WWooshPayment docs
Operativo

Audit log

Tracciamento delle azioni admin. Oggi disponibile lato super-admin di piattaforma. Per i merchant è in roadmap come feature Scale.

1 min di lettura

Roadmap. L'audit log esportabile per merchant è in roadmap per il piano Scale. Oggi le azioni vengono loggate nel nostro database (admin_audit_logs) ma sono accessibili solo allo staff WooshPayment via super-admin, non dalla dashboard merchant.

Cosa logghiamo oggi

A livello di backend, registriamo le azioni sensibili in AdminAuditLog (tabella Prisma). Tipologie tracciate:

  • Login admin/super-admin (success/failed)
  • Cambi configurazione di piattaforma
  • Impersonification di merchant da parte dello staff
  • Refund eseguiti da super-admin
  • GDPR erasure request

Per le azioni eseguite dal merchant stesso sulla sua dashboard (es. il bottone "Rimborsa"), oggi non c'è un log esportabile lato merchant. Sono registrate nei log applicativi (Pino) ma non sono presentate in UI.

Schema riga audit (modello attuale)

CampoEsempio
idcuid
eventmerchant.refund, super_admin.login
actorIdadmin/merchant id
actorEmail(PII-redacted dopo retention)
actorIpIP di origine
metadataJSON con dettaglio
createdAtISO timestamp UTC

Come accederebbe il merchant (in roadmap)

L'idea è esporre, sul piano Scale:

  • Tabella filtrabile per data, evento, attore
  • Export CSV/JSON
  • Retention 7 anni
  • API endpoint GET /api/merchant/audit-logs per integrare in SIEM esterni

ETA: post launch.

Cosa puoi fare ORA

Se ti serve evidenza di azioni specifiche (es. dispute legali, audit interno):

  1. Apri ticket a noreply@wooshpayment.com con request specifica (intervallo date + tipo evento + merchant interessato)
  2. Lo staff WooshPayment esegue la query sul nostro sistema e ti manda CSV criptato

Tempo medio: 2 giorni lavorativi.

Retention & GDPR

  • I log applicativi (Pino) hanno retention 90 giorni
  • I log Prisma (AdminAuditLog) sono indefiniti finché non implementiamo la retention policy
  • PII redaction dopo richiesta di erasure GDPR (vedi GDPR)