Zabezpečení

Náš závazek

Bezpečnost bereme jako nedílnou součást produktu i provozu. Kombinujeme technická, organizační a procesní opatření s cílem chránit dostupnost, integritu a důvěrnost vašich dat.

Infrastruktura a síť

• Segmentace sítě a vrstvená obrana (firewally, security groups, WAF).
• Oddělená prostředí (dev/test/stage/prod) a minimální sdílení prostředků.
• Automatické bezpečnostní záplaty a řízený change management.
• High‑availability architektura a automatické škálování pro odolnost.
• Fyzická bezpečnost je zajištěna poskytovatelem cloudu; data jsou uložena v EU/EHP, pokud není uvedeno jinak.

Ochrana dat a šifrování

• Šifrování dat v klidu (např. AES‑256) a v přenosu (TLS 1.2+ s PFS, HSTS).
• Hashování hesel pomocí moderních algoritmů (např. Argon2/bcrypt) se solí.
• Řízení šifrovacích klíčů (KMS), rotace a omezení přístupu ke klíčům.
• Auditní logy pro citlivé operace s řízenou retencí a ochranou proti manipulaci.

Aplikační bezpečnost (SDL)

• Bezpečný vývojový cyklus: code review, povinné testy, bezpečnostní checklisty.
• Automatizované skenování závislostí (SCA), statická a dynamická analýza (SAST/DAST).
• Detekce tajemství v repozitáři a prevence jejich úniku.
• Bezpečnostní hlavičky (CSP, HSTS), ochrana proti CSRF/XSS/SSRF, rate‑limiting.

Identita a řízení přístupu

• Princip nejmenších oprávnění, role‑based access a pravidelné revize přístupů.
• Multifaktorové ověřování (MFA) pro administrativní i citlivé přístupy.
• Oddělené účty pro administrativní činnosti a session management s krátkou platností tokenů.
• Bezpečná správa tajemství (secrets management) a žádná tajemství v kódu.

Monitoring, detekce a reakce

• Proaktivní monitoring dostupnosti, výkonu a bezpečnostních událostí, alerting 24/7.
• Centralizované logování, korelace událostí a retenční politika pro forenzní účely.
• Definované playbooky a pravidelné cvičné scénáře incident response.

Zálohy, obnova a kontinuita

• Pravidelné šifrované zálohy s testy obnovy.
• Definované cíle RPO/RTO a dokumentovaný plán kontinuity provozu.
• Ochrana proti ransomware (immutability, separace záloh).

Dodavatelé a testování

• Posouzení rizik třetích stran, smluvní závazky (včetně DPA) a minimální potřebné přístupy.
• Pravidelné penetrační testy a sledování zranitelností s řízením oprav.
• Opatření vycházející z osvědčených rámců (např. OWASP ASVS). Nečiníme nárok na certifikaci, pokud není výslovně uvedeno.

Oznamování incidentů a zranitelností

Pokud zjistíte bezpečnostní problém, prosíme o odpovědné oznámení na security@autosell.cz s popisem dopadu a kroky reprodukce. Nediskriminujeme v dobré víře provedené výzkumy („safe harbor“). Bounty program zatím nemáme.

V případě porušení zabezpečení dat postupujeme dle relevantních předpisů (např. oznámení dozorovým orgánům a subjektům údajů v přiměřené lhůtě).