Политика безопасности

Инфраструктура

Oliver работает на облачной инфраструктуре (AWS и Vercel) с несколькими зонами доступности для обеспечения отказоустойчивости. Мы используем управляемые базы данных с возможностью восстановления на определенный момент времени и непрерывным резервным копированием. Доступ к производственной среде ограничен небольшим кругом старших инженеров и подлежит аудиту.

Шифрование

Все данные шифруются при передаче с использованием TLS 1.2+ и в состоянии покоя с использованием AES-256. Данные карт никогда не хранятся на серверах Oliver — они токенизируются платежной системой в момент сбора.

Безопасность платежей

Oliver POS не хранит номера карт. Данные карт обрабатываются нашими интегрированными процессорами (Stripe, Moneris, Vendara, Sensi Pay и т. д.), каждый из которых сертифицирован по стандарту PCI-DSS Level 1. Oliver POS сокращает область действия PCI-DSS — риски для продавца ограничены, поскольку конфиденциальные данные никогда не попадают на наши серверы.

Контроль доступа

Продавцы управляют доступом сотрудников через Oliver Hub с помощью ролевых разрешений (кассир, менеджер, владелец). Многофакторная аутентификация обязательна для ролей владельца и администратора. Каждое привилегированное действие регистрируется с указанием сотрудника, временной метки и IP-адреса.

Управление уязвимостями

Мы проводим автоматическое сканирование зависимостей при каждой сборке, ежемесячные сканирования инфраструктуры и ежегодные тесты на проникновение, выполняемые третьими сторонами. Обнаруженные уязвимости отслеживаются в нашей внутренней системе тикетов с соглашениями об уровне обслуживания (SLA) в зависимости от серьезности.

Реагирование на инциденты

У нас есть документированная процедура реагирования на инциденты с дежурными инженерами 24/7. В случае инцидента с данными, затрагивающего продавцов или покупателей, мы уведомляем затронутые стороны в сроки, установленные применимым законодательством (72 часа для GDPR).

Ответственное раскрытие информации

Нашли проблему с безопасностью? Пожалуйста, напишите на security@oliverpos.com до публичного раскрытия. Мы отвечаем в течение 2 рабочих дней, добросовестно сотрудничаем с исследователями и указываем их авторство (с их разрешения) в наших благодарностях по вопросам безопасности.

Безопасность на стороне продавца

Часть вопросов безопасности находится в руках продавца: своевременное обновление WordPress и WooCommerce, выбор надежных паролей для сотрудников, включение многофакторной аутентификации, ограничение доступа к кассе только с выделенных устройств и периодический просмотр журнала аудита. Oliver Hub предоставляет рекомендации по каждому из этих пунктов.