นโยบายความปลอดภัย

โครงสร้างพื้นฐาน

Oliver ทำงานบนโครงสร้างพื้นฐานคลาวด์ (AWS และ Vercel) ที่มี โซนความพร้อมใช้งานหลายแห่งเพื่อความยืดหยุ่น เราใช้ฐานข้อมูลที่มีการจัดการพร้อม การกู้คืน ณ จุดใดจุดหนึ่งของเวลาและการสำรองข้อมูลอย่างต่อเนื่อง การเข้าถึงระบบที่ใช้งานจริง ถูกจำกัดไว้เฉพาะกลุ่มวิศวกรอาวุโสจำนวนน้อยและมีการตรวจสอบ

การเข้ารหัส

ข้อมูลทั้งหมดจะถูกเข้ารหัสระหว่างการส่งโดยใช้ TLS 1.2+ และขณะจัดเก็บโดยใช้ AES-256 ข้อมูลบัตรจะไม่ถูกเก็บไว้ในเซิร์ฟเวอร์ของ Oliver — ข้อมูลจะถูก แปลงเป็นโทเค็นโดยผู้ประมวลผลการชำระเงิน ณ ขณะที่บันทึกข้อมูล

ความปลอดภัยในการชำระเงิน

Oliver POS ไม่เก็บหมายเลขบัตร ข้อมูลบัตรจะถูกจัดการโดย ผู้ประมวลผลแบบบูรณาการของเรา (Stripe, Moneris, Vendara, Sensi Pay, ฯลฯ) ซึ่งแต่ละรายได้รับการรับรอง PCI-DSS ระดับ 1 Oliver POS ช่วยลดขอบเขต ของ PCI-DSS — ความเสี่ยงของผู้ค้าจะถูกจำกัดเนื่องจาก ข้อมูลที่ละเอียดอ่อนจะไม่ถูกส่งมายังเซิร์ฟเวอร์ของเรา

การควบคุมการเข้าถึง

ผู้ค้าจัดการการเข้าถึงของพนักงานผ่าน Oliver Hub ด้วยสิทธิ์ ตามบทบาท (แคชเชียร์, ผู้จัดการ, เจ้าของ) การยืนยันตัวตนแบบหลายปัจจัย ถูกบังคับใช้สำหรับบทบาทเจ้าของและผู้ดูแลระบบ ทุกการกระทำที่ต้องใช้สิทธิ์พิเศษ จะถูกบันทึกพร้อมกับข้อมูลพนักงาน, การประทับเวลา และ IP

การจัดการช่องโหว่

เราทำการสแกนส่วนประกอบที่เกี่ยวข้องโดยอัตโนมัติในทุก ๆ บิลด์, สแกน โครงสร้างพื้นฐานรายเดือน และทำการทดสอบการเจาะระบบโดยบุคคลที่สามเป็นประจำทุกปี ข้อค้นพบด้านความปลอดภัยจะถูกติดตามในระบบตั๋วภายในของเราพร้อม SLA ตามระดับความรุนแรง

การตอบสนองต่อเหตุการณ์

เรามีขั้นตอนการตอบสนองต่อเหตุการณ์ที่เป็นลายลักษณ์อักษรพร้อมวิศวกร ที่เตรียมพร้อมตลอด 24 ชั่วโมงทุกวัน ในกรณีที่เกิดเหตุการณ์ข้อมูลรั่วไหลที่ส่งผลกระทบต่อผู้ค้า หรือผู้ซื้อ เราจะแจ้งให้ฝ่ายที่ได้รับผลกระทบทราบภายในกรอบเวลา ที่กฎหมายที่เกี่ยวข้องกำหนด (72 ชั่วโมงสำหรับ GDPR)

การเปิดเผยข้อมูลอย่างรับผิดชอบ

พบปัญหาด้านความปลอดภัยหรือไม่? โปรดส่งอีเมลมาที่ security@oliverpos.com ก่อนที่จะเปิดเผยต่อสาธารณะ เราจะตอบกลับภายใน 2 วันทำการ, ทำงานร่วม กับนักวิจัยด้วยความสุจริต และให้เครดิตสำหรับข้อค้นพบ (เมื่อได้รับ อนุญาต) ในเอกสารขอบคุณด้านความปลอดภัยของเรา

ความปลอดภัยฝั่งผู้ค้า

ความปลอดภัยบางส่วนอยู่ในมือของผู้ค้า: การอัปเดต WordPress และ WooCommerce ให้เป็นปัจจุบัน, การเลือกรหัสผ่านพนักงานที่คาดเดายาก, การเปิดใช้งาน MFA, การจำกัดการเข้าถึงเครื่องบันทึกเงินสดเฉพาะอุปกรณ์ที่กำหนด และการตรวจสอบ บันทึกการตรวจสอบเป็นระยะ Oliver Hub จะแสดงคำแนะนำในแต่ละ เรื่องเหล่านี้