Bezpečnostní protokol

    Ochranu vašich dat bereme vážně. A děláme pro ni vše.

     

    Řízení přístupu

    Nabízíte nebo podporujete funkce SAML/SSO pro ověřování?

    • Poskytujeme SSO pouze pro Google Workspace a Microsoft Active Directory.

    Jaké typy vícefaktorového ověřování jsou podporovány?

    • V současné době nepodporujeme vícefaktorové ověřování, ale máme ho ve vývoji.

    Jak jsou data nebo procesy zákazníků chráněny před neoprávněným přístupem?

    • Data zákazníků jsou uložena na šifrovaných serverech, kam není možný přístup z vnějšího světa. Používáme VPC (Virtual Private Cloud), kde k nim mají přístup pouze části aplikace, které jsou ve stejné síti (VPC).

    Jaká opatření máte zavedena, abyste zabránili neoprávněnému prohlížení informací?

    • Pro účely ověřování a autorizace používáme tokeny JWT (s expirací 1 minuta). Používáme RBAC (Role Based Access Control), abychom mohli zákazníkům poskytnout granularitu oprávnění.

    Kdo ve vaší společnosti může vidět údaje zákazníků?

    • Pouze administrátoři zákaznické podpory na základě přímé a osobní žádosti udělené zákazníkem.

    Používáte model serveru s více tenanty?

    • Ano

    Jaká opatření máte k izolaci jednotlivých systémů a dat tenantů?

    • Vše je namapováno na entitu nazvanou „Company“ (Společnost) a každý údaj je s ní spojen prostřednictvím cizích klíčů.

    Ochrana dat

    Jak vypadá váš protokol zabezpečení dat? (Protokoly o zabezpečení dat, definované jako „software a pravidla chování, která určují, jak zaměstnanci nakládají s daty a jak k nim přistupují„, poskytují jasné pokyny, které ukazují přístup organizace k zabezpečení dat. Může jít například o certifikáty SSL, virtuální privátní sítě (VPN), vícefaktorové ověřování (MFA) a další.)

    • Údaje zákazníků jsou uloženy na šifrovaných serverech, kam není možný přístup z vnějšího světa. Používáme VPC (Virtual Private Cloud), kde k nim mají přístup pouze ty části aplikace, které jsou ve stejné síti (VPC).
    • Pro všechny součásti naší aplikace používáme připojení SSL.

    Je vaše platforma externě auditována?

    • Ano, ISO 27001 (06/ 2023)

    Spolupracujete při poskytování řešení SaaS s dalšími třetími stranami? Pokud ano (a pokud mají přístup k vašim datům), jak vypadají jejich bezpečnostní protokoly?

    • Amazon – Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg, poskytovatel služeb cloudové infrastruktury. Datová centra se nacházejí ve Frankfurtu nad Mohanem, Spolková republika Německo.
    • HubSpot Ireland Ltd, Ground Floor, Two Dockland Central, Guild Street, Dublin 1, Co. Dublin, Irsko(DIČ: IE9849471F), služba Hubspot pro zasílání hromadných zpráv, oznámení a zákaznickou podporu (https://legal.hubspot.com/privacy-policy).
    • Userflow, Inc. 548 Market St PMB 69598, San Francisco, California 94104-5401, Spojené státy americké, služba UserFlow pro zasílání hromadných sdělení, oznámení a služby zákaznické podpory (https://userflow.com/policies/privacy, https://userflow.com/policies/userflow-gdpr-dpa.pdf).
    1. Smartlook.com, s.r.o. Šumavská 524/31, Brno, CZ 60200, Czech Republic, Reg. no.: 09508830, VAT ID: CZ09508830, Smartlook pro analýzu chování uživatelů v aplikaci. (https://help.smartlook.com/en/articles/3244452-privacy-policy)
    2. Stripe Technology Europe, Ltd., 25/28 North Wall Quay, Dublin 1, D01H104, IČ: 0599050 Služba Stripe pro služby platební brány. (https://stripe.com/en-cz/privacy)
    3. Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irsko (Registrační číslo: 368047 / DIČ: IE6388047V) – statistické služby Google Analytics a Google Tag Manager. (https://policies.google.com/privacy/partners?hl=en).

    Ukládáte na svém serveru informace o kreditních kartách?

