Najmenšie potrebné oprávnenia
Aplikácia má žiadať iba prístupy potrebné pre potvrdený produktový rozsah.
Táto stránka definuje bezpečnostné zásady a cieľový prevádzkový štandard Torevo. Neuvádzame certifikácie ani garancie, ktoré ešte neboli nezávisle potvrdené.
Konkrétna implementácia má byť zdokumentovaná, otestovaná a prepojená s reálnou infraštruktúrou podľa rozsahu služby.
Aplikácia má žiadať iba prístupy potrebné pre potvrdený produktový rozsah.
API kľúče a tokeny nepatria do zdrojového kódu, verejných logov ani klientského rozhrania.
Prenos medzi obchodom, Torevo a poskytovateľom má používať aktuálne zabezpečené protokoly.
Prístup pracovníkov má byť obmedzený rolou, chránený silným overením a zaznamenaný.
Retry mechanizmus musí zohľadniť riziko duplicitnej zásielky alebo opakovanej zmeny.
Závažná udalosť má mať vlastníka, časovú os, komunikačný plán a následnú analýzu.
Aktuálne netvrdíme súlad s ISO 27001, SOC 2 ani inú nezávislú certifikáciu.
Používateľ má rozumieť, ktoré údaje prichádzajú zo Shopify, čo Torevo spracuje a čo sa odošle vybranej službe.
Citlivé bezpečnostné hlásenie posielajte cez kontaktnú stránku a jasne uveďte, že ide o bezpečnostný nález. Nezverejňujte exploit, osobné údaje ani prístupy.
Pošlite ju cez kontaktnú stránku s bezpečným opisom bez hesiel, tokenov a zbytočných osobných údajov.