Torevo Security

Dôvera musí byť podložená kontrolami, nie odznakmi.

Táto stránka definuje bezpečnostné zásady a cieľový prevádzkový štandard Torevo. Neuvádzame certifikácie ani garancie, ktoré ešte neboli nezávisle potvrdené.

Bezpečnostné princípy

Menej prístupu. Viac viditeľnosti. Jasná zodpovednosť.

Konkrétna implementácia má byť zdokumentovaná, otestovaná a prepojená s reálnou infraštruktúrou podľa rozsahu služby.

Najmenšie potrebné oprávnenia

Aplikácia má žiadať iba prístupy potrebné pre potvrdený produktový rozsah.

Oddelenie tajomstiev

API kľúče a tokeny nepatria do zdrojového kódu, verejných logov ani klientského rozhrania.

Šifrovaná komunikácia

Prenos medzi obchodom, Torevo a poskytovateľom má používať aktuálne zabezpečené protokoly.

Kontrolovaný interný prístup

Prístup pracovníkov má byť obmedzený rolou, chránený silným overením a zaznamenaný.

Bezpečné opakovanie procesov

Retry mechanizmus musí zohľadniť riziko duplicitnej zásielky alebo opakovanej zmeny.

Incidentný postup

Závažná udalosť má mať vlastníka, časovú os, komunikačný plán a následnú analýzu.

Aktuálne netvrdíme súlad s ISO 27001, SOC 2 ani inú nezávislú certifikáciu.

Tok údajov

Každé prepojenie má mať jasný účel.

Používateľ má rozumieť, ktoré údaje prichádzajú zo Shopify, čo Torevo spracuje a čo sa odošle vybranej službe.

Shopify obchod
Torevo aplikácia
Torevo backend
Vybraná služba
Prevádzkové kontroly

Kontrolný zoznam pre služby v prevádzke.

Inventár údajov a účelov spracúvaniaPresný zoznam Shopify oprávneníSpráva a rotácia tajomstievZálohovanie a obnovaMonitoring a alertingLogovanie bez citlivých údajovProces odstránenia údajovZávislosti a aktualizáciePenetračné alebo bezpečnostné testovanieIncident response a kontaktné osoby
Zodpovedné nahlasovanie

Bezpečnostné zistenie neposielajte verejne.

Citlivé bezpečnostné hlásenie posielajte cez kontaktnú stránku a jasne uveďte, že ide o bezpečnostný nález. Nezverejňujte exploit, osobné údaje ani prístupy.

  • Popíšte dotknutý komponent a reprodukčné kroky
  • Nepoužívajte cudzie reálne účty alebo údaje
  • Nemeňte ani nemažte produkčné údaje
  • Dajte Torevu primeraný čas na nápravu pred zverejnením
  • Neočakávajte odmenu, pokiaľ nie je zverejnený bug bounty program
Kontaktovať Torevo
Bezpečnosť

Máte otázku k bezpečnosti alebo ochrane údajov?

Pošlite ju cez kontaktnú stránku s bezpečným opisom bez hesiel, tokenov a zbytočných osobných údajov.