sguazuncoa logo

sguazuncoa

sledování výdajů a reporting

Bezpečnostní zásady

Poslední aktualizace: 5. listopadu 2025

Společnost sguazuncoa se zavazuje chránit bezpečnost svých systémů, dat a uživatelů. Tento dokument popisuje bezpečnostní opatření, postupy a odpovědnosti platné pro všechny služby provozované prostřednictvím platformy sguazuncoa.media.

1. Rozsah platnosti

Tyto bezpečnostní zásady se vztahují na:

  • všechny digitální služby a aplikace provozované společností sguazuncoa,
  • veškerá data zpracovávaná nebo ukládaná v rámci platformy,
  • zaměstnance, smluvní partnery a třetí strany s přístupem k systémům společnosti,
  • uživatele využívající služby sledování výdajů a reportingu.

2. Ochrana dat

2.1 Šifrování dat

Veškerá data jsou šifrována při přenosu pomocí protokolu TLS 1.2 nebo vyššího. Data uložená v systémech jsou šifrována pomocí standardních šifrovacích algoritmů. Šifrovací klíče jsou pravidelně obnovovány a ukládány odděleně od šifrovaných dat.

2.2 Uchovávání dat

Data jsou uchovávána pouze po dobu nezbytnou k plnění účelu, pro který byla shromážděna. Po uplynutí doby uchování jsou data bezpečně smazána postupy zabraňujícími jejich obnovení. Zálohy jsou vytvářeny pravidelně a jsou rovněž předmětem šifrování a přístupu řízeného oprávněními.

2.3 Klasifikace dat

Data jsou klasifikována do následujících kategorií:

  • Veřejná data — informace určené ke zveřejnění bez omezení,
  • Interní data — data určená pouze pro interní použití v rámci organizace,
  • Důvěrná data — citlivé obchodní nebo osobní informace s omezeným přístupem,
  • Přísně důvěrná data — data nejvyšší citlivosti vyžadující nejpřísnější ochranu.

3. Řízení přístupu

3.1 Autentizace

Přístup k systémům vyžaduje ověření identity. Jsou uplatňována následující opatření:

  • povinná silná hesla splňující minimální požadavky na délku a složitost,
  • podpora vícefaktorové autentizace pro všechny uživatelské účty,
  • automatické uzamčení účtu po opakovaných neúspěšných pokusech o přihlášení,
  • pravidelné vypršení platnosti hesel a výzvy k jejich obnově.

3.2 Oprávnění a role

Přístup k datům a funkcím systému je řízen na základě principu nejmenšího nezbytného oprávnění. Uživatelům jsou přidělena pouze taková oprávnění, která jsou nezbytná pro výkon jejich pracovních funkcí. Přístupová práva jsou pravidelně přezkoumávána a aktualizována při změně rolí nebo ukončení spolupráce.

3.3 Přístup třetích stran

Přístup externích partnerů a dodavatelů k systémům je řízen smluvními závazky a technickými omezeními. Třetí strany jsou oprávněny přistupovat výhradně k datům a funkcím nezbytným pro plnění smluvních povinností. Veškerý přístup třetích stran je protokolován a auditován.

4. Bezpečnost infrastruktury

4.1 Síťová bezpečnost

Infrastruktura je chráněna vrstvami síťových bezpečnostních opatření zahrnujících:

  • firewally a systémy pro detekci a prevenci průniků,
  • segmentaci sítě k omezení šíření případných bezpečnostních incidentů,
  • pravidelné skenování zranitelností a penetrační testování,
  • monitorování síťového provozu v reálném čase.

4.2 Zabezpečení aplikací

Vývoj softwaru probíhá v souladu s bezpečnými vývojovými postupy. Kód je před nasazením podroben bezpečnostní kontrole. Závislosti a knihovny třetích stran jsou pravidelně aktualizovány za účelem odstranění známých zranitelností. Jsou prováděny pravidelné bezpečnostní audity aplikací.

