1. Úvod a účel dokumentu
Tato Bezpečnostní politika popisuje, jak služba Dokumentárna.cz (provozovaná společností DomusDigital, s.r.o.) zajišťuje ochranu dat, dokumentů a osobních údajů uložených uživateli v cloudovém systému.
Cílem dokumentu je poskytnout jasný a transparentní přehled o bezpečnostních opatřeních.
2. Bezpečnost infrastruktury
2.1. Hosting a datová centra: Služba je provozována v profesionálním datovém centru na území Evropské unie. Datové centrum splňuje mezinárodní standardy jako ISO 27001, ISO 27017, ISO 27018, případně ekvivalenty. Datová centra jsou vybavena fyzickým zabezpečením: nepřetržitý dohled, kamerové systémy, kontrola vstupu, redundantní napájení a klimatizace, požární a proti-záplavové systémy.
2.2. Servery a služby: Servery jsou pravidelně aktualizovány, monitorovány a záplatovány. Systém běží v izolovaných prostředích s kontrolou přístupů. Přístup k produkčním datům je striktně omezen na autorizované osoby.
3. Ochrana dat
3.1. Šifrování: Veškerá komunikace mezi uživatelem a službou je zabezpečena pomocí TLS/HTTPS. Citlivá data jsou ukládána pouze v šifrované podobě (tam, kde je to technicky vhodné). Přístupová hesla jsou ukládána pomocí hashovacích algoritmů (bcrypt/argon2).
3.2. Zálohování: Data jsou zálohována denně. Zálohy jsou uloženy odděleně od produkčního prostředí. Retenční doba záloh: 7 dní (lze prodloužit u vyšších tarifů).
3.3. Datová izolace: Každý účet má striktně oddělený datový prostor. Přístup jiného uživatele k cizím datům není možný.
4. Přístup a řízení oprávnění
4.1. Autentizace: Používáme bezpečné postupy autentizace s ochranou proti brute-force útokům. Podpora vícefaktorové autentizace (pokud ji chceš později, doplním to).
4.2. Oprávnění uživatelů: Systém podporuje role a přístupová práva podle tarifu. Uživatelé mají přístup pouze k dokumentům, ke kterým mají oprávnění.
4.3. Administrátorský přístup: Administrátoři mají přístup pouze k nezbytným částem systému. Každý administrátorský zásah je logován.
5. Aplikace a softwarová bezpečnost
5.1. Vývojové standardy: Aplikace je vyvíjena podle doporučení OWASP Top 10. Probíhají pravidelné interní kontroly kódu. Nasazení probíhá přes kontrolované build pipeline.
5.2. Ochrana proti útokům: Ochrana proti útokům typu: SQL Injection, XSS (Cross-site scripting), CSRF (Cross-Site Request Forgery), Session hijacking, útokům hrubou silou.
5.3. Monitoring a alerty: Systém disponuje monitoringem výkonu, dostupnosti a přístupů. Při podezření na incident je okamžitě spuštěn interní bezpečnostní postup.
6. Bezpečnostní incidenty
6.1. Detekce a reakce: Poskytovatel aktivně monitoruje zprávy o porušení zabezpečení. V případě incidentu: okamžitá izolace postižené části systému, analýza příčiny, minimalizace dopadů, obnova zajištěných záloh (pokud je to potřeba).
6.2. Oznámení Správci: Pokud jde o incident týkající se osobních údajů, Poskytovatel oznámí Správci: typ incidentu, rozsah dotčených údajů, přijatá opatření, doporučení pro Správce.
7. Odpovědnost uživatele
Aby byla bezpečnost plně zajištěna, uživatel se zavazuje: chránit své přístupové údaje, používat silná hesla, nepřistupovat ke službě z nezabezpečených zařízení, okamžitě informovat o podezření na narušení účtu.
8. Testování a audit
Poskytovatel průběžně vyhodnocuje bezpečnostní opatření. Zákazník může požádat o informace o bezpečnostních procesech v rozsahu přiměřeném typu služby. Penetrační testy jsou prováděny dle interních plánů (pokud je chceš mít jako službu, doplním).
9. Změny bezpečnostní politiky
Bezpečnostní politika může být aktualizována podle vývoje technologie a hrozeb. Aktuální verze je vždy k dispozici na Dokumentárna.cz.
10. Účinnost
Tato Bezpečnostní politika nabývá účinnosti dnem [doplnit datum].