Polityka bezpieczeństwa

Infrastruktura

Oliver działa w oparciu o infrastrukturę chmurową (AWS i Vercel) z wieloma strefami dostępności w celu zapewnienia odporności. Używamy zarządzanych baz danych z odzyskiwaniem do określonego punktu w czasie i ciągłymi kopiami zapasowymi. Dostęp do środowiska produkcyjnego jest ograniczony do niewielkiej grupy starszych inżynierów i podlega audytowi.

Szyfrowanie

Wszystkie dane są szyfrowane podczas przesyłania przy użyciu protokołu TLS 1.2+ oraz w spoczynku przy użyciu AES-256. Dane kart nigdy nie są przechowywane na serwerach Oliver — są one tokenizowane przez procesora płatności w momencie przechwycenia.

Bezpieczeństwo płatności

Oliver POS nie przechowuje numerów kart. Dane kart są obsługiwane przez naszych zintegrowanych procesorów (Stripe, Moneris, Vendara, Sensi Pay itp.), z których każdy posiada certyfikat PCI-DSS Level 1. Oliver POS ogranicza zakres PCI-DSS — narażenie sprzedawcy jest ograniczone, ponieważ wrażliwe dane nigdy nie trafiają na nasze serwery.

Kontrola dostępu

Sprzedawcy zarządzają dostępem personelu za pośrednictwem Oliver Hub za pomocą uprawnień opartych na rolach (kasjer, menedżer, właściciel). Uwierzytelnianie wieloskładnikowe jest egzekwowane dla ról właściciela i administratora. Każda uprzywilejowana akcja jest rejestrowana z informacją o pracowniku, sygnaturą czasową i adresem IP.

Zarządzanie podatnościami

Przeprowadzamy automatyczne skanowanie zależności przy każdej kompilacji, comiesięczne skany infrastruktury oraz coroczne testy penetracyjne przeprowadzane przez strony trzecie. Wyniki dotyczące bezpieczeństwa są śledzone w naszym wewnętrznym systemie zgłoszeń z umowami SLA w zależności od wagi.

Reagowanie na incydenty

Posiadamy udokumentowaną procedurę reagowania na incydenty z dyżurującymi inżynierami 24/7. W przypadku incydentu danych dotyczącego sprzedawców lub klientów, powiadamiamy poszkodowane strony w terminach wymaganych przez obowiązujące prawo (72 godziny w przypadku RODO).

Odpowiedzialne ujawnianie informacji

Znalazłeś problem z bezpieczeństwem? Prosimy o kontakt mailowy pod adresem security@oliverpos.com przed publicznym ujawnieniem. Odpowiadamy w ciągu 2 dni roboczych, współpracujemy z badaczami w dobrej wierze i (za zgodą) umieszczamy podziękowania za znaleziska w naszych informacjach o bezpieczeństwie.

Bezpieczeństwo po stronie sprzedawcy

Część zabezpieczeń leży w rękach sprzedawcy: aktualizowanie WordPress i WooCommerce, wybieranie silnych haseł dla personelu, włączanie uwierzytelniania wieloskładnikowego (MFA), ograniczanie dostępu do kasy do dedykowanych urządzeń oraz okresowe przeglądanie dziennika audytu. Oliver Hub zawiera wskazówki dotyczące każdego z tych aspektów.