Bezpečnostná politika

Posledná aktualizácia: 21. januára 2025

Spoločnosť Eurobizth sa zaväzuje chrániť bezpečnosť vašich údajov a systémov. Táto bezpečnostná politika popisuje opatrenia, ktoré implementujeme na ochranu našich služieb, infraštruktúry a informácií používateľov.

1. Bezpečnostné opatrenia

1.1 Technická bezpečnosť

Implementujeme viacvrstvovú technickú bezpečnosť vrátane:

Šifrovanie dát pri prenose pomocou TLS/SSL protokolov
Šifrovanie citlivých dát v databázach
Pravidelné bezpečnostné aktualizácie systémov a aplikácií
Firewall a systémy detekcie narušenia
Segmentácia sietí a kontrola prístupu
Bezpečné API s autentifikáciou a autorizáciou
Ochrana proti DDoS útokom

1.2 Ochrana prístupu

Zabezpečujeme kontrolovaný prístup k systémom prostredníctvom:

Viacfaktorovej autentifikácie pre administratívne účty
Silných politík hesiel a pravidelnej rotácie
Princípu minimálnych oprávnení
Pravidelného auditu prístupových práv
Automatického odhlásenia po období nečinnosti
Monitorovania neautorizovaných pokusov o prístup

1.3 Ochrana údajov

Vaše údaje chránime pomocou:

Pravidelného zálohovania s testovaním obnovy
Geograficky distribuovaného uloženia záloh
Šifrovania záložných dát
Bezpečného mazania dát pri ukončení služby
Ochrany proti strate alebo poškodeniu dát

2. Monitorovanie a detekcia

2.1 Nepretržité monitorovanie

Naše systémy sú nepretržite monitorované na:

Detekciu nezvyčajných aktivít a bezpečnostných incidentov
Identifikáciu potenciálnych zraniteľností
Sledovanie výkonu a dostupnosti služieb
Analýzu bezpečnostných logov a udalostí
Detekciu pokusov o neoprávnený prístup

2.2 Bezpečnostné testovanie

Pravidelne vykonávame:

Penetračné testovanie aplikácií a infraštruktúry
Audit bezpečnostného kódu
Skenovanie zraniteľností
Testovanie reakcie na bezpečnostné incidenty
Hodnotenie bezpečnostných rizík

3. Reakcia na incidenty

3.1 Proces riadenia incidentov

V prípade bezpečnostného incidentu dodržiavame proces:

Okamžitá detekcia a identifikácia incidentu
Izolácia postihnutých systémov
Vyšetrovanie rozsahu a dopadu incidentu
Implementácia nápravných opatrení
Obnovenie normálnej prevádzky
Analýza príčin a preventívne opatrenia

3.2 Oznámenie incidentov

V prípade bezpečnostného incidentu, ktorý môže ovplyvniť vaše údaje:

Oznámime vám incident bez zbytočného odkladu
Poskytneme informácie o povahe incidentu
Opíšeme opatrenia prijaté na riešenie incidentu
Odporučíme kroky, ktoré môžete podniknúť
Poskytneme kontaktné informácie pre ďalšie otázky

4. Bezpečnosť aplikácií

4.1 Bezpečný vývoj

Pri vývoji aplikácií aplikujeme:

Bezpečné programovacie praktiky
Validáciu a sanitizáciu vstupov
Ochranu proti bežným zraniteľnostiam (OWASP Top 10)
Bezpečné uloženie citlivých informácií
Kontrolu verzií a audit zmien kódu
Testovanie bezpečnosti pred nasadením

4.2 Aktualizácie a opravy

Zabezpečujeme bezpečnosť prostredníctvom:

Pravidelných aktualizácií softvéru a závislostí
Rýchlej implementácie kritických bezpečnostných záplat
Testovania aktualizácií pred nasadením
Plánovej údržby s minimálnym prerušením služieb

5. Bezpečnosť infraštruktúry

5.1 Fyzická bezpečnosť

Naše dáta sú uložené v dátových centrách s:

24/7 fyzickou ochranou a monitorovaním
Kontrolovaným prístupom s biometriou
Zálohovaním napájania a chladenia
Ochranou proti požiaru a živelným pohromám
Certifikovanými bezpečnostnými štandardmi

5.2 Cloudová bezpečnosť

Pri využívaní cloudových služieb zabezpečujeme:

Výber poskytovateľov s certifikáciami bezpečnosti
Konfiguráciu bezpečnostných nastavení podľa best practices
Izoláciu zdrojov a sietí
Pravidelný audit cloudovej infraštruktúry
Zmluvnú zodpovednosť poskytovateľov

6. Bezpečnosť ľudských zdrojov

6.1 Školenie zamestnancov

Všetci naši zamestnanci prechádzajú:

Bezpečnostným školením pri nástupe
Pravidelnými bezpečnostnými aktualizáciami
Testovaním povedomia o phishingu
Školením o ochrane údajov a súkromia
Zásadami bezpečného zaobchádzania s informáciami