    • Informace o kreditních kartách na našem serveru neukládáme. Jako zpracovatele plateb používáme společnost Stripe.

    Co se stane v případě poškození dat?

    • Automaticky je obnovíme z denní zálohy (denní záloha má izolované úložiště mimo samotnou aplikaci).

    Kdo vlastní tato data, pokud vás přestaneme používat jako prodejce?

    • Data vlastní zákazník.

    Jaké úkony provádíte pro zničení dat poté, co je zákazník uvolní?

    • Trvale je odstraníme.

    Kdy jste naposledy provedli pentest třetí strany?

    • Každý měsíc do 1. dne.

    Obnova po havárii

    Jaké jsou vaše plány obnovy po havárii?

    Provádíte rutinní testy zotavení po havárii?

    • Ne

    .Jak často se provádějí dodatečné zálohy?

    • Každých 24 hodin.

    Kolik kopií dat uchováváte a kde jsou uloženy?

    Jak daleko zpět sahají záložní kopie?

    • 1 měsíc.

    Došlo u vás někdy k narušení bezpečnosti?

    • Ne

    Jak často a jakým způsobem testujete infrastrukturu zálohování a obnovy?

    • Jednou za půl roku.

    Jaké jsou vaše metody zálohování našich dat? Jaké jsou nabídky pro zálohování dat?

    Reakce na incidenty

    Máte plán reakce na incident?

    Zapojujete zákazníky do procesu reakce na incidenty?

    • Ano

    Poskytujete zprávy o pokusech nebo úspěšných narušeních systémů, dopadech a přijatých opatřeních?

    • Pokud o to zákazník požádá

    Které úkoly a incidenty zůstávají v odpovědnosti zákazníka?

    • Pokud incident ztráty dat způsobil sám zákazník, je to jeho odpovědnost. Celá aplikace je pokryta Audit-Loginem, který uchovává podrobnosti, jako např:
      • IP adresa vykonavatele (osoby, která provádí akci).
      • Název akce
      • Jedinečný identifikátor přihlášené osoby (e-mail)
      • Časové razítko akce
      • Která verze aplikace byla nasazena v době provedení akce
      • Která data byla změněna a případně i rozdíl, co bylo na co změněno

    Fyzická bezpečnost

    Jak hodnotíte, jak vaši zaměstnanci rozumí fyzické bezpečnosti?

    • Nemáme fyzické servery.

    Kde se nachází vaše datové centrum a jaká jsou zavedena fyzická bezpečnostní opatření?

    • Využíváme datová centra umístěná ve Frankfurtu, která poskytuje společnost Amazon Web Services. Nemáme k nim přístup.

    V jakých zemích jsou ukládána data – jak ve vaší infrastruktuře, tak při zálohování?

    • Datová centra ve Frankfurtu poskytovaná společností Amazon Web Services.

    Dodržování předpisů

    Dodržujete nebo plánujete dodržovat předpisy o ochraně osobních údajů (např. Privacy Shield, GDPR)?

    ANO, plně vyhovujeme.

    GDPR

    Jak shromažďujete osobní údaje?

    Subjektem, který shromažďuje osobní údaje, je zákazník (společnost), který shromažďuje a zpracovává osobní údaje svých zaměstnanců.

    Proč shromažďujete osobní údaje?

    Osobní údaje, které shromažďují výše uvedené subjekty, jsou shromažďovány výhradně za účelem vedení personální agendy zadavatele (společnosti).

    K čemu osobní údaje používáte?

    Shromážděné osobní údaje umožňují zaměstnavatelům plánovat dovolené, rozvrhovat směny, distribuovat interní dokumenty a zpracovávat další interní agendy.

    Jak dlouho budete osobní údaje uchovávat?

    Vzhledem k tomu, že vlastníkem údajů je zaměstnavatel, budou údaje uchovávány v úložišti aplikace tak dlouho, dokud si je zákazník ponechá. V případě, že zákazník přestane aplikaci používat, budou všechny údaje vymazány do 1 měsíce po vypršení platnosti komerční licence.

    Mám nějaká práva?

    Všem uživatelům, jejichž osobní údaje jsou shromažďovány, jsou zaručena všechna práva vycházející z nařízení GDPR, konkrétně právo na sledování, aktualizaci a zapomenutí.

    Podmínky užití a GDPR k náhledu zde.