Bezpečnostní zásady
Poslední aktualizace: 5. listopadu 2025
Společnost sguazuncoa se zavazuje chránit bezpečnost svých systémů, dat a uživatelů. Tento dokument popisuje bezpečnostní opatření, postupy a odpovědnosti platné pro všechny služby provozované prostřednictvím platformy sguazuncoa.media.
1. Rozsah platnosti
Tyto bezpečnostní zásady se vztahují na:
- všechny digitální služby a aplikace provozované společností sguazuncoa,
- veškerá data zpracovávaná nebo ukládaná v rámci platformy,
- zaměstnance, smluvní partnery a třetí strany s přístupem k systémům společnosti,
- uživatele využívající služby sledování výdajů a reportingu.
2. Ochrana dat
2.1 Šifrování dat
Veškerá data jsou šifrována při přenosu pomocí protokolu TLS 1.2 nebo vyššího. Data uložená v systémech jsou šifrována pomocí standardních šifrovacích algoritmů. Šifrovací klíče jsou pravidelně obnovovány a ukládány odděleně od šifrovaných dat.
2.2 Uchovávání dat
Data jsou uchovávána pouze po dobu nezbytnou k plnění účelu, pro který byla shromážděna. Po uplynutí doby uchování jsou data bezpečně smazána postupy zabraňujícími jejich obnovení. Zálohy jsou vytvářeny pravidelně a jsou rovněž předmětem šifrování a přístupu řízeného oprávněními.
2.3 Klasifikace dat
Data jsou klasifikována do následujících kategorií:
- Veřejná data — informace určené ke zveřejnění bez omezení,
- Interní data — data určená pouze pro interní použití v rámci organizace,
- Důvěrná data — citlivé obchodní nebo osobní informace s omezeným přístupem,
- Přísně důvěrná data — data nejvyšší citlivosti vyžadující nejpřísnější ochranu.
3. Řízení přístupu
3.1 Autentizace
Přístup k systémům vyžaduje ověření identity. Jsou uplatňována následující opatření:
- povinná silná hesla splňující minimální požadavky na délku a složitost,
- podpora vícefaktorové autentizace pro všechny uživatelské účty,
- automatické uzamčení účtu po opakovaných neúspěšných pokusech o přihlášení,
- pravidelné vypršení platnosti hesel a výzvy k jejich obnově.
3.2 Oprávnění a role
Přístup k datům a funkcím systému je řízen na základě principu nejmenšího nezbytného oprávnění. Uživatelům jsou přidělena pouze taková oprávnění, která jsou nezbytná pro výkon jejich pracovních funkcí. Přístupová práva jsou pravidelně přezkoumávána a aktualizována při změně rolí nebo ukončení spolupráce.
3.3 Přístup třetích stran
Přístup externích partnerů a dodavatelů k systémům je řízen smluvními závazky a technickými omezeními. Třetí strany jsou oprávněny přistupovat výhradně k datům a funkcím nezbytným pro plnění smluvních povinností. Veškerý přístup třetích stran je protokolován a auditován.
4. Bezpečnost infrastruktury
4.1 Síťová bezpečnost
Infrastruktura je chráněna vrstvami síťových bezpečnostních opatření zahrnujících:
- firewally a systémy pro detekci a prevenci průniků,
- segmentaci sítě k omezení šíření případných bezpečnostních incidentů,
- pravidelné skenování zranitelností a penetrační testování,
- monitorování síťového provozu v reálném čase.
4.2 Zabezpečení aplikací
Vývoj softwaru probíhá v souladu s bezpečnými vývojovými postupy. Kód je před nasazením podroben bezpečnostní kontrole. Závislosti a knihovny třetích stran jsou pravidelně aktualizovány za účelem odstranění známých zranitelností. Jsou prováděny pravidelné bezpečnostní audity aplikací.
4.3 Fyzická bezpečnost
Serverová infrastruktura je umístěna v datových centrech s fyzickými bezpečnostními opatřeními zahrnujícími kontrolu přístupu, kamerové systémy a nepřetržitý dohled. Fyzický přístup k infrastruktuře je omezen na oprávněný personál.