6.2 Prístup zamestnancov

Kontrolujeme prístup zamestnancov prostredníctvom:

Overenia pred prijatím do zamestnania
Podpísania zmlúv o mlčanlivosti
Prideľovania prístupu na základe pracovnej náplne
Okamžitého odobrania prístupu pri ukončení zamestnania
Pravidelného preskúmania prístupových práv

7. Bezpečnosť tretích strán

7.1 Hodnotenie dodávateľov

Pred spoluprácou s tretími stranami vykonávame:

Hodnotenie bezpečnostných praktik dodávateľov
Preskúmanie certifikácií a auditov
Stanovenie bezpečnostných požiadaviek v zmluvách
Pravidelné hodnotenie bezpečnosti dodávateľov

7.2 Integrácie a API

Pri integrácii s tretími stranami zabezpečujeme:

Bezpečnú autentifikáciu a autorizáciu
Šifrovanie dát pri výmene informácií
Minimalizáciu zdieľaných údajov
Monitorovanie integračných bodov
Pravidelný audit integračných partnerstiev

8. Súlad a certifikácie

8.1 Bezpečnostné štandardy

Naše bezpečnostné praktiky sú založené na:

Medzinárodných bezpečnostných štandardoch ISO 27001
Best practices pre cloudovú bezpečnosť
Rámcoch pre ochranu údajov
Odvetvových bezpečnostných odporúčaniach

8.2 Audity a preskúmania

Pravidelne sa podrobujeme:

Externým bezpečnostným auditom
Interným bezpečnostným preskúmaniam
Hodnoteniu súladu s politikami
Testovaniu efektívnosti bezpečnostných opatrení

9. Vaša zodpovednosť

9.1 Bezpečné používanie služieb

Na udržanie bezpečnosti vášho účtu odporúčame:

Používať silné a jedinečné heslá
Aktivovať viacfaktorovú autentifikáciu
Nezdieľať prihlasovacie údaje
Pravidelne aktualizovať heslá
Používať bezpečné zariadenia a siete
Neotvárat podezrivé odkazy alebo prílohy
Okamžite nahlásiť podezrivé aktivity

9.2 Hlásenie bezpečnostných problémov

Ak objavíte bezpečnostný problém alebo zraniteľnosť:

Nepoužívajte ju na neautorizované účely
Nepreukazujte ju iným osobám
Okamžite nás kontaktujte na [email protected]
Poskytnite podrobnosti na reprodukciu problému
Dajte nám čas na vyriešenie pred zverejnením

10. Zálohovanie a kontinuita

10.1 Zálohovanie dát

Zabezpečujeme ochranu vašich dát prostredníctvom:

Automatických denných záloh
Uchovávania viacerých verzií záloh
Geograficky oddelených záložných úložísk
Šifrovania záložných dát
Pravidelného testovania obnovy dát

10.2 Kontinuita prevádzky

Máme zavedené plány pre:

Rýchle obnovenie služieb po incidente
Minimalizáciu prerušenia služieb
Alternatívne postupy v núdzových situáciách
Pravidelnú aktualizáciu plánov kontinuity
Testovanie plánov obnovy po havárii

11. Šifrovanie a kryptografia

11.1 Šifrovacie štandardy

Používame priemyselné štandardy šifrovania:

TLS 1.2 alebo vyšší pre prenos dát
AES-256 pre šifrovanie uložených dát
Bezpečné hash algoritmy pre heslá
Kryptograficky bezpečné generátory náhodných čísel
Pravidelná aktualizácia kryptografických mechanizmov

11.2 Správa kľúčov

Kryptografické kľúče spravujeme prostredníctvom:

Bezpečného uloženia v dedikovaných systémoch
Pravidelnej rotácie šifrovacích kľúčov
Kontroly prístupu ku kľúčom
Bezpečného zničenia starých kľúčov
Oddelenia kľúčov od šifrovaných dát

12. Aktualizácie bezpečnostnej politiky

Túto bezpečnostnú politiku pravidelne aktualizujeme, aby odrážala:

Nové bezpečnostné hrozby a technológie
Zmeny v našich službách a infraštruktúre
Vylepšenia bezpečnostných procesov
Spätnú väzbu od bezpečnostných auditov
Vývoj najlepších bezpečnostných praktík

O významných zmenách v bezpečnostnej politike budeme používateľov informovať prostredníctvom našich komunikačných kanálov.

13. Kontakt pre bezpečnostné otázky

Pre bezpečnostné otázky, hlásenie incidentov alebo zraniteľností nás kontaktujte:

Email: [email protected]
Telefón: +421903581327
Signal: https://signal.me/#p/+421903581327
Adresa: Námestie SNP 23, 974 01 Banská Bystrica, Slovakia

Pre hlásenie kritických bezpečnostných zraniteľností odporúčame použiť šifrovanú komunikáciu cez Signal.

Ďakujeme, že nám pomáhate udržiavať bezpečnosť našich služieb a údajov všetkých používateľov.