Drošība
Drošība vienkāršā valodā.
Ko mēs darām šodien, pie kā strādājam un ko nedarīsim nekad. Mēs cenšamies būt godīgi abos virzienos — restorāni un partneri to ir pelnījuši, un drošība caur neskaidrību nav drošība.
Pašreizējais stāvoklis
EU infrastruktūra
Visa ražošanas infrastruktūra tiek mitināta Eiropas Ekonomikas zonā. Dublējumkopijas tiek glabātas EEZ. Personas dati netiek nodoti trešajām valstīm, izņemot gadījumus, kad ir parakstītas standarta līguma klauzulas šauriem piegādātāju mērķiem (piemēram, Anthropic AI Ask logrīkam).
Šifrēšana pārsūtīšanas laikā un miera stāvoklī
TLS 1.2+ visos publiskajos galapunktos ar HSTS. Datu bāzes krātuve un dublējumkopijas ir šifrētas miera stāvoklī. Pakalpojumu savstarpējie izsaukumi notiek caur autentificētiem kanāliem.
Karšu datu izolācija
Fooodo nekad neredz neapstrādātus karšu datus. Maksājumus apstrādā Mollie saskaņā ar to PCI darbības jomu. Izvēlnes lietotne saņem norēķinu URL un atsaukumu — karte nekad nesasniedz mūsu infrastruktūru.
Autentifikācija un piekļuve
Operatoru un administratoru piekļuve ir aizsargāta ar individuāliem kontiem un auditējamiem lomu piešķīrumiem. Sesijas pilnvaras, IP adrese, ierīces pirkstu nospiedums un pieteikšanās laika zīmogi tiek reģistrēti drošības pārskatīšanai.
Nomnieku izolācija
Katrs ieraksts ir piesaistīts uzņēmuma nomniekam. Lomu politikas nodrošina nomnieku robežas datu piekļuves slānī; restorāna administratori var pārvaldīt tikai savu restorānu.
GDPR atbilstība
Datu minimizācija pēc noklusējuma. Katram darbiniekus ietekmējošam ieteikumam Fooodo Insights ir nepieciešams cilvēka apstiprinājums (GDPR Article 22). Datu subjekti var izmantot savas tiesības, sazinoties ar dpo@fooodo.com.
Apakšapstrādātāji
Mēs izmantojam nelielu skaitu pārbaudītu apakšapstrādātāju. Pašreizējais saraksts:
| Vendor | Role | Region |
|---|---|---|
| Mollie | Maksājumu apstrāde | EU |
| Vercel | Mārketinga vietnes hostings | EU reģioni šai vietnei |
| Anthropic | Modeļi, kas nodrošina Ask logrīku | Starptautisks (SCC noslēgti) |
Pilns apakšapstrādātāju saraksts, tostarp Fooodo platformas infrastruktūras nodrošinātāji, ir pieejams pēc pieprasījuma operatoriem saskaņā ar Datu apstrādes līgumu.
Drošības attīstības plāns
Formālā SOC 2 Type II
PlānotsPašlaik mums nav SOC 2 sertifikāta. Audita darbi ir iekļauti attīstības plānā; termiņš ir atkarīgs no klientu pieprasījuma. Pēc pieprasījuma varam iepazīstināt ar mūsu iekšējo kontroles sistēmu.
ISO/IEC 27001
Tiek izskatītsIekšēji sekojam standarta prasībām; sertifikācija ir 12+ mēnešu process, un lēmums tiek pieņemts, pamatojoties uz klientu pieprasījumu.
Iespiešanās testēšana
IkgadējsMēs piesaistām ārējos iespiešanās testētājus reizi gadā un pēc būtiskām arhitektoniskām izmaiņām. Pēc pieprasījuma klientu drošības komandām tiek sniegti kopsavilkuma pārskati.
Ievainojamību atklāšana
LiveZiņojumi tiek sūtīti uz security@fooodo.com (PGP pieejams pēc pieprasījuma). Mēs apstiprinām saņemšanu divu darba dienu laikā. Pašlaik neīstenojam apmaksātu kļūdu atlīdzību programmu.
Incidentu pārvaldība
Ja mums ir drošības incidents, kas skar kādu klientu, mēs paziņojam klienta norādītajai kontaktpersonai 72 stundu laikā no brīža, kad par to uzzinām (GDPR pārkāpumu paziņošanas termiņš), un 30 dienu laikā iesniedz rakstisku ziņojumu. Jebkura ar maksājumiem saistīta notikuma gadījumā mēs koordinējam darbību ar maksājumu pakalpojumu sniedzēju incidentu kanāliem.
Ko mēs nedarīsim
- Mēs nepārdosim jūsu datus, jūsu viešņu datus vai jūsu darbinieku datus — nevienam, nekad.
- Mēs neizmantosim jūsu operacionālos datus AI modeļu apmācībai bez jūsu skaidras, brīvprātīgas piekrišanas.
- Mēs neturēsim jūsu datus par ķīlniekiem — eksports ir pieejams standarta formātos gan laikā, kad esat klients, gan līguma beigās.
- Mēs automātiski neieviesīsim AI ieteikumus, kas ietekmē darbiniekus. Article 22 ir stingra robeža.
Sazināties ar drošības komandu
Ievainojamību ziņojumi, piegādātāju pienācīgas pārbaudes, klientu drošības anketas — rakstiet uz security@fooodo.com. Datu subjektu pieprasījumi — uz dpo@fooodo.com. Mēs atbildam uz abiem divu darba dienu laikā.
Saistītās lapas: Privātuma paziņojums · Pakalpojumu sniegšanas noteikumi · Datu apstrādes līgums · Kontakti