Política de Segurança

Infraestrutura

A Oliver funciona em infraestrutura de nuvem (AWS e Vercel) com múltiplas zonas de disponibilidade para resiliência. Usamos bases de dados geridas com recuperação pontual e cópias de segurança contínuas. O acesso à produção é restrito a um pequeno grupo de engenheiros seniores e é auditado.

Encriptação

Todos os dados são encriptados em trânsito usando TLS 1.2+ e em repouso usando AES-256. Os dados do cartão nunca são armazenados nos servidores da Oliver — são tokenizados pelo processador de pagamento no momento da captura.

Segurança de pagamentos

O Oliver POS não armazena números de cartão. Os dados do cartão são tratados pelos nossos processadores integrados (Stripe, Moneris, Vendara, Sensi Pay, etc.), cada um dos quais é certificado PCI-DSS Nível 1. O Oliver POS reduz o âmbito do PCI-DSS — a exposição do comerciante é limitada porque os dados sensíveis nunca tocam nos nossos servidores.

Controlos de acesso

Os comerciantes gerem o acesso do pessoal através do Oliver Hub com permissões baseadas em funções (caixa, gerente, proprietário). A autenticação multifator é imposta para as funções de proprietário e administrador. Cada ação privilegiada é registada com o membro do pessoal, carimbo de data/hora e IP.

Gestão de vulnerabilidades

Executamos análises automáticas de dependências em cada compilação, análises mensais de infraestrutura e testes de penetração anuais por terceiros. As descobertas de segurança são acompanhadas no nosso sistema interno de tickets com SLAs por gravidade.

Resposta a incidentes

Temos um procedimento documentado de resposta a incidentes com engenheiros de prevenção 24/7. No caso de um incidente de dados que afete comerciantes ou clientes, notificamos as partes afetadas dentro dos prazos exigidos pela lei aplicável (72 horas para o RGPD).

Divulgação responsável

Encontrou um problema de segurança? Por favor, envie um e-mail para security@oliverpos.com antes da divulgação pública. Respondemos em 2 dias úteis, trabalhamos com os investigadores de boa-fé e damos crédito às descobertas (com permissão) nos nossos agradecimentos de segurança.

Segurança do lado do comerciante

Parte da segurança está nas mãos do comerciante: manter o WordPress e o WooCommerce atualizados, escolher palavras-passe fortes para o pessoal, ativar a MFA, restringir o acesso ao registo a dispositivos dedicados e rever o registo de auditoria periodicamente. O Oliver Hub apresenta orientações sobre cada um destes pontos.