Bezpečnost a ochrana dat

Bezpečnost vašich dat je naší prioritou

Vaše data jsou šifrovaná, zálohovaná a primárně uložena v EU. Transparentně ukazujeme, jak je chráníme.

GDPR Compliant

EU Hosting

AES-256 Encrypted

Daily Backups

2FA

OWASP Top 10

Kde jsou vaše data

Veškerá data jsou uložena na vlastním dedikovaném serveru v datovém centru Hetzner Cloud v Norimberku (Německo). Nesdílíme server s žádným jiným zákazníkem. Integrace s US poskytovateli (Resend, Stripe, Sentry, Google) probíhají v režimu EU-US Data Privacy Framework nebo standardních smluvních doložek (SCC).

Poskytovatel: Hetzner Cloud GmbH, Norimberg, Německo

Server: CX33 (4 vCPU, 8 GB RAM, 80 GB NVMe SSD)

OS: Ubuntu 24.04 s automatickými bezpečnostními aktualizacemi

Firewall: UFW (pouze porty 22, 80, 443)

SSH: Key-only autentizace, fail2ban (5 pokusů → 1h ban)

Primární hosting v EU

Databáze a server v Německu, US integrace přes DPF/SCC

Vlastní server v Německu (Norimberg)

US integrace (Stripe, Resend, Sentry) přes EU-US DPF/SCC

Šifrované zálohy v EU regionu (Backblaze B2)

GDPR-compliant infrastruktura

Automatické bezpečnostní aktualizace

Let’s Encrypt SSL certifikáty

Šifrování

Vaše data jsou chráněna na všech úrovních — při uložení, při přenosu i v zálohách.

AES-256-GCM

At rest (uložená data)

AES-256-GCM šifrování citlivých dat — OAuth tokeny, API klíče, refresh tokeny, 2FA seed. Každý záznam šifrovaný individuálně s unikátním IV.

TLS 1.3

In transit (přenos dat)

Veškerá komunikace přes TLS 1.3. HSTS s 1letou platností a preload direktivou. Žádná data se nepřenášejí nešifrovaným kanálem.

GPG RSA-4096

Zálohy

Denně šifrované zálohy databáze pomocí GPG (RSA-4096). Dešifrovat může pouze držitel privátního klíče. Zálohy jsou zašifrovány ještě před odesláním na offsite úložiště.

Hierarchie rolí

Vlastník

Úplná kontrola, převod vlastnictví, smazání organizace

Admin

Správa uživatelů, nastavení, fakturace, integrace

Správa nároků dovolených, absence, mzdové podklady

Manažer

Schvalování výkazů, viditelnost omezena na přiřazené klienty

Účetní

Faktury, finanční reporty, export do účetních systémů

Pracovník

Vlastní výkazy a nepřítomnosti, žádný přístup k cizím datům

Řízení přístupu

Každý uživatel má přístup pouze k tomu, co skutečně potřebuje. 6 úrovní rolí s granulárním řízením oprávnění.

Manager scoping — manažer vidí pouze přiřazené klienty a projekty

2FA/TOTP — volitelné dvoufáktorové ověření pro všechny role

Session management — 7denní expirace, denní refresh

API klíče — SHA-256 hašování, rate limiting, max 5 na uživatele

Hesla — min. 8 znaků, velké písmeno, číslice, speciální znak

Zálohování

Víceúrovňová záložní strategie zajišťuje, že vaše data jsou v bezpečí i při nejhorším scénáři.

Denní automatické zálohy databáze (03:00 UTC)

Šifrované GPG (RSA-4096) před odesláním kamkoli

Lokální retence: 14 dní na serveru

Offsite retence: 30 dní na Backblaze B2 (EU region)

Týdenní full-server snapshoty (Hetzner Cloud Backups)

03:00

UTC

Denní záloha

dní

Lokální retence

dní

Offsite retence

RSA

4096

GPG šifrování

Audit a monitoring

Každá změna je zaznamenána. Každá chyba je okamžitě hlášena. Pravidelně kontrolujeme bezpečnost celé aplikace.

Audit log

Kompletní záznam kdo co kdy změnil, včetně IP adresy. Filtrovatelný a exportovatelný. Retence 90 dní, na vyžádání delší.

Sentry error tracking

Okamžité hlášení chyb s automatickým PII scrubbingem — žádné osobní údaje v error logech.

Interní bezpečnostní audit

Pravidelný interní audit podle metodiky OWASP Top 10. Kontrolujeme všech 10 kategorií rizik a výsledky promítáme do kódu.

Plausible Analytics

Self-hosted analytická služba bez cookies. GDPR-friendly, žádné sledování uživatelů.

