Säkerhetspolicy

Infrastruktur

Oliver körs på molninfrastruktur (AWS och Vercel) med flera tillgänglighetszoner för motståndskraft. Vi använder hanterade databaser med återställning till specifik tidpunkt och kontinuerliga säkerhetskopior. Produktionsåtkomst är begränsad till en liten grupp seniora ingenjörer och granskas.

Kryptering

All data krypteras under överföring med TLS 1.2+ och i vila med AES-256. Kortdata lagras aldrig på Olivers servrar – de tokeniseras av betalningsbehandlaren vid insamlingstillfället.

Betalningssäkerhet

Oliver POS lagrar inte kortnummer. Kortdata hanteras av våra integrerade behandlare (Stripe, Moneris, Vendara, Sensi Pay, etc.), som alla är PCI-DSS Level 1-certifierade. Oliver POS är omfattningsreducerande enligt PCI-DSS – handlarens exponering är begränsad eftersom känsliga data aldrig når våra servrar.

Åtkomstkontroller

Handlare hanterar personalens åtkomst via Oliver Hub med rollbaserade behörigheter (kassör, chef, ägare). Flerfaktorsautentisering krävs för ägar- och administratörsroller. Varje privilegierad åtgärd loggas med anställd, tidsstämpel och IP-adress.

Sårbarhetshantering

Vi kör automatiserad beroendeskanning vid varje bygge, månatliga infrastrukturskanningar och årliga penetrationstester från tredje part. Säkerhetsfynd spåras i vårt interna ärendesystem med SLA:er baserat på allvarlighetsgrad.

Incidenthantering

Vi har en dokumenterad procedur för incidenthantering med jourhavande ingenjörer dygnet runt. I händelse av en dataincident som påverkar handlare eller kunder, meddelar vi berörda parter inom de tidsramar som krävs enligt tillämplig lag (72 timmar för GDPR).

Ansvarsfullt avslöjande

Hittat ett säkerhetsproblem? Vänligen mejla security@oliverpos.com före offentligt avslöjande. Vi svarar inom 2 arbetsdagar, samarbetar med forskare i god tro och krediterar fynd (med tillstånd) i våra säkerhetsbekräftelser.

Säkerhet på handlarsidan

En del av säkerheten ligger i handlarens händer: att hålla WordPress och WooCommerce uppdaterade, välja starka lösenord för personalen, aktivera MFA, begränsa kassaregisteråtkomst till dedikerade enheter och att granska revisionsloggen regelbundet. Oliver Hub visar vägledning för var och en av dessa punkter.