4.3 Fyzická bezpečnost

Serverová infrastruktura je umístěna v datových centrech s fyzickými bezpečnostními opatřeními zahrnujícími kontrolu přístupu, kamerové systémy a nepřetržitý dohled. Fyzický přístup k infrastruktuře je omezen na oprávněný personál.

5. Reakce na bezpečnostní incidenty

5.1 Detekce a hlášení

Bezpečnostní incidenty jsou detekovány prostřednictvím automatizovaných monitorovacích systémů a hlášení od uživatelů. Každý uživatel nebo zaměstnanec, který zaznamená podezřelou aktivitu nebo bezpečnostní incident, je povinen jej neprodleně nahlásit prostřednictvím e-mailu [email protected].

5.2 Postup při incidentu

V případě bezpečnostního incidentu jsou přijímána následující opatření:

  1. Identifikace — potvrzení a klasifikace incidentu podle závažnosti,
  2. Izolace — omezení dopadu a zabránění dalšímu šíření,
  3. Vyšetřování — analýza příčin a rozsahu incidentu,
  4. Náprava — odstranění příčin a obnovení normálního provozu,
  5. Dokumentace — zaznamenání průběhu incidentu a přijatých opatření,
  6. Přezkoumání — analýza po incidentu a implementace preventivních opatření.

5.3 Oznámení dotčeným stranám

V případě incidentu, který může mít dopad na data uživatelů, jsou dotčení uživatelé informováni bez zbytečného odkladu. Oznámení obsahuje popis incidentu, dotčená data a doporučená opatření pro ochranu uživatelů.

6. Správa zranitelností

Systémy jsou pravidelně kontrolovány za účelem identifikace bezpečnostních zranitelností. Identifikované zranitelnosti jsou klasifikovány podle závažnosti a odstraňovány v souladu s následujícími lhůtami:

  • Kritické zranitelnosti — odstranění do 24 hodin od identifikace,
  • Vysoká závažnost — odstranění do 7 dnů,
  • Střední závažnost — odstranění do 30 dnů,
  • Nízká závažnost — odstranění v rámci plánovaného cyklu aktualizací.

7. Bezpečnostní školení

Všichni zaměstnanci a smluvní partneři s přístupem k systémům absolvují pravidelná bezpečnostní školení. Školení zahrnuje problematiku phishingu, správy hesel, bezpečného nakládání s daty a postupů při hlášení incidentů. Znalosti jsou ověřovány pravidelným testováním.

8. Zálohování a obnova

Data jsou zálohována v pravidelných intervalech. Zálohy jsou ukládány na geograficky oddělených lokalitách. Postupy obnovy ze zálohy jsou pravidelně testovány za účelem ověření jejich funkčnosti. Plán obnovy po havárii je pravidelně přezkoumáván a aktualizován.

9. Dodržování předpisů a audity

Bezpečnostní postupy jsou pravidelně přezkoumávány interními i externími auditory. Výsledky auditů jsou dokumentovány a slouží jako podklad pro průběžné zlepšování bezpečnostní praxe. Bezpečnostní zásady jsou aktualizovány v reakci na změny technologického prostředí, zjištění z auditů a nové bezpečnostní hrozby.

10. Odpovědnost uživatelů

Uživatelé služeb sguazuncoa jsou povinni:

  • chránit přihlašovací údaje a nesdílet je s neoprávněnými osobami,
  • používat aktuální a zabezpečená zařízení pro přístup ke službám,
  • neprodleně hlásit podezřelé aktivity nebo ztrátu přístupu k účtu,
  • dodržovat bezpečnostní pokyny sdělované prostřednictvím platformy.

11. Kontakt v bezpečnostních záležitostech

Veškeré dotazy, podněty nebo hlášení týkající se bezpečnosti zasílejte na adresu:

12. Změny bezpečnostních zásad

Tyto bezpečnostní zásady mohou být průběžně aktualizovány. O podstatných změnách budou uživatelé informováni prostřednictvím platformy nebo e-mailem. Pokračování v užívání služeb po zveřejnění aktualizovaných zásad představuje souhlas s jejich zněním. Doporučujeme pravidelně kontrolovat aktuální verzi tohoto dokumentu.