Securitate

Ultima actualizare: 24 iunie 2026

Principiu: datele restaurantului (meniuri, poze, comenzi Pro) sunt stocate în infrastructura Cloudflare (D1, R2, KV) în regiunea Europa de Vest. Accesul admin necesită autentificare; paginile publice de meniu sunt read-only.

1. Arhitectură

  • verifyeat.app — SvelteKit pe Cloudflare Pages, Workers, D1 (SQLite), R2 (media), KV (sesiuni)
  • App Mac — date locale în ~/Library/Application Support/VerifyEat/; publicare opțională via token API
  • AI — endpoint securizat /api/ai/*; cheia OpenAI stocată ca secret Cloudflare, nu în browser
  • Pro Orders — comenzi și ticket-uri stații în D1; acces doar utilizatori autentificați (owner)

2. Criptare

  • În tranzit: TLS 1.2+ pe toate conexiunile; HSTS activ
  • Parole: PBKDF2-SHA256, 100 000 iterații, salt unic per utilizator
  • Token-uri Cloud API: doar hash SHA-256 stocat; plaintext afișat o singură dată la creare
  • La repaus: R2 și D1 criptate de Cloudflare; recomandăm FileVault pe Mac pentru date locale

3. Autentificare & sesiuni

  • Cookie verifyeat_session — HttpOnly, Secure, SameSite=Lax, TTL 30 zile
  • Sesiuni în Cloudflare KV cu expirare automată
  • Protecție CSRF pe mutații cross-origin în hooks.server
  • Floor/Station Pro — necesită același cont owner (PIN staff planificat)

4. Protecție infrastructură

  • Cloudflare WAF și protecție DDoS
  • Rate limiting pe endpoint-uri AI și autentificare
  • Headere de securitate (X-Content-Type-Options, X-Frame-Options, CSP pe pagini publice)
  • Media R2 servit prin proxy cu validare cheie

5. LocalMenuServer (app Mac)

„Live on Phone” pornește un server HTTP temporar pe rețeaua locală Wi‑Fi. Oricine pe aceeași rețea poate vedea preview-ul meniului. Folosește doar pe rețele de încredere; serverul se oprește la închiderea panoului.

6. Raportare vulnerabilități

Raportează responsabil la security@verifyeat.app. Nu testa pe conturi care nu îți aparțin. Răspundem în 5 zile lucrătoare; remediere critică în maximum 30 de zile, după caz.

7. Incidente

În caz de breșă cu impact asupra datelor personale, notificăm autoritatea competentă și clienții afectați conform GDPR Art. 33–34, în termenele legale.

Vezi și: Sub-procesatori · Confidențialitate