighetsskanninger på hver build, månedlige infrastrukturskanninger og årlige tredjeparts penetrasjonstester. Sikkerhetsfunn spores i vårt interne billettsystem med SLA-er etter alvorlighetsgrad.

Hendelsesrespons

Vi har en dokumentert prosedyre for hendelsesrespons med ingeniører på vakt 24/7. I tilfelle en datainnsident som påvirker forhandlere eller kunder, varsler vi berørte parter innen tidsrammene fastsatt i gjeldende lov (72 timer for GDPR).

Ansvarlig offentliggjøring

Har du funnet et sikkerhetsproblem? Vennligst send e-post til security@oliverpos.com før offentliggjøring. Vi svarer innen 2 virkedager, samarbeider med forskere i god tro, og krediterer funn (med tillatelse) i våre sikkerhetsanerkjennelser.

Sikkerhet på forhandlersiden

Noe av sikkerheten er i forhandlerens hender: å holde WordPress og WooCommerce oppdatert, velge sterke passord for ansatte, aktivere MFA, begrense tilgang til kassen til dedikerte enheter, og gjennomgå revisjonsloggen med jevne mellomrom. Oliver Hub gir veiledning om hver av disse.