Řízení přístupu
Nabízíte nebo podporujete funkce SAML/SSO pro ověřování?
- Poskytujeme SSO pouze pro Google Workspace a Microsoft Active Directory.
Jaké typy vícefaktorového ověřování jsou podporovány?
-
Podporujeme vícefaktorové ověřování (MFA). Pokud tuto možnost aktivují správci účtu, uživatelé během přihlašování ověřují svou totožnost zadáním kódu zaslaného prostřednictvím SMS.
Jak jsou data nebo procesy zákazníků chráněny před neoprávněným přístupem?
- Data zákazníků jsou uložena na šifrovaných serverech, kam není možný přístup z vnějšího světa. Používáme VPC (Virtual Private Cloud), kde k nim mají přístup pouze části aplikace, které jsou ve stejné síti (VPC).
Jaká opatření máte zavedena, abyste zabránili neoprávněnému prohlížení informací?
- Pro účely ověřování a autorizace používáme tokeny JWT (s expirací 1 minuta). Používáme RBAC (Role Based Access Control), abychom mohli zákazníkům poskytnout granularitu oprávnění.
Kdo ve vaší společnosti může vidět údaje zákazníků?
- Pouze administrátoři zákaznické podpory na základě přímé a osobní žádosti udělené zákazníkem.
Používáte model serveru s více tenanty?
- Ano
Jaká opatření máte k izolaci jednotlivých systémů a dat tenantů?
- Vše je namapováno na entitu nazvanou "Company" (Společnost) a každý údaj je s ní spojen prostřednictvím cizích klíčů.
Ochrana dat
Jak vypadá váš protokol zabezpečení dat? (Protokoly o zabezpečení dat, definované jako "software a pravidla chování, která určují, jak zaměstnanci nakládají s daty a jak k nim přistupují", poskytují jasné pokyny, které ukazují přístup organizace k zabezpečení dat. Může jít například o certifikáty SSL, virtuální privátní sítě (VPN), vícefaktorové ověřování (MFA) a další.)
- Údaje zákazníků jsou uloženy na šifrovaných serverech, kam není možný přístup z vnějšího světa. Používáme VPC (Virtual Private Cloud), kde k nim mají přístup pouze ty části aplikace, které jsou ve stejné síti (VPC).
- Pro všechny součásti naší aplikace používáme připojení SSL.
Je vaše platforma externě auditována?
- Ano, ISO 27001 (06/ 2023)
Spolupracujete při poskytování řešení SaaS s dalšími třetími stranami? Pokud ano (a pokud mají přístup k vašim datům), jak vypadají jejich bezpečnostní protokoly?
- Amazon - Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg, poskytovatel služeb cloudové infrastruktury. Datová centra se nacházejí ve Frankfurtu nad Mohanem, Spolková republika Německo.
- HubSpot Ireland Ltd, Ground Floor, Two Dockland Central, Guild Street, Dublin 1, Co. Dublin, Irsko(DIČ: IE9849471F), služba Hubspot pro zasílání hromadných zpráv a oznámení (https://legal.hubspot.com/privacy-policy).
- Zendesk Inc. 989 Market Street, San Francisco, California, 94103, Spojené státy americké, služba pro zasílání hromadných zpráv, oznámení a zákaznickou podporu (https://www.zendesk.com/company/agreements-and-terms/privacy-notice/).
- Smartlook.com, s.r.o. Šumavská 524/31, Brno, CZ 60200, Czech Republic, Reg. no.: 09508830, VAT ID: CZ09508830, Smartlook pro analýzu chování uživatelů v aplikaci. (https://help.smartlook.com/en/articles/3244452-privacy-policy)
- Stripe Technology Europe, Ltd., 25/28 North Wall Quay, Dublin 1, D01H104, IČ: 0599050 Služba Stripe pro služby platební brány. (https://stripe.com/en-cz/privacy)
- Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irsko (Registrační číslo: 368047 / DIČ: IE6388047V) - statistické služby Google Analytics a Google Tag Manager. (https://policies.google.com/privacy/partners?hl=en).
- Sentry (Functional Software, Inc.), 45 Fremont Street, 8th Floor, San Francisco, CA 94105, služba pro analýzu dat (https://sentry.io/privacy/).
- OpenAI Ireland Limited, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Ireland, služba pro chytrou analýzu dat (https://openai.com/policies/privacy-policy/).
Ukládáte na svém serveru informace o kreditních kartách?
- Informace o kreditních kartách na našem serveru neukládáme. Jako zpracovatele plateb používáme společnost Stripe.
Co se stane v případě poškození dat?
- Automaticky je obnovíme z denní zálohy (denní záloha má izolované úložiště mimo samotnou aplikaci).
