Zásady bezpečnosti
Poslední aktualizace: 19. dubna 2025
Společnost stanitariq se zavazuje chránit bezpečnost svých systémů, dat a uživatelů. Tyto zásady bezpečnosti popisují opatření, která přijímáme k zajištění integrity, důvěrnosti a dostupnosti informací zpracovávaných prostřednictvím naší platformy dostupné na adrese stanitariq.pro.
1. Rozsah platnosti
Tyto zásady se vztahují na veškeré systémy, aplikace, infrastrukturu a data provozovaná nebo spravovaná společností stanitariq. Platí pro všechny uživatele, zaměstnance, smluvní partnery a třetí strany, které mají přístup k našim službám nebo interagují s naší platformou.
2. Ochrana dat a šifrování
2.1 Šifrování přenosu dat
Veškerá komunikace mezi uživateli a naší platformou je chráněna pomocí protokolu TLS (Transport Layer Security). Přenos nešifrovaných dat prostřednictvím veřejných sítí není povolen. Připojení bez šifrování jsou automaticky přesměrována na zabezpečenou variantu.
2.2 Šifrování uložených dat
Citlivá data uložená v našich systémech jsou šifrována pomocí průmyslově standardních algoritmů. Hesla jsou ukládána výhradně ve formě kryptograficky zabezpečeného hashe a nikdy nejsou ukládána v čitelné podobě.
2.3 Správa šifrovacích klíčů
Šifrovací klíče jsou spravovány prostřednictvím dedikovaného systému správy klíčů. Přístup ke klíčům je omezen pouze na autorizované systémy a zaměstnance. Klíče jsou pravidelně obnovovány v souladu s bezpečnostními standardy.
3. Řízení přístupu
3.1 Autentizace uživatelů
Přístup k platformě vyžaduje ověření totožnosti uživatele. Podporujeme a doporučujeme vícefaktorové ověřování (MFA) pro všechny uživatelské účty. Neúspěšné pokusy o přihlášení jsou monitorovány a po překročení stanoveného limitu dojde k dočasnému zablokování přístupu.
3.2 Princip minimálních oprávnění
Přístupová práva jsou přidělována na základě principu nejmenšího nutného oprávnění. Každý uživatel, systém nebo proces má přístup pouze k těm prostředkům, které jsou nezbytné pro výkon jeho funkce. Oprávnění jsou pravidelně přezkoumávána a nepotřebná práva jsou odvolávána.
3.3 Správa privilegovaných účtů
Účty s rozšířenými oprávněními jsou přísně kontrolovány. Veškeré aktivity prováděné prostřednictvím privilegovaných účtů jsou zaznamenávány a auditovány. Sdílení přihlašovacích údajů je zakázáno.
4. Zabezpečení infrastruktury
4.1 Síťová bezpečnost
Naše infrastruktura je chráněna vícevrstvým síťovým zabezpečením zahrnujícím firewally, systémy pro detekci a prevenci narušení (IDS/IPS) a segmentaci sítě. Přístup k interním systémům z externího prostředí je povolen výhradně prostřednictvím zabezpečených kanálů.
4.2 Monitorování a detekce hrozeb
Systémy jsou nepřetržitě monitorovány za účelem odhalení anomálií, pokusů o narušení nebo neoprávněného přístupu. Bezpečnostní události jsou automaticky zaznamenávány a analyzovány. Na základě detekovaných hrozeb jsou spouštěny příslušné reakce.
4.3 Správa zranitelností
Provádíme pravidelné hodnocení zranitelností a penetrační testování našich systémů. Identifikované zranitelnosti jsou klasifikovány podle závažnosti a odstraňovány dle stanoveného postupu a časových lhůt. Bezpečnostní záplaty jsou aplikovány neprodleně po jejich vydání.
4.4 Fyzická bezpečnost
Servery a datová úložiště jsou umístěny v datových centrech s odpovídajícími fyzickými bezpečnostními opatřeními. Přístup k fyzické infrastruktuře je omezen a zaznamenáván. Datová centra splňují uznávané průmyslové bezpečnostní standardy.
5. Vývoj a nasazení softwaru
5.1 Bezpečný vývoj
Při vývoji softwaru dodržujeme zásady bezpečného programování. Kód je před nasazením do produkce podroben revizi se zaměřením na bezpečnostní aspekty. Využíváme automatizované nástroje pro statickou analýzu kódu k identifikaci potenciálních zranitelností.
