Zásady kybernetické bezpečnosti
Poslední aktualizace: 10. července 2025
Společnost advisora se zavazuje chránit bezpečnost a integritu vašich dat prostřednictvím komplexního přístupu ke kybernetické bezpečnosti. Tento dokument popisuje naše bezpečnostní postupy, protokoly a opatření.
1. Účel a rozsah
Tyto zásady kybernetické bezpečnosti stanovují rámec pro ochranu informačních systémů, dat a digitálních aktiv společnosti advisora a jejich uživatelů. Vztahují se na všechny služby, platformy a systémy provozované společností advisora.
2. Bezpečnost infrastruktury
2.1 Síťová bezpečnost
Naše síťová infrastruktura je chráněna pomocí:
Firewally a detekční systémy: Vícevrstvé firewally monitorují a filtrují síťový provoz. Systémy detekce a prevence vniknutí aktivně skenují hrozby v reálném čase.
Segmentace sítě: Kritické systémy jsou izolovány v bezpečných síťových zónách s řízeným přístupem mezi segmenty.
Šifrování přenosu: Veškerá komunikace mezi klienty a servery je šifrována pomocí protokolu TLS 1.3 nebo vyšší verze s moderními šifrovacími algoritmy.
2.2 Bezpečnost serverů a aplikací
Naše serverová infrastruktura zahrnuje:
Pravidelné aktualizace: Operační systémy, aplikace a závislosti jsou pravidelně aktualizovány bezpečnostními záplatami.
Konfigurace podle osvědčených postupů: Servery jsou konfigurovány podle bezpečnostních standardů s minimalizací nepotřebných služeb a portů.
Kontejnerizace a izolace: Aplikace běží v izolovaných prostředích s omezeními oprávnění a přístupu k systémovým prostředkům.
3. Ochrana dat
3.1 Šifrování dat
Data v klidu: Citlivá data jsou šifrována v databázích a úložištích pomocí standardů AES-256 nebo ekvivalentních algoritmů.
Data při přenosu: Veškerá data přenášená přes veřejné sítě jsou šifrována pomocí moderních kryptografických protokolů.
Správa klíčů: Šifrovací klíče jsou spravovány prostřednictvím zabezpečených systémů správy klíčů s pravidelnou rotací.
3.2 Zálohování a obnova
Pravidelné zálohy: Automatické zálohy dat jsou prováděny v pravidelných intervalech s geograficky distribuovaným uložením.
Testování obnovení: Procedury obnovy dat jsou pravidelně testovány pro zajištění funkčnosti a integrity záloh.
Šifrování záloh: Všechny zálohy jsou šifrovány a ukládány na bezpečných místech s kontrolovaným přístupem.
4. Řízení přístupu a autentizace
4.1 Autentizace uživatelů
Vícefaktorová autentizace: Pro přístup k citlivým funkcím a administračním rozhraním vyžadujeme vícefaktorovou autentizaci.
Silná hesla: Vynucujeme požadavky na minimální složitost hesel včetně délky, kombinace znaků a pravidelné změny.
Ochrana účtů: Implementujeme mechanismy proti automatizovaným útokům včetně rate limitingu a detekcí neobvyklých přihlášení.
4.2 Řízení oprávnění
Princip minimálních oprávnění: Uživatelé a systémy získávají pouze minimální oprávnění nutná pro plnění jejich funkcí.
Řízení přístupu na základě rolí: Přístupová oprávnění jsou řízena prostřednictvím rolí s jasně definovanými pravomocemi.
Pravidelné revize: Přístupová práva jsou pravidelně kontrolována a aktualizována na základě změn odpovědností.
5. Monitorování a detekce hrozeb
5.1 Nepřetržité monitorování
Naše systémy zahrnují:
Centralizované protokolování: Bezpečnostní události ze všech systémů jsou centrálně shromažďovány a analyzovány.
Analýza v reálném čase: Automatizované nástroje nepřetržitě analyzují systémovou aktivitu pro identifikaci bezpečnostních anomálií.
Upozornění na incidenty: Kritické bezpečnostní události spouštějí okamžitá upozornění bezpečnostnímu týmu.
5.2 Detekce zranitelností
Pravidelné skenování: Automatizované nástroje pravidelně skenují systémy pro identifikaci známých zranitelností.
Penetrační testování: Nezávislé bezpečnostní posouzení je prováděno kvalifikovanými specialisty v pravidelných intervalech.
Správa zranitelností: Identifikované zranitelnosti jsou klasifikovány podle závažnosti a řešeny podle priorit.
6. Reakce na bezpečnostní incidenty
6.1 Plán reakce na incidenty
Máme zdokumentovaný plán reakce zahrnující:
Identifikace a klasifikace: Procedury pro rychlou identifikaci a vyhodnocení závažnosti bezpečnostních incidentů.
Omezení a eradikace: Kroky k izolaci postižených systémů a odstranění bezpečnostních hrozeb.
Obnova a lessons learned: Procedury návratu k normálnímu provozu a analýza pro prevenci podobných incidentů.
6.2 Komunikace incidentů
Interní hlášení: Jasné kanály pro hlášení bezpečnostních incidentů všemi zaměstnanci.
Oznámení uživatelům: V případě narušení dat ovlivňujícího uživatele komunikujeme transparentně o charakteru incidentu a přijatých opatřeních.
