Politică de securitate

Infrastructură

Oliver rulează pe o infrastructură cloud (AWS și Vercel) cu mai multe zone de disponibilitate pentru reziliență. Folosim baze de date gestionate cu recuperare la un moment dat și backupuri continue. Accesul la producție este restricționat la un grup mic de ingineri seniori și este auditat.

Criptare

Toate datele sunt criptate în tranzit folosind TLS 1.2+ și în repaus folosind AES-256. Datele cardului nu sunt niciodată stocate pe serverele Oliver — acestea sunt tokenizate de procesatorul de plăți în momentul capturării.

Securitatea plăților

Oliver POS nu stochează numerele de card. Datele cardului sunt gestionate de procesatorii noștri integrați (Stripe, Moneris, Vendara, Sensi Pay etc.), fiecare dintre aceștia fiind certificat PCI-DSS Nivel 1. Oliver POS reduce aria de aplicare a PCI-DSS — expunerea comerciantului este limitată deoarece datele sensibile nu ajung niciodată pe serverele noastre.

Controale de acces

Comercianții gestionează accesul personalului prin Oliver Hub cu permisiuni bazate pe roluri (casier, manager, proprietar). Autentificarea multi-factor este obligatorie pentru rolurile de proprietar și administrator. Fiecare acțiune privilegiată este înregistrată cu membrul personalului, marcajul temporal și adresa IP.

Gestionarea vulnerabilităților

Executăm scanări automate ale dependențelor la fiecare build, scanări lunare ale infrastructurii și teste anuale de penetrare de la terți. Descoperirile de securitate sunt urmărite în sistemul nostru intern de tichete cu SLA-uri în funcție de severitate.

Răspuns la incidente

Avem o procedură documentată de răspuns la incidente cu ingineri de gardă 24/7. În cazul unui incident de date care afectează comercianții sau cumpărătorii, notificăm părțile afectate în termenele prevăzute de legislația aplicabilă (72 de ore pentru GDPR).

Dezvăluire responsabilă

Ați găsit o problemă de securitate? Vă rugăm să trimiteți un e-mail la security@oliverpos.com înainte de dezvăluirea publică. Răspundem în termen de 2 zile lucrătoare, colaborăm cu cercetătorii cu bună-credință și credităm descoperirile (cu permisiune) în mulțumirile noastre de securitate.

Securitate din partea comerciantului

O parte din securitate este în mâinile comerciantului: menținerea la zi a WordPress și WooCommerce, alegerea unor parole puternice pentru personal, activarea MFA, restricționarea accesului la casă la dispozitive dedicate și revizuirea periodică a jurnalului de audit. Oliver Hub oferă îndrumări pentru fiecare dintre acestea.