5.2 Testovací prostředí
Vývojová, testovací a produkční prostředí jsou od sebe striktně oddělena. Produkční data nejsou používána v testovacích prostředích bez předchozí anonymizace. Přístupy do jednotlivých prostředí jsou řízeny samostatně.
5.3 Závislosti třetích stran
Softwarové závislosti jsou pravidelně kontrolovány z hlediska bezpečnostních zranitelností. Používáme pouze komponenty z důvěryhodných zdrojů a udržujeme je aktuální. Zastaralé nebo nezabezpečené závislosti jsou nahrazovány bezpečnými alternativami.
6. Reakce na bezpečnostní incidenty
6.1 Postup při incidentu
Disponujeme zdokumentovaným postupem reakce na bezpečnostní incidenty, který pokrývá fáze detekce, klasifikace, omezení dopadu, odstranění příčiny, obnovy a následného přezkumu. Za koordinaci reakce na bezpečnostní incidenty odpovídá určený tým.
6.2 Oznamování incidentů
Bezpečnostní incidenty, které mohou mít dopad na data nebo dostupnost služeb, jsou evidovány a vyhodnocovány. Uživatelé dotčení bezpečnostním incidentem budou informováni v souladu s platnými právními předpisy a v přiměřené lhůtě od zjištění incidentu.
6.3 Uchovávání záznamů
Záznamy o bezpečnostních incidentech jsou uchovávány po dobu nezbytnou pro účely analýzy, nápravy a případného plnění právních povinností. Záznamy obsahují popis incidentu, přijatá opatření a výsledek řešení.
7. Zálohování a obnova dat
Data jsou pravidelně zálohována automatizovanými procesy. Zálohy jsou ukládány v šifrované podobě na geograficky oddělených lokalitách. Postupy obnovy dat jsou pravidelně testovány, aby byla zajištěna jejich funkčnost v případě potřeby. Cíle doby obnovy a cílové body obnovy jsou definovány v souladu s požadavky na dostupnost služby.
8. Správa dodavatelů a třetích stran
Třetí strany, které mají přístup k našim systémům nebo datům, jsou hodnoceny z hlediska jejich bezpečnostní způsobilosti před zahájením spolupráce. Smluvní vztahy s dodavateli zahrnují bezpečnostní požadavky odpovídající rozsahu přístupu a zpracovávaným datům. Přístupová práva třetích stran jsou omezena na nezbytné minimum a pravidelně přezkoumávána.
9. Školení a bezpečnostní povědomí
Zaměstnanci jsou pravidelně školeni v oblasti informační bezpečnosti a ochrany osobních údajů. Školení zahrnuje aktuální hrozby, postupy bezpečného chování a povinnosti vyplývající z těchto zásad. Noví zaměstnanci absolvují bezpečnostní školení jako součást nástupu do zaměstnání.
10. Audit a soulad
Bezpečnostní opatření jsou pravidelně přezkoumávána prostřednictvím interních i externích auditů. Výsledky auditů jsou využívány ke kontinuálnímu zlepšování bezpečnostní praxe. Vedeme záznamy prokazující soulad s těmito zásadami a příslušnými bezpečnostními standardy.
11. Hlášení bezpečnostních zranitelností
Pokud zjistíte bezpečnostní zranitelnost v našich systémech nebo aplikacích, kontaktujte nás neprodleně prostřednictvím e-mailu [email protected]. Žádáme vás, abyste zranitelnost nezveřejňovali dříve, než budeme mít možnost ji prošetřit a přijmout příslušná opatření. Každé hlášení bude prošetřeno a zodpovědné hlášení bezpečnostních zranitelností oceňujeme.
12. Změny těchto zásad
Tyto zásady bezpečnosti mohou být průběžně aktualizovány v reakci na změny technologického prostředí, bezpečnostních hrozeb nebo interních procesů. O významných změnách budeme uživatele informovat prostřednictvím platformy nebo e-mailem. Datum poslední aktualizace je uvedeno v záhlaví tohoto dokumentu. Doporučujeme tyto zásady pravidelně přečíst.
13. Kontakt
Máte-li dotazy týkající se těchto zásad bezpečnosti nebo bezpečnosti našich služeb, kontaktujte nás prostřednictvím následujících údajů:
| Způsob kontaktu | Údaje |
|---|---|
| [email protected] | |
| Telefon | +420 602 518 907 |
| Adresa | Čsl. armády 1193/21, 390 03 Tábor, Česká republika |
| Web | stanitariq.pro |