Bezpečnostní protokol

Ochranu vašich dat bereme vážně. A děláme pro ni vše.

 

Řízení přístupu

Nabízíte nebo podporujete funkce SAML/SSO pro ověřování?

• Poskytujeme SSO pouze pro Google Workspace a Microsoft Active Directory.

Jaké typy vícefaktorového ověřování jsou podporovány?

• V současné době nepodporujeme vícefaktorové ověřování, ale máme ho ve vývoji.

Jak jsou data nebo procesy zákazníků chráněny před neoprávněným přístupem?

• Data zákazníků jsou uložena na šifrovaných serverech, kam není možný přístup z vnějšího světa. Používáme VPC (Virtual Private Cloud), kde k nim mají přístup pouze části aplikace, které jsou ve stejné síti (VPC).

Jaká opatření máte zavedena, abyste zabránili neoprávněnému prohlížení informací?

• Pro účely ověřování a autorizace používáme tokeny JWT (s expirací 1 minuta). Používáme RBAC (Role Based Access Control), abychom mohli zákazníkům poskytnout granularitu oprávnění.

Kdo ve vaší společnosti může vidět údaje zákazníků?

• Pouze administrátoři zákaznické podpory na základě přímé a osobní žádosti udělené zákazníkem.

Používáte model serveru s více tenanty?

• Ano

Jaká opatření máte k izolaci jednotlivých systémů a dat tenantů?

• Vše je namapováno na entitu nazvanou "Company" (Společnost) a každý údaj je s ní spojen prostřednictvím cizích klíčů.

Ochrana dat

Jak vypadá váš protokol zabezpečení dat? (Protokoly o zabezpečení dat, definované jako "software a pravidla chování, která určují, jak zaměstnanci nakládají s daty a jak k nim přistupují", poskytují jasné pokyny, které ukazují přístup organizace k zabezpečení dat. Může jít například o certifikáty SSL, virtuální privátní sítě (VPN), vícefaktorové ověřování (MFA) a další.)

• Údaje zákazníků jsou uloženy na šifrovaných serverech, kam není možný přístup z vnějšího světa. Používáme VPC (Virtual Private Cloud), kde k nim mají přístup pouze ty části aplikace, které jsou ve stejné síti (VPC).
• Pro všechny součásti naší aplikace používáme připojení SSL.

Je vaše platforma externě auditována?

• Ano, ISO 27001 (06/ 2023)

Spolupracujete při poskytování řešení SaaS s dalšími třetími stranami? Pokud ano (a pokud mají přístup k vašim datům), jak vypadají jejich bezpečnostní protokoly?

• Amazon - Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg, poskytovatel služeb cloudové infrastruktury. Datová centra se nacházejí ve Frankfurtu nad Mohanem, Spolková republika Německo.
• HubSpot Ireland Ltd, Ground Floor, Two Dockland Central, Guild Street, Dublin 1, Co. Dublin, Irsko(DIČ: IE9849471F), služba Hubspot pro zasílání hromadných zpráv, oznámení a zákaznickou podporu (https://legal.hubspot.com/privacy-policy).
• Userflow, Inc. 548 Market St PMB 69598, San Francisco, California 94104-5401, Spojené státy americké, služba UserFlow pro zasílání hromadných sdělení, oznámení a služby zákaznické podpory (https://userflow.com/policies/privacy, https://userflow.com/policies/userflow-gdpr-dpa.pdf).

1. Smartlook.com, s.r.o. Šumavská 524/31, Brno, CZ 60200, Czech Republic, Reg. no.: 09508830, VAT ID: CZ09508830, Smartlook pro analýzu chování uživatelů v aplikaci. (https://help.smartlook.com/en/articles/3244452-privacy-policy)
2. Stripe Technology Europe, Ltd., 25/28 North Wall Quay, Dublin 1, D01H104, IČ: 0599050 Služba Stripe pro služby platební brány. (https://stripe.com/en-cz/privacy)
3. Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irsko (Registrační číslo: 368047 / DIČ: IE6388047V) - statistické služby Google Analytics a Google Tag Manager. (https://policies.google.com/privacy/partners?hl=en).

Ukládáte na svém serveru informace o kreditních kartách?

• Informace o kreditních kartách na našem serveru neukládáme. Jako zpracovatele plateb používáme společnost Stripe.

Co se stane v případě poškození dat?

• Automaticky je obnovíme z denní zálohy (denní záloha má izolované úložiště mimo samotnou aplikaci).