Kdo vlastní tato data, pokud vás přestaneme používat jako prodejce?
- Data vlastní zákazník.
Jaké úkony provádíte pro zničení dat poté, co je zákazník uvolní?
- Trvale je odstraníme.
Kdy jste naposledy provedli pentest třetí strany?
- Každý měsíc do 1. dne.
Obnova po havárii
Jaké jsou vaše plány obnovy po havárii?
- Máme automatizovaný plán obnovy v souladu s: https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-for-disaster-recovery-dr.html
Provádíte rutinní testy zotavení po havárii?
- Ne
.Jak často se provádějí dodatečné zálohy?
- Každých 24 hodin.
Kolik kopií dat uchováváte a kde jsou uloženy?
- Pro zálohování používáme webové služby Amazon. Zálohy replikují tak, aby bylo možné dosáhnout 100% míry obnovy (https://aws.amazon.com/rds/?p=ft&c=db&z=3)
Jak daleko zpět sahají záložní kopie?
- 1 měsíc.
Došlo u vás někdy k narušení bezpečnosti?
- Ne
Jak často a jakým způsobem testujete infrastrukturu zálohování a obnovy?
- Jednou za půl roku.
Jaké jsou vaše metody zálohování našich dat? Jaké jsou nabídky pro zálohování dat?
- Opakovaně denně zálohujeme všechna data z našich databází a úložišť. Používáme k tomu automatizované zálohování z webu: https://aws.amazon.com/rds/?p=ft&c=db&z=3
Reakce na incidenty
Máte plán reakce na incident?
- Máme automatizovaný plán obnovy v souladu s: https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/plan-for-disaster-recovery-dr.html
Zapojujete zákazníky do procesu reakce na incidenty?
- Ano
Poskytujete zprávy o pokusech nebo úspěšných narušeních systémů, dopadech a přijatých opatřeních?
- Pokud o to zákazník požádá
Které úkoly a incidenty zůstávají v odpovědnosti zákazníka?
- Pokud incident ztráty dat způsobil sám zákazník, je to jeho odpovědnost. Celá aplikace je pokryta Audit-Loginem, který uchovává podrobnosti, jako např:
- IP adresa vykonavatele (osoby, která provádí akci).
- Název akce
- Jedinečný identifikátor přihlášené osoby (e-mail)
- Časové razítko akce
- Která verze aplikace byla nasazena v době provedení akce
- Která data byla změněna a případně i rozdíl, co bylo na co změněno
Fyzická bezpečnost
Jak hodnotíte, jak vaši zaměstnanci rozumí fyzické bezpečnosti?
- Nemáme fyzické servery.
Kde se nachází vaše datové centrum a jaká jsou zavedena fyzická bezpečnostní opatření?
- Využíváme datová centra umístěná ve Frankfurtu, která poskytuje společnost Amazon Web Services. Nemáme k nim přístup.
V jakých zemích jsou ukládána data - jak ve vaší infrastruktuře, tak při zálohování?
- Datová centra ve Frankfurtu poskytovaná společností Amazon Web Services.
Dodržování předpisů
Dodržujete nebo plánujete dodržovat předpisy o ochraně osobních údajů (např. Privacy Shield, GDPR)?
ANO, plně vyhovujeme.
GDPR
Jak shromažďujete osobní údaje?
Subjektem, který shromažďuje osobní údaje, je zákazník (společnost), který shromažďuje a zpracovává osobní údaje svých zaměstnanců.
Proč shromažďujete osobní údaje?
Osobní údaje, které shromažďují výše uvedené subjekty, jsou shromažďovány výhradně za účelem vedení personální agendy zadavatele (společnosti).
K čemu osobní údaje používáte?
Shromážděné osobní údaje umožňují zaměstnavatelům plánovat dovolené, rozvrhovat směny, distribuovat interní dokumenty a zpracovávat další interní agendy.
Jak dlouho budete osobní údaje uchovávat?
Vzhledem k tomu, že vlastníkem údajů je zaměstnavatel, budou údaje uchovávány v úložišti aplikace tak dlouho, dokud si je zákazník ponechá. V případě, že zákazník přestane aplikaci používat, budou všechny údaje vymazány do 1 měsíce po vypršení platnosti komerční licence.
Mám nějaká práva?
Všem uživatelům, jejichž osobní údaje jsou shromažďovány, jsou zaručena všechna práva vycházející z nařízení GDPR, konkrétně právo na sledování, aktualizaci a zapomenutí.
Podmínky užití a GDPR k náhledu zde.
0 komentářů
Prosím přihlaste se, abyste mohli napsat komentář.