Saugumas

Saugumas be biurokratinio žargono.

Ką darome šiandien, ko siekiame ir ko nedarysime. Stengiamės būti sąžiningi abiem atžvilgiais — restoranai ir partneriai to nusipelno, o saugumas per nežinojimą nėra saugumas.

Dabartinė būklė

Infrastruktūra, talpinama ES

Visa gamybinė infrastruktūra talpinama Europos ekonominėje erdvėje. Atsarginės kopijos saugomos EEE. Asmeninių duomenų į trečiąsias šalis neperduodame, išskyrus atvejus, kai pasirašytos Standartinės sutarčių sąlygos siauriems tiekėjų tikslams (pvz., Anthropic – AI klausimų valdikliui).

Šifravimas perduodant ir saugant duomenis

TLS 1.2+ kiekviename viešame galutiniame taške su HSTS. Duomenų bazės saugykla ir atsarginės kopijos šifruojamos ramybės būsenoje. Tarpusavio paslaugų skambučiai vyksta per autentifikuotus kanalus.

Kortelių duomenų izoliacija

Fooodo niekada nemato neapdorotų kortelių duomenų. Mokėjimus tvarko Mollie pagal savo PCI apimtį. Meniu programa gauna atsiskaitymo URL ir atgalinį iškvietimą – kortelė niekada nepasiekia mūsų infrastruktūros.

Autentifikavimas ir prieiga

Operatoriaus ir administratoriaus prieiga apsaugota individualiais paskyromis su audituojamais vaidmenų priskyrimais. Seanso žetonai, IP, įrenginio pirštų atspaudai ir prisijungimo laiko žymos registruojamos saugumo peržiūrai.

Nuomininkų izoliacija

Kiekvienas įrašas susietas su įmonės nuomininku. Vaidmenų politikos užtikrina nuomininkų ribas duomenų prieigos lygmeniu; restoranų administratoriai gali valdyti tik savo restoraną.

GDPR atitiktis

Duomenų minimizavimas pagal nutylėjimą. Kiekviena Fooodo Insights rekomendacija, daranti įtaką darbuotojams, reikalauja žmogaus patvirtinimo (GDPR Article 22). Duomenų subjektai gali pasinaudoti savo teisėmis rašydami adresu dpo@fooodo.com.

Duomenų tvarkytojai

Naudojame nedidelį skaičių patikrintų duomenų tvarkytojų. Dabartinis sąrašas:

VendorRoleRegion
MollieMokėjimų apdorojimasEU
VercelRinkodaros svetainės prieglaudaEU regionai šiai svetainei
AnthropicModeliai, palaikantys klausimų valdiklįTarptautinis (SCC sudarytos)

Visas duomenų tvarkytojų sąrašas, įskaitant Fooodo platformos infrastruktūros tiekėjus, teikiamas operatoriams pagal Duomenų tvarkymo sutartį — pateikus užklausą.

Saugumo plėtros kryptys

Formalus SOC 2 Type II

Planuojama

Šiuo metu neturime SOC 2 sertifikato. Audito darbai įtraukti į veiksmų planą; terminai priklauso nuo klientų poreikio. Vidinę kontrolės sistemą galime pateikti pagal užklausą.

ISO/IEC 27001

Svarstoma

Viduje stebime atitiktį standartui; sertifikavimas yra 12+ mėnesių procesas ir sprendžiamas atsižvelgiant į klientų poreikį.

Įsiskverbimo testavimas

Annual

Išorinius įsiskverbimo testus atliekame kasmet ir po reikšmingų architektūrinių pakeitimų. Ataskaitos apibendrinamos klientų saugumo komandoms pagal užklausą.

Pažeidžiamumų atskleidimas

Live

Pranešimai siunčiami adresu security@fooodo.com (PGP galimas pagal užklausą). Patvirtinimą pateikiame per dvi darbo dienas. Šiuo metu nemokamos atlygio programos nevykdome.

Reagavimas į incidentus

Įvykus saugumo incidentui, turinčiam įtakos klientui, per 72 valandas nuo sužinojimo momento informuojame kliento paskirtą kontaktinį asmenį (GDPR pažeidimo pranešimo terminas) ir per 30 dienų pateikiame rašytinę ataskaitą. Su mokėjimų teikėjų incidentų kanalais bendradarbiaujame visais su mokėjimais susijusiais atvejais.

Ko nedarysime

  • Mes neparduosime jūsų duomenų, jūsų svečių duomenų ar jūsų darbuotojų duomenų — niekam, niekada.
  • Mes nenaudosime jūsų veiklos duomenų AI modeliams apmokyti be jūsų aiškaus, savanoriško sutikimo.
  • Mes nelaikysime jūsų duomenų įkaitais — eksportas standartiniais formatais prieinamas tiek sutarties galiojimo metu, tiek jai pasibaigus.
  • Mes automatiškai nediegsime AI rekomendacijų, darančių įtaką darbuotojams. Article 22 — tai griežta riba.

Susisiekite su saugumo komanda

Pranešimai apie pažeidžiamumus, tiekėjų patikrinimas, klientų saugumo klausimynai — rašykite adresu security@fooodo.com. Duomenų subjektų prašymai siunčiami adresu dpo@fooodo.com. Atsakome per dvi darbo dienas.

security@fooodo.com · dpo@fooodo.com

Susijusios puslapiai: Privatumo pranešimas · Paslaugų teikimo sąlygos · Duomenų tvarkymo sutartis · Kontaktai