Spolupráce s autoritami: Pokud je to vyžadováno, spolupracujeme s příslušnými bezpečnostními a regulačními orgány.
7. Bezpečnost vývoje
7.1 Bezpečný životní cyklus vývoje
Bezpečnostní požadavky: Bezpečnostní aspekty jsou zahrnuty od počáteční fáze návrhu aplikací.
Code review: Všechen kód prochází bezpečnostním přezkoumáním před nasazením do produkce.
Automatizované testování: Bezpečnostní testy jsou integrovány do procesu kontinuálního vývoje a nasazení.
7.2 Správa závislostí
Sledování knihoven třetích stran: Všechny externí závislosti jsou monitorovány pro známé zranitelnosti.
Pravidelné aktualizace: Knihovny a frameworky jsou udržovány aktuální s bezpečnostními opravami.
Minimalizace závislostí: Používáme pouze nezbytné externí komponenty k redukci rizik.
8. Školení a osvěta
8.1 Školení zaměstnanců
Bezpečnostní školení: Všichni zaměstnanci absolvují pravidelná školení v oblasti kybernetické bezpečnosti.
Specifická školení: Zaměstnanci s přístupem k citlivým systémům absolvují pokročilá bezpečnostní školení.
Simulace útoků: Pravidelně provádíme simulované phishingové kampaně a jiná cvičení k udržení povědomí.
8.2 Informování uživatelů
Bezpečnostní doporučení: Poskytujeme uživatelům informace o osvědčených postupech pro ochranu jejich účtů.
Transparentní komunikace: Sdělujeme bezpečnostní aktualizace a doporučení prostřednictvím různých komunikačních kanálů.
9. Bezpečnost dodavatelů a partnerů
9.1 Posouzení dodavatelů
Bezpečnostní audit: Dodavatelé s přístupem k našim systémům nebo datům jsou posuzováni z hlediska bezpečnostních praktik.
Smluvní požadavky: Smlouvy s dodavateli zahrnují bezpečnostní povinnosti a standardy.
Pravidelné přezkoumávání: Bezpečnostní praktiky dodavatelů jsou pravidelně přezkoumávány.
9.2 Řízení přístupu třetích stran
Omezený přístup: Externí partneři mají přístup pouze k systémům a datům nezbytným pro jejich služby.
Monitorování aktivity: Přístup třetích stran je monitorován a protokolován.
Ukončení přístupu: Přístup je okamžitě odvolán při ukončení partnerství.
10. Fyzická bezpečnost
10.1 Zabezpečení datových center
Kontrola přístupu: Fyzický přístup k serverové infrastruktuře je striktně řízen pomocí biometrických a elektronických systémů.
Dohled: Datová centra jsou monitorována pomocí bezpečnostních kamer a systémů alarmů.
Environmentální ochrana: Protipožární systémy, záložní napájení a klimatizace zajišťují nepřetržitý provoz.
11. Kontinuita provozu
11.1 Plánování kontinuity
Redundance: Kritické systémy jsou redundantně nasazeny napříč geograficky distribuovanými lokalitami.
Plány obnovy: Zdokumentované procedury pro rychlou obnovu služeb v případě výpadku nebo katastrofy.
Pravidelné testování: Plány kontinuity provozu jsou pravidelně testovány a aktualizovány.
12. Soulad s předpisy
12.1 Dodržování standardů
Naše bezpečnostní praktiky jsou v souladu s uznávanými bezpečnostními standardy a osvědčenými postupy v odvětví.
12.2 Audit a certifikace
Interní audity: Pravidelné interní bezpečnostní audity pro ověření souladu s těmito zásadami.
Externí posouzení: Nezávislé bezpečnostní posouzení třetími stranami v pravidelných intervalech.
13. Hlášení bezpečnostních problémů
13.1 Zodpovědné zveřejnění
Vítáme zodpovědné hlášení bezpečnostních zranitelností. Pokud objevíte bezpečnostní problém:
Kontakt: Ohlaste problém na info@advisora.world s detailním popisem zranitelnosti.
Časový rámec: Zavazujeme se odpovědět na bezpečnostní hlášení do 72 hodin a řešit kritické problémy s nejvyšší prioritou.
Uznání: Oceňujeme příspěvky bezpečnostních výzkumníků a můžeme poskytnout veřejné uznání za zodpovědné odhalení.
14. Aktualizace zásad
Tyto zásady kybernetické bezpečnosti jsou pravidelně přezkoumávány a aktualizovány tak, aby odrážely vyvíjející se bezpečnostní hrozby, technologické změny a osvědčené postupy. Významné změny budou komunikovány uživatelům prostřednictvím našich komunikačních kanálů.
15. Kontaktní informace
Pro dotazy týkající se našich zásad kybernetické bezpečnosti nebo hlášení bezpečnostních incidentů nás kontaktujte:
Email: info@advisora.world
Telefon: +420 545 573 888
Adresa: Žižkova 708, 261 01 Příbram II, Česká republika
Prohlášení: Tyto zásady kybernetické bezpečnosti představují náš závazek k ochraně vašich dat a zajištění bezpečnosti našich služeb. Neustále vyhodnocujeme a vylepšujeme naše bezpečnostní opatření, abychom vám poskytli nejvyšší úroveň ochrany.