Ochrana proti útokům

Rate limiting

Na všech endpointech (Redis-backed)

SQL injection prevence

Table whitelist + parameterized queries

CSP headers

Content Security Policy bez unsafe-eval

X-Frame-Options

DENY — ochrana proti clickjackingu

Timing-safe porovnání

Pro API klíče a tokeny (crypto.timingSafeEqual)

HSTS

1 rok platnost s preload direktivou

GDPR compliance

Soulad s Nařízením EU 2016/679 (GDPR) není jen checkbox — je to základ našeho přístupu k vývoji a provozu služby.

Zásady ochrany osobních údajů — Kompletní dokument pokrývající čl. 13/14 GDPR

Export dat (čl. 20) — Jedním klikem stáhnete všechna svá data v JSON formátu

Smazání účtu (čl. 17) — Právo být zapomenut — anonymizace profilu, smazání auth dat

Sledování souhlasu — Časové razítko souhlasu se zpracováním při registraci

Minimalizace dat — Zpracováváme pouze údaje nutné pro provoz služby

DPA pro B2B — Smlouva o zpracování osobních údajů dle čl. 28 GDPR — k dispozici na vyžádání (info@mujvykaz.cz)

Incident response — Definovaný proces hlášení incidentů. Notifikace ÚOOÚ do 72 hodin dle čl. 33 GDPR.

Zásady ochrany osobních údajů

Kompletní dokument ke čtení

Obchodní podmínky

Podmínky používání služby

DPA (Smlouva o zpracování)

Kontaktujte nás pro zaslaní

Sub-zpracovatelé

Transparentní přehled všech třetích stran, které se podílejí na zpracování vašich dat.

Sub-zpracovatel	Sídlo	Účel	Zpracovávaná data
Hetzner Cloud GmbH	EUNorimberg, Německo	Hosting serveru a databáze	Všechna data (server v EU)
Backblaze Inc.	DPF/SCCUSA (EU region B2)	Offsite zálohy (šifrované)	GPG-šifrované zálohy databáze
Anthropic PBC	DPF/SCCUSA	AI reporty (Claude)	Agregovaná data (ne PII)
Resend Inc.	DPF/SCCUSA	Odesílání e-mailů	E-mailové adresy, jména
Stripe Inc.	DPF/SCCUSA / Irsko	Platby a fakturace	Fakturační údaje
Google LLC	DPF/SCCUSA / Irsko	OAuth přihlášení, Calendar sync	E-mail, jméno, události
Sentry (Functional Software)	DPF/SCCUSA	Error tracking	Technická data (PII scrubbed)

Sub-zpracovatelé v USA jsou certifikováni v rámci EU-US Data Privacy Framework (DPF) nebo mají uzavřené standardní smluvní doložky (SCC) dle rozhodnutí Evropské komise. O změně sub-zpracovatelů informujeme minimálně 14 dní předem.

Často kladené dotazy

Kde jsou moje data?

Vaše data jsou uložena na vlastním serveru v Hetzner Cloud v Norimberku (Německo). Server není sdílený s žádným jiným zákazníkem. Primární hosting a databáze jsou v EU. Některé integrační služby (e-mail, platby, error tracking) využívají poskytovatele v USA v režimu EU-US Data Privacy Framework nebo SCC. Zálohy jsou šifrované (GPG, RSA-4096) a uložené lokálně (14 dní) i offsite na Backblaze B2 v EU regionu (30 dní).

Máte DPA (Smlouvu o zpracování osobních údajů)?

Ano. Disponujeme DPA šablonou v souladu s článkem 28 GDPR, vzory ÚOOÚ a standardní SaaS praxí. DPA pokrývá technická a organizační opatření (TOMs), sub-zpracovatele, dobu zpracování a práva Správce. DPA zašleme na vyžádání — napište na info@mujvykaz.cz.

Je Můj Výkaz GDPR compliant?

Ano. Implementujeme kompletní GDPR compliance: zásady ochrany osobních údajů, export dat dle čl. 20 (datová přenositelnost), vymazání účtu dle čl. 17 (právo být zapomenut), sledování souhlasu se zpracováním, DPA pro B2B zákazníky a minimalizaci dat (zpracováváme jen to, co je nutné pro službu).

Potřebujete DPO (Pověřence pro ochranu osobních údajů)?

V současnosti nejmenujeme externího DPO, protože jako malá firma nezpracováváme osobní údaje ve velkém měřítku ani zvláštní kategorie údajů (čl. 37 GDPR). Bezpečnostní dotazy směřujte na info@mujvykaz.cz — každý podnět řešíme osobně.

Máte bezpečnostní dotaz?

Napište nám na info@mujvykaz.cz — každý podnět řešíme osobně a odpovídáme do 48 hodin.

Napsat bezpečnostnímu týmu Zkusit zdarma