Kdo vlastní tato data, pokud vás přestaneme používat jako prodejce?

• Data vlastní zákazník.

Jaké úkony provádíte pro zničení dat poté, co je zákazník uvolní?

• Trvale je odstraníme.

Kdy jste naposledy provedli pentest třetí strany?

• Každý měsíc do 1. dne.

Obnova po havárii

Jaké jsou vaše plány obnovy po havárii?

• Máme automatizovaný plán obnovy v souladu s: https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-for-disaster-recovery-dr.html

Provádíte rutinní testy zotavení po havárii?

• Ne

.Jak často se provádějí dodatečné zálohy?

• Každých 24 hodin.

Kolik kopií dat uchováváte a kde jsou uloženy?

• Pro zálohování používáme webové služby Amazon. Zálohy replikují tak, aby bylo možné dosáhnout 100% míry obnovy (https://aws.amazon.com/rds/?p=ft&c=db&z=3)

Jak daleko zpět sahají záložní kopie?

• 1 měsíc.

Došlo u vás někdy k narušení bezpečnosti?

• Ne

Jak často a jakým způsobem testujete infrastrukturu zálohování a obnovy?

• Jednou za půl roku.

Jaké jsou vaše metody zálohování našich dat? Jaké jsou nabídky pro zálohování dat?

• Opakovaně denně zálohujeme všechna data z našich databází a úložišť. Používáme k tomu automatizované zálohování z webu: https://aws.amazon.com/rds/?p=ft&c=db&z=3 

Reakce na incidenty

Máte plán reakce na incident?

• Máme automatizovaný plán obnovy v souladu s:  https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-for-disaster-recovery-dr.html

Zapojujete zákazníky do procesu reakce na incidenty?

• Ano

Poskytujete zprávy o pokusech nebo úspěšných narušeních systémů, dopadech a přijatých opatřeních?

• Pokud o to zákazník požádá

Které úkoly a incidenty zůstávají v odpovědnosti zákazníka?

• Pokud incident ztráty dat způsobil sám zákazník, je to jeho odpovědnost. Celá aplikace je pokryta Audit-Loginem, který uchovává podrobnosti, jako např:
  
  
  • IP adresa vykonavatele (osoby, která provádí akci).
  • Název akce
  • Jedinečný identifikátor přihlášené osoby (e-mail)
  • Časové razítko akce
  • Která verze aplikace byla nasazena v době provedení akce
  • Která data byla změněna a případně i rozdíl, co bylo na co změněno

Fyzická bezpečnost

Jak hodnotíte, jak vaši zaměstnanci rozumí fyzické bezpečnosti?

• Nemáme fyzické servery.

Kde se nachází vaše datové centrum a jaká jsou zavedena fyzická bezpečnostní opatření?

• Využíváme datová centra umístěná ve Frankfurtu, která poskytuje společnost Amazon Web Services. Nemáme k nim přístup.

V jakých zemích jsou ukládána data - jak ve vaší infrastruktuře, tak při zálohování?

• Datová centra ve Frankfurtu poskytovaná společností Amazon Web Services.

Dodržování předpisů

Dodržujete nebo plánujete dodržovat předpisy o ochraně osobních údajů (např. Privacy Shield, GDPR)?

ANO, plně vyhovujeme.

GDPR

Jak shromažďujete osobní údaje?

Subjektem, který shromažďuje osobní údaje, je zákazník (společnost), který shromažďuje a zpracovává osobní údaje svých zaměstnanců.

Proč shromažďujete osobní údaje?

Osobní údaje, které shromažďují výše uvedené subjekty, jsou shromažďovány výhradně za účelem vedení personální agendy zadavatele (společnosti).

K čemu osobní údaje používáte?

Shromážděné osobní údaje umožňují zaměstnavatelům plánovat dovolené, rozvrhovat směny, distribuovat interní dokumenty a zpracovávat další interní agendy.

Jak dlouho budete osobní údaje uchovávat?

Vzhledem k tomu, že vlastníkem údajů je zaměstnavatel, budou údaje uchovávány v úložišti aplikace tak dlouho, dokud si je zákazník ponechá. V případě, že zákazník přestane aplikaci používat, budou všechny údaje vymazány do 1 měsíce po vypršení platnosti komerční licence.

Mám nějaká práva?

Všem uživatelům, jejichž osobní údaje jsou shromažďovány, jsou zaručena všechna práva vycházející z nařízení GDPR, konkrétně právo na sledování, aktualizaci a zapomenutí.