Bezpečnost
Poslední aktualizace: 21. února 2026
Bezpečnost vašich dat je naší prioritou. Veškerá infrastruktura běží v Evropské unii a přijímáme řadu technických a organizačních opatření k ochraně vašich faktur, bankovních výpisů a osobních údajů.
1. Přehled infrastruktury
Veškerá infrastruktura je provozována v datových centrech v Evropské unii, převážně ve Frankfurtu (Německo).
| Služba | Poskytovatel | Region |
|---|---|---|
| Hosting a CDN | Vercel | EU (Frankfurt) |
| Databáze | MongoDB Atlas | EU (Frankfurt) |
| AI zpracování | Google Cloud | EU |
| E-maily | AWS SES | EU (Frankfurt) |
| Platby | Stripe | EU |
| Analytika | PostHog | EU |
| Sledování chyb | Sentry | EU |
| Ukládání souborů | AWS S3 | EU (Frankfurt) |
2. Šifrování
- Přenos dat (in transit): Veškerá komunikace je šifrována pomocí TLS/HTTPS.
- Uložená data (at rest): MongoDB Atlas využívá AES-256 šifrování pro všechna uložená data.
- Presigned URL: Přístup k souborům je zajištěn prostřednictvím časově omezených presigned URL, které eliminují přímý přístup k úložišti.
3. Ověřování a přístup
- Google OAuth: Delegované ověření identity prostřednictvím Google — neukládáme žádná hesla.
- E-mailový přihlašovací odkaz (magic link): Jednorázový, časově omezený odkaz (platnost 5 minut) zaslaný na e-mail uživatele. Ani v tomto případě neukládáme žádná hesla.
- Session management: Časově omezené session tokeny s pravidelnou obnovou. Cookies jsou nastaveny s příznaky httpOnly a Secure.
- Izolace dat: Každý uživatel má přístup pouze ke svým vlastním datům. Přístupy jsou vynucovány na úrovni databázových dotazů.
4. Ukládání souborů
- Soubory jsou ukládány v AWS S3 v EU (Frankfurt).
- Přístup k souborům je zajištěn prostřednictvím časově omezených presigned URL, nikdy nedochází k přímému přístupu k úložišti.
- Integrita souborů je ověřována pomocí kryptografických hashů.
5. AI zpracování
- Využíváme Google Cloud AI pro zpracování dokumentů.
- Data se nepoužívají k trénování modelů, využíváme placenou verzi služby.
- Google neuchovává data po dokončení požadavku.
- Zpracování probíhá v EU regionu.
6. Auditní záznamy
Zaznamenáváme následující události:
- Nahrání a zpracování dokumentů
- Export do ISDOC/GPC
- Smazání dokumentů
- Přihlášení a odhlášení
Každý záznam obsahuje metadata:
- IP adresa a user-agent
- Přibližná geolokace (odvozená z IP)
- Časová značka (timestamp)
- Doba trvání operace
7. Certifikace poskytovatelů
Naši poskytovatelé infrastruktury disponují nezávisle auditovanými bezpečnostními certifikacemi. Vaše data jsou tak chráněna na úrovni odpovídající nejvyšším průmyslovým standardům.
| Poskytovatel | Certifikace |
|---|---|
| Amazon Web Services (S3, SES) | SOC 1, 2, 3, ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1 |
| Google Cloud | SOC 1, 2, 3, ISO 27001, ISO 27017, ISO 27018 |
| MongoDB Atlas | SOC 2 Type II, ISO 27001, PCI DSS Level 1, HIPAA |
| Vercel | SOC 2 Type II, ISO 27001 |
| Stripe | PCI DSS Level 1, SOC 1, 2, ISO 27001 |
| Sentry | SOC 2 Type II, ISO 27001 |
8. Reakce na bezpečnostní incidenty
Disponujeme definovaným postupem pro řešení bezpečnostních incidentů, který zahrnuje následující fáze:
- Detekce: Nepřetržitý monitoring infrastruktury a automatická upozornění na anomálie prostřednictvím služby Sentry a logů aplikace.
- Izolace: Okamžité omezení přístupu k dotčeným systémům a zabránění dalšímu šíření incidentu.
- Náprava: Identifikace a odstranění příčiny incidentu, obnovení normálního provozu a ověření integrity dat.
- Oznámení: Informování dotčených uživatelů do 72 hodin od zjištění incidentu a oznámení příslušnému dozorovému úřadu (ÚOOÚ) v souladu s čl. 33 a 34 GDPR.
Po vyřešení incidentu provedeme analýzu příčin a přijmeme opatření k zamezení opakování.
9. Hlášení zranitelností
Vážíme si odpovědného přístupu bezpečnostní komunity. Pokud objevíte bezpečnostní zranitelnost v naší Službě, prosíme o její nahlášení na adresu info@ctenifaktur.cz.
- Zranitelnost nahlaste přímo nám dříve, než ji zveřejníte (responsible disclosure).
- Uveďte dostatečný popis zranitelnosti a kroky k jejímu reprodukování.
- Neprovádějte destruktivní testování, které by mohlo narušit dostupnost Služby nebo poškodit data ostatních uživatelů.
- Nepřistupujte k datům jiných uživatelů a nemodifikujte je.
Na každé hlášení odpovíme do 5 pracovních dnů a budeme vás informovat o průběhu řešení.
10. Bezpečnost poskytovatelů
Naši poskytovatelé infrastruktury splňují nejvyšší bezpečnostní standardy. Další informace naleznete na jejich bezpečnostních stránkách: