Saugumas
Saugumas paprastai ir aiškiai.
Ką darome šiandien, ko siekiame ir ko nedarysime. Stengiamės būti sąžiningi abiem atžvilgiais — restoranai ir partneriai to nusipelno, o saugumas per nežinojimą nėra tikras saugumas.
Dabartinė būklė
EU infrastruktūra
Visa gamybinė infrastruktūra yra talpinama Europos ekonominėje erdvėje. Atsarginės kopijos saugomos EEE. Asmeninių duomenų į trečiąsias šalis neperduodame, išskyrus atvejus, kai pasirašytos Standartinės sutarčių sąlygos siauriems tiekėjų tikslams (pvz., Anthropic – AI Ask valdikliui).
Duomenų šifravimas perduodant ir saugant
TLS 1.2+ kiekviename viešame galutiniame taške su HSTS. Duomenų bazės saugykla ir atsarginės kopijos šifruojamos ramybės būsenoje. Tarpusavio paslaugų skambučiai vyksta per autentifikuotus kanalus.
Kortelių duomenų izoliavimas
Fooodo niekada nemato neapdorotų kortelių duomenų. Mokėjimus tvarko Mollie pagal savo PCI apimtį. Meniu programa gauna atsiskaitymo URL ir grįžtamąjį iškvietimą – kortelė niekada nepasiekia mūsų infrastruktūros.
Autentifikavimas ir prieiga
Operatoriaus ir administratoriaus prieiga apsaugota individualių paskyrų su audituojamais vaidmenų priskyrimais. Sesijų žetonai, IP, įrenginio atspaudas ir prisijungimo laiko žymos registruojamos saugumo peržiūrai.
Nuomininkų izoliavimas
Kiekvienas įrašas susietas su įmonės nuomininku. Vaidmenų politikos užtikrina nuomininkų ribas duomenų prieigos lygmeniu; restoranų administratoriai gali valdyti tik savo restoraną.
GDPR atitiktis
Duomenų minimizavimas pagal nutylėjimą. Kiekviena Fooodo Insights rekomendacija, daranti įtaką darbuotojams, reikalauja žmogaus patvirtinimo (GDPR Article 22). Duomenų subjektai gali pasinaudoti savo teisėmis rašydami adresu dpo@fooodo.com.
Duomenų tvarkytojai
Naudojame nedidelį skaičių patikrintų duomenų tvarkytojų. Dabartinis sąrašas:
| Vendor | Role | Region |
|---|---|---|
| Mollie | Mokėjimų apdorojimas | EU |
| Vercel | Rinkodaros svetainės talpinimas | EU regionai šiai svetainei |
| Anthropic | Modeliai, palaikantys klausimų valdiklį | Tarptautinis (SCC sudarytos) |
Visas duomenų tvarkytojų sąrašas, įskaitant Fooodo platformos infrastruktūros tiekėjus, teikiamas operatoriams pagal Duomenų tvarkymo sutartį.
Saugumo plėtros kryptys
Formalus SOC 2 Type II
PlanuojamaŠiuo metu SOC 2 sertifikato neturime. Audito darbai įtraukti į veiksmų planą; terminai priklauso nuo klientų poreikio. Vidinę kontrolės sistemą galime pateikti pagal užklausą.
ISO/IEC 27001
SvarstomaViduje sekame atitiktį standartui; sertifikavimo procesas trunka 12 ir daugiau mėnesių ir sprendžiamas atsižvelgiant į klientų poreikį.
Įsiskverbimo testavimas
KasmetIšorinius įsiskverbimo testus atliekame kasmet ir po reikšmingų architektūrinių pakeitimų. Ataskaitų santraukos teikiamos klientų saugumo komandoms pagal užklausą.
Pažeidžiamumų atskleidimas
LivePranešimai siunčiami adresu security@fooodo.com (PGP raktas teikiamas pagal užklausą). Patvirtinimą siunčiame per dvi darbo dienas. Šiuo metu mokamos atlygio programos nevykdome.
Reagavimas į incidentus
Jei įvyksta saugumo incidentas, paveikiantis klientą, per 72 valandas nuo jo nustatymo momento informuojame kliento paskirtą kontaktinį asmenį (GDPR pažeidimų pranešimo terminas) ir per 30 dienų pateikiame rašytinę ataskaitą. Su bet kokiu su mokėjimais susijusiu įvykiu koordinuojamės per mokėjimų teikėjų incidentų kanalus.
Ko nedarysime
- Mes neparduosime jūsų duomenų, jūsų svečių duomenų ar jūsų darbuotojų duomenų — niekam, niekada.
- Mes nenaudosime jūsų veiklos duomenų AI modeliams mokyti be jūsų aiškaus, savanoriško sutikimo.
- Mes nelaikysime jūsų duomenų įkaitais — eksportas standartiniais formatais prieinamas tiek sutarties galiojimo metu, tiek jai pasibaigus.
- Mes automatiškai nediegsime AI rekomendacijų, darančių įtaką darbuotojams. Article 22 — tai griežta riba.
Susisiekite su saugumo komanda
Pranešimai apie pažeidžiamumus, tiekėjų patikrinimas, klientų saugumo klausimynai — rašykite adresu security@fooodo.com. Duomenų subjektų prašymai siunčiami adresu dpo@fooodo.com. Atsakome per dvi darbo dienas.
Susijusios puslapiai: Privatumo pranešimas · Paslaugų teikimo sąlygos · Duomenų tvarkymo sutartis · Kontaktai