5. Reakce na bezpečnostní incidenty
5.1 Detekce a hlášení
Bezpečnostní incidenty jsou detekovány prostřednictvím automatizovaných monitorovacích systémů a hlášení od uživatelů. Každý uživatel nebo zaměstnanec, který zaznamená podezřelou aktivitu nebo bezpečnostní incident, je povinen jej neprodleně nahlásit prostřednictvím e-mailu [email protected].
5.2 Postup při incidentu
V případě bezpečnostního incidentu jsou přijímána následující opatření:
- Identifikace — potvrzení a klasifikace incidentu podle závažnosti,
- Izolace — omezení dopadu a zabránění dalšímu šíření,
- Vyšetřování — analýza příčin a rozsahu incidentu,
- Náprava — odstranění příčin a obnovení normálního provozu,
- Dokumentace — zaznamenání průběhu incidentu a přijatých opatření,
- Přezkoumání — analýza po incidentu a implementace preventivních opatření.
5.3 Oznámení dotčeným stranám
V případě incidentu, který může mít dopad na data uživatelů, jsou dotčení uživatelé informováni bez zbytečného odkladu. Oznámení obsahuje popis incidentu, dotčená data a doporučená opatření pro ochranu uživatelů.
6. Správa zranitelností
Systémy jsou pravidelně kontrolovány za účelem identifikace bezpečnostních zranitelností. Identifikované zranitelnosti jsou klasifikovány podle závažnosti a odstraňovány v souladu s následujícími lhůtami:
- Kritické zranitelnosti — odstranění do 24 hodin od identifikace,
- Vysoká závažnost — odstranění do 7 dnů,
- Střední závažnost — odstranění do 30 dnů,
- Nízká závažnost — odstranění v rámci plánovaného cyklu aktualizací.
7. Bezpečnostní školení
Všichni zaměstnanci a smluvní partneři s přístupem k systémům absolvují pravidelná bezpečnostní školení. Školení zahrnuje problematiku phishingu, správy hesel, bezpečného nakládání s daty a postupů při hlášení incidentů. Znalosti jsou ověřovány pravidelným testováním.
8. Zálohování a obnova
Data jsou zálohována v pravidelných intervalech. Zálohy jsou ukládány na geograficky oddělených lokalitách. Postupy obnovy ze zálohy jsou pravidelně testovány za účelem ověření jejich funkčnosti. Plán obnovy po havárii je pravidelně přezkoumáván a aktualizován.
9. Dodržování předpisů a audity
Bezpečnostní postupy jsou pravidelně přezkoumávány interními i externími auditory. Výsledky auditů jsou dokumentovány a slouží jako podklad pro průběžné zlepšování bezpečnostní praxe. Bezpečnostní zásady jsou aktualizovány v reakci na změny technologického prostředí, zjištění z auditů a nové bezpečnostní hrozby.
10. Odpovědnost uživatelů
Uživatelé služeb sguazuncoa jsou povinni:
- chránit přihlašovací údaje a nesdílet je s neoprávněnými osobami,
- používat aktuální a zabezpečená zařízení pro přístup ke službám,
- neprodleně hlásit podezřelé aktivity nebo ztrátu přístupu k účtu,
- dodržovat bezpečnostní pokyny sdělované prostřednictvím platformy.
11. Kontakt v bezpečnostních záležitostech
Veškeré dotazy, podněty nebo hlášení týkající se bezpečnosti zasílejte na adresu:
- E-mail: [email protected]
- Telefon: +420 476 703 180
- Adresa: Prokopova 166/26, 301 00 Plzeň 3, Česká republika
12. Změny bezpečnostních zásad
Tyto bezpečnostní zásady mohou být průběžně aktualizovány. O podstatných změnách budou uživatelé informováni prostřednictvím platformy nebo e-mailem. Pokračování v užívání služeb po zveřejnění aktualizovaných zásad představuje souhlas s jejich zněním. Doporučujeme pravidelně kontrolovat aktuální verzi tohoto dokumentu.