1. Úvod a účel dokumentu
Táto Bezpečnostná politika popisuje, ako služba Dokumentárna.cz (prevádzkovaná spoločnosťou DomusDigital, s.r.o.) zabezpečuje ochranu dát, dokumentov a osobných údajov uložených používateľmi v cloudovom systéme.
Cieľom dokumentu je poskytnúť jasný a transparentný prehľad o bezpečnostných opatreniach.
2. Bezpečnosť infraštruktúry
2.1. Hosting a dátové centrá: Služba je prevádzkovaná v profesionálnom dátovom centre na území Európskej únie. Dátové centrum spĺňa medzinárodné štandardy ako ISO 27001, ISO 27017, ISO 27018, prípadne ekvivalenty. Dátové centrá sú vybavené fyzickým zabezpečením: nepretržitý dohľad, kamerové systémy, kontrola vstupu, redundantné napájanie a klimatizácia, požiarny a proti-záplavové systémy.
2.2. Servery a služby: Servery sú pravidelne aktualizované, monitorované a záplatované. Systém beží v izolovaných prostrediach s kontrolou prístupov. Prístup k produkčným dátam je striktne obmedzený na autorizované osoby.
3. Ochrana dát
3.1. Šifrovanie: Všetka komunikácia medzi používateľom a službou je zabezpečená pomocou TLS/HTTPS. Citlivé dáta sú ukladané len v šifrovanej podobe (tam, kde je to technicky vhodné). Prístupové heslá sú ukladané pomocou hashovacích algoritmov (bcrypt/argon2).
3.2. Zálohovanie: Dáta sú zálohované denne. Zálohy sú uložené oddelene od produkčného prostredia. Retenčná doba záloh: 7 dní (možno predĺžiť u vyšších tarifov).
3.3. Dátová izolácia: Každý účet má striktne oddelený dátový priestor. Prístup iného používateľa k cudzím dátam nie je možný.
4. Prístup a riadenie oprávnení
4.1. Autentifikácia: Používame bezpečné postupy autentifikácie s ochranou proti brute-force útokom. Podpora viacfaktorovej autentifikácie (ak ju chceš neskôr, doplním to).
4.2. Oprávnenia používateľov: Systém podporuje role a prístupové práva podľa tarifu. Používatelia majú prístup len k dokumentom, ku ktorým majú oprávnenie.
4.3. Administrátorský prístup: Administrátori majú prístup len k nevyhnutným častiam systému. Každý administrátorský zásah je logovaný.
5. Aplikácia a softvérová bezpečnosť
5.1. Vývojové štandardy: Aplikácia je vyvíjaná podľa odporúčaní OWASP Top 10. Prebiehajú pravidelné interné kontroly kódu. Nasadenie prebieha cez kontrolovaný build pipeline.
5.2. Ochrana proti útokom: Ochrana proti útokom typu: SQL Injection, XSS (Cross-site scripting), CSRF (Cross-Site Request Forgery), Session hijacking, útokom hrubou silou.
5.3. Monitorovanie a alerty: Systém disponuje monitorovaním výkonu, dostupnosti a prístupov. Pri podozrení na incident je okamžite spustený interný bezpečnostný postup.
6. Bezpečnostné incidenty
6.1. Detekcia a reakcia: Poskytovateľ aktívne monitoruje správy o porušení zabezpečenia. V prípade incidentu: okamžitá izolácia postihnutej časti systému, analýza príčiny, minimalizácia dopadov, obnova zabezpečených záloh (ak je to potrebné).
6.2. Oznámenie Správcovi: Ak ide o incident týkajúci sa osobných údajov, Poskytovateľ oznámi Správcovi: typ incidentu, rozsah dotknutých údajov, prijaté opatrenia, odporúčania pre Správcu.
7. Zodpovednosť používateľa
Aby bola bezpečnosť plne zabezpečená, používateľ sa zaväzuje: chrániť svoje prístupové údaje, používať silné heslá, nepristupovať ku službe z nezabezpečených zariadení, okamžite informovať o podozrení na narušenie účtu.
8. Testovanie a audit
Poskytovateľ priebežne vyhodnocuje bezpečnostné opatrenia. Zákazník môže požiadať o informácie o bezpečnostných procesoch v rozsahu primeranom typu služby. Penetračné testy sú vykonávané podľa interných plánov (ak ich chceš mať ako službu, doplním).
9. Zmeny bezpečnostnej politiky
Bezpečnostná politika môže byť aktualizovaná podľa vývoja technológie a hrozieb. Aktuálna verzia je vždy k dispozícii na Dokumentárna.cz.
10. Účinnosť
Táto Bezpečnostná politika nadobúda účinnosť dňom 16.11.2025.