Tradus automat · în așteptarea revizuirii native Această pagină a fost tradusă automat din sursa în limba engleză. Un revizor nativ o va verifica înainte ca această localizare să fie considerată finală. Versiunea în engleză este cea canonică.

Securitate

Securitate pe înțelesul tuturor.

Ce facem astăzi, spre ce ne îndreptăm și ce nu vom face. Încercăm să fim sinceri în ambele privințe — restaurantele și partenerii merită asta, iar securitatea prin obscuritate nu este securitate.

Situația actuală

Infrastructură găzduită în EU

Toată infrastructura de producție este găzduită în Spațiul Economic European. Copiile de rezervă sunt stocate în SEE. Nu transferăm date cu caracter personal către țări terțe, cu excepția cazurilor în care sunt semnate Clauze Contractuale Standard pentru scopuri limitate ale furnizorilor (ex. Anthropic pentru widgetul AI Ask).

Criptare în tranzit și în repaus

TLS 1.2+ pe fiecare endpoint public cu HSTS. Stocarea în baze de date și copiile de rezervă sunt criptate în repaus. Apelurile între servicii se realizează prin canale autentificate.

Izolarea datelor de card

Fooodo nu accesează niciodată datele brute ale cardului. Plățile sunt procesate de Mollie în cadrul propriului lor domeniu PCI. Aplicația de meniu primește un URL de checkout și un callback — cardul nu ajunge niciodată la infrastructura noastră.

Autentificare și acces

Accesul operatorilor și al administratorilor este protejat prin conturi individuale cu atribuiri de roluri auditabile. Token-urile de sesiune, IP-ul, amprenta dispozitivului și marcajele de timp ale autentificărilor sunt înregistrate pentru revizuire de securitate.

Izolarea chiriașilor

Fiecare înregistrare este limitată la un tenant de tip Companie. Politicile de roluri impun granițele tenant-ului la nivelul accesului la date; administratorii de restaurant pot gestiona doar propriul restaurant.

Conformitate GDPR

Minimizarea datelor ca implicită. Fiecare recomandare din Fooodo Insights care afectează angajații necesită aprobare umană (GDPR Article 22). Persoanele vizate își pot exercita drepturile prin dpo@fooodo.com.

Sub-procesatori

Utilizăm un număr redus de sub-procesatori verificați. Lista actuală:

VendorRoleRegion
MollieProcesarea plățilorEU
VercelGăzduirea site-ului de marketingRegiuni EU pentru acest site
AnthropicModele care alimentează widgetul AskInternațional (SCC-uri în vigoare)

Lista completă a sub-procesatorilor, inclusiv furnizorii de infrastructură ai platformei Fooodo, este disponibilă la cerere pentru operatori în baza Acordului de Prelucrare a Datelor.

Ce se află pe foaia de parcurs a securității

SOC 2 Type II formal

Planificat

În prezent nu deținem certificarea SOC 2. Auditul este inclus în foaia de parcurs; calendarul depinde de cererea clienților. Putem furniza cadrul nostru intern de control la cerere.

ISO/IEC 27001

În analiză

Monitorizăm conformitatea cu standardul intern; certificarea este un proces de minimum 12 luni și se decide în funcție de cererea clienților.

Teste de penetrare

Anual

Angajăm testeri externi de penetrare anual și după modificări arhitecturale semnificative. Rapoartele sunt rezumate pentru echipele de securitate ale clienților la cerere.

Divulgarea vulnerabilităților

Live

Rapoartele se trimit la security@fooodo.com (PGP disponibil la cerere). Confirmăm primirea în termen de două zile lucrătoare. În prezent nu derulăm un program de recompense plătite.

Răspuns la incidente

În cazul unui incident de securitate care afectează un client, notificăm contactul desemnat al clientului în termen de 72 de ore de la momentul în care am luat cunoștință (termenul de notificare a încălcărilor conform GDPR) și transmitem un raport scris în termen de 30 de zile. Coordonăm cu canalele de incident ale furnizorilor de plăți pentru orice eveniment legat de plăți.

Ce nu vom face

  • Nu vom vinde datele dumneavoastră, datele oaspeților sau datele personalului — nimănui, niciodată.
  • Nu vom folosi datele operaționale pentru a antrena modele AI fără consimțământul dumneavoastră explicit și voluntar.
  • Nu vom ține datele ostatice — exporturile sunt disponibile în formate standard pe durata contractului și la finalul acestuia.
  • Nu vom implementa automat recomandări AI care afectează angajații. Article 22 reprezintă o limită absolută.

Contactați echipa de securitate

Rapoarte de vulnerabilitate, due diligence pentru furnizori, chestionare de securitate pentru clienți — scrieți la security@fooodo.com. Solicitările persoanelor vizate se trimit la dpo@fooodo.com. Răspundem la ambele în termen de două zile lucrătoare.

security@fooodo.com · dpo@fooodo.com

Pagini conexe: Politica de confidențialitate · Termeni și condiții · Acord de prelucrare a datelor · Contact