Política de Segurança

Infraestrutura

O Oliver é executado em infraestrutura de nuvem (AWS e Vercel) com várias zonas de disponibilidade para resiliência. Usamos bancos de dados gerenciados com recuperação em um ponto no tempo e backups contínuos. O acesso à produção é restrito a um pequeno grupo de engenheiros sênior e é auditado.

Criptografia

Todos os dados são criptografados em trânsito usando TLS 1.2+ e em repouso usando AES-256. Os dados do cartão nunca são armazenados nos servidores do Oliver — eles são tokenizados pelo processador de pagamento no momento da captura.

Segurança de pagamentos

O Oliver POS não armazena números de cartão. Os dados do cartão são processados por nossos processadores integrados (Stripe, Moneris, Vendara, Sensi Pay, etc.), cada um dos quais é certificado com PCI-DSS Nível 1. O Oliver POS reduz o escopo do PCI-DSS — a exposição do comerciante é limitada porque os dados confidenciais nunca tocam nossos servidores.

Controles de acesso

Os comerciantes gerenciam o acesso da equipe através do Oliver Hub com permissões baseadas em funções (caixa, gerente, proprietário). A autenticação multifator é imposta para as funções de proprietário e administrador. Cada ação privilegiada é registrada com o membro da equipe, carimbo de data/hora e IP.

Gerenciamento de vulnerabilidades

Executamos varredura automatizada de dependências em cada compilação, varreduras mensais de infraestrutura e testes de penetração anuais de terceiros. As descobertas de segurança são rastreadas em nosso sistema de tickets interno com SLAs por gravidade.

Resposta a incidentes

Temos um procedimento documentado de resposta a incidentes com engenheiros de plantão 24 horas por dia, 7 dias por semana. No caso de um incidente de dados que afete comerciantes ou compradores, notificamos as partes afetadas dentro dos prazos exigidos pela lei aplicável (72 horas para o GDPR).

Divulgação responsável

Encontrou um problema de segurança? Envie um e-mail para security@oliverpos.com antes da divulgação pública. Respondemos em até 2 dias úteis, trabalhamos com pesquisadores de boa fé e damos crédito às descobertas (com permissão) em nossos agradecimentos de segurança.

Segurança do lado do comerciante

Parte da segurança está nas mãos do comerciante: manter o WordPress e o WooCommerce atualizados, escolher senhas fortes para a equipe, ativar a MFA, restringir o acesso ao caixa a dispositivos dedicados e revisar o registro de auditoria periodicamente. O Oliver Hub oferece orientação sobre cada um desses pontos.