Securitate

Securitate pe înțelesul tuturor.

Ce facem astăzi, spre ce ne îndreptăm și ce nu vom face niciodată. Încercăm să fim sinceri în ambele privințe — restaurantele și partenerii merită asta, iar securitatea prin obscuritate nu este securitate.

Situația actuală

Infrastructură găzduită în EU

Toată infrastructura de producție este găzduită în Spațiul Economic European. Copiile de rezervă sunt stocate în SEE. Nu transferăm date cu caracter personal către țări terțe, cu excepția cazurilor în care există Clauze Contractuale Standard semnate pentru scopuri limitate ale furnizorilor (ex. Anthropic pentru widgetul AI Ask).

Criptare în tranzit și în repaus

TLS 1.2+ pe fiecare endpoint public cu HSTS. Stocarea bazelor de date și copiile de rezervă sunt criptate în repaus. Apelurile între servicii se realizează prin canale autentificate.

Izolarea datelor de card

Fooodo nu accesează niciodată datele brute ale cardului. Plățile sunt procesate de Mollie în cadrul propriului lor domeniu PCI. Aplicația de meniu primește un URL de checkout și un callback — cardul nu atinge niciodată infrastructura noastră.

Autentificare și control al accesului

Accesul operatorilor și al administratorilor este protejat prin conturi individuale cu atribuiri de roluri auditabile. Token-urile de sesiune, adresa IP, amprenta dispozitivului și marcajele temporale ale autentificărilor sunt înregistrate pentru revizuire de securitate.

Izolarea chiriașilor

Fiecare înregistrare este limitată la un tenant Company. Politicile de roluri impun granițele dintre tenanți la nivelul stratului de acces la date; administratorii de restaurant pot gestiona doar propriul restaurant.

Conformitate GDPR

Minimizarea datelor ca implicită. Fiecare recomandare din Fooodo Insights care afectează angajații necesită aprobare umană (GDPR Article 22). Persoanele vizate își pot exercita drepturile prin dpo@fooodo.com.

Sub-procesatori

Utilizăm un număr redus de sub-procesatori verificați. Lista actuală:

VendorRoleRegion
MollieProcesarea plățilorEU
VercelGăzduirea site-ului de marketingRegiuni EU pentru acest site
AnthropicModele care alimentează widgetul AskInternațional (SCC-uri în vigoare)

Lista completă a sub-procesatorilor, inclusiv furnizorii de infrastructură ai platformei Fooodo, este disponibilă la cerere pentru operatori în baza Acordului de Prelucrare a Datelor.

Ce urmează pe foaia de parcurs a securității

SOC 2 Type II formal

Planificat

În prezent nu deținem certificarea SOC 2. Auditul este inclus în foaia de parcurs; calendarul depinde de cererea clienților. Cadrul nostru intern de control poate fi pus la dispoziție la cerere.

ISO/IEC 27001

În analiză

Urmărim conformitatea cu standardul la nivel intern; certificarea este un proces de minimum 12 luni și se decide în funcție de cererea clienților.

Teste de penetrare

Anual

Colaborăm cu testeri externi de penetrare anual și după modificări arhitecturale semnificative. Rapoartele sunt rezumate pentru echipele de securitate ale clienților, la cerere.

Divulgarea vulnerabilităților

Live

Rapoartele se trimit la security@fooodo.com (PGP disponibil la cerere). Confirmăm primirea în termen de două zile lucrătoare. În prezent nu derulăm un program de recompense plătite.

Răspuns la incidente

Dacă avem un incident de securitate care afectează un client, notificăm contactul nominalizat al clientului în termen de 72 de ore de la constatare (termenul GDPR pentru notificarea breșelor) și transmitem un raport scris în termen de 30 de zile. Coordonăm cu canalele de incident ale furnizorilor de plăți pentru orice eveniment legat de plăți.

Ce nu vom face

  • Nu vom vinde datele dumneavoastră, datele oaspeților sau datele personalului — nimănui, niciodată.
  • Nu vom folosi datele operaționale pentru a antrena modele AI fără consimțământul dumneavoastră explicit și opt-in.
  • Nu vom ține datele ostatice — exporturile sunt disponibile în formate standard pe durata contractului și la finalul acestuia.
  • Nu vom implementa automat recomandări AI care afectează angajații. Article 22 este o limită absolută.

Contactați echipa de securitate

Rapoarte de vulnerabilități, due diligence pentru furnizori, chestionare de securitate pentru clienți — scrieți la security@fooodo.com. Solicitările persoanelor vizate se trimit la dpo@fooodo.com. Răspundem la ambele în termen de două zile lucrătoare.

security@fooodo.com · dpo@fooodo.com

Pagini conexe: Politică de confidențialitate · Termeni și condiții · Acord de prelucrare a datelor · Contact