Drošība
Drošība vienkāršā valodā.
Ko mēs darām šodien, uz ko tiecamies un ko mēs nedarīsim. Mēs cenšamies būt godīgi abos aspektos — restorāni un partneri to ir pelnījuši, un drošība caur neskaidrību nav drošība.
Pašreizējais stāvoklis
ES mitinātā infrastruktūra
Visa ražošanas infrastruktūra tiek mitināta Eiropas Ekonomikas zonā. Rezerves kopijas tiek glabātas EEZ. Personas dati netiek nodoti trešajām valstīm, izņemot gadījumus, kad ir parakstītas standarta līguma klauzulas šauriem piegādātāju mērķiem (piemēram, Anthropic AI Ask logrīkam).
Šifrēšana pārsūtīšanas laikā un miera stāvoklī
TLS 1.2+ katrā publiskajā galapunktā ar HSTS. Datu bāzes krātuve un rezerves kopijas ir šifrētas miera stāvoklī. Pakalpojumu savstarpējie izsaukumi notiek pa autentificētiem kanāliem.
Karšu datu izolācija
Fooodo nekad neredz neapstrādātus karšu datus. Maksājumus apstrādā Mollie saskaņā ar viņu pašu PCI darbības jomu. Izvēlnes lietotne saņem norēķinu URL un atzvanīšanu — karte nekad nesasniedz mūsu infrastruktūru.
Autentifikācija un piekļuve
Operatoru un administratoru piekļuve ir aizsargāta ar individuāliem kontiem un auditējamiem lomu piešķīrumiem. Sesijas marķieri, IP adrese, ierīces pirkstu nospiedums un pieteikšanās laika zīmogi tiek reģistrēti drošības pārskatīšanai.
Nomnieku izolācija
Katrs ieraksts ir piesaistīts uzņēmuma nomniekam. Lomu politikas nodrošina nomnieku robežas datu piekļuves slānī; restorāna administratori var pārvaldīt tikai savu restorānu.
GDPR atbilstība
Datu minimizācija pēc noklusējuma. Katram Fooodo Insights ieteikumam, kas ietekmē darbiniekus, nepieciešams cilvēka apstiprinājums (GDPR Article 22). Datu subjekti var izmantot savas tiesības, rakstot uz dpo@fooodo.com.
Apakšapstrādātāji
Mēs izmantojam nelielu skaitu pārbaudītu apakšapstrādātāju. Pašreizējais saraksts:
| Vendor | Role | Region |
|---|---|---|
| Mollie | Maksājumu apstrāde | EU |
| Vercel | Mārketinga vietnes hostings | EU reģioni šai vietnei |
| Anthropic | Modeļi, kas nodrošina Ask logrīku | Starptautisks (SCC noslēgti) |
Pilns apakšapstrādātāju saraksts, tostarp Fooodo platformas infrastruktūras nodrošinātāji, ir pieejams pēc pieprasījuma operatoriem saskaņā ar Datu apstrādes līgumu.
Drošības attīstības plāns
Formālā SOC 2 Type II
PlānotsPašlaik mums nav SOC 2 sertifikāta. Audita darbi ir iekļauti attīstības plānā; termiņš ir atkarīgs no klientu pieprasījuma. Pēc pieprasījuma varam iepazīstināt ar mūsu iekšējo kontroles sistēmu.
ISO/IEC 27001
Tiek izskatītsIekšēji sekojam standarta prasībām; sertifikācija ir 12+ mēnešu process, un lēmums tiek pieņemts, pamatojoties uz klientu pieprasījumu.
Iespiešanās testēšana
IkgadējsMēs piesaistām ārējos iespiešanās testētājus reizi gadā un pēc būtiskām arhitektoniskām izmaiņām. Pēc pieprasījuma klientu drošības komandām tiek sniegti kopsavilkuma ziņojumi.
Ievainojamību atklāšana
LiveZiņojumi tiek sūtīti uz security@fooodo.com (PGP pieejams pēc pieprasījuma). Mēs apstiprinām saņemšanu divu darba dienu laikā. Pašlaik mēs neīstenojam apmaksātu kļūdu atlīdzību programmu.
Incidentu reaģēšana
Ja mums ir drošības incidents, kas skar klientu, mēs paziņojam klienta norādītajai kontaktpersonai 72 stundu laikā pēc uzzināšanas (GDPR pārkāpuma paziņošanas termiņš) un iesniedz rakstisku ziņojumu 30 dienu laikā. Jebkura ar maksājumiem saistīta notikuma gadījumā mēs koordinējam ar maksājumu pakalpojumu sniedzēju incidentu kanāliem.
Ko mēs nedarīsim
- Mēs nepārdosim jūsu datus, jūsu viešņu datus vai jūsu darbinieku datus — nevienam, nekad.
- Mēs neizmantosim jūsu darbības datus AI modeļu apmācībai bez jūsu skaidras, brīvprātīgas piekrišanas.
- Mēs neturēsim jūsu datus par ķīlniekiem — eksports ir pieejams standarta formātos gan laikā, kad esat klients, gan līguma beigās.
- Mēs neieviesīsim AI ieteikumus, kas ietekmē darbiniekus, automātiski. Article 22 ir stingra robeža.
Sazinieties ar drošības komandu
Ievainojamību ziņojumi, piegādātāju pienācīga pārbaude, klientu drošības aptaujas — rakstiet uz security@fooodo.com. Datu subjektu pieprasījumi tiek nosūtīti uz dpo@fooodo.com. Mēs atbildam uz abiem divu darba dienu laikā.
Saistītās lapas: Privātuma paziņojums · Pakalpojumu sniegšanas noteikumi · Datu apstrādes līgums · Kontakti