Bezpečnost a odpovědné hlášení zranitelností

1. Bezpečnostní opatření

• Šifrování přenosu TLS 1.2+ mezi klientem a servery.
• Hashování hesel algoritmem bcrypt; constant-time flow při přihlášení jako ochrana proti timing-based enumeraci.
• Rate-limiting přihlášení a citlivých API endpointů.
• Oddělené prostředí pro produkci a vývoj.
• Pravidelné zálohy databáze s retencí minimálně 30 dnů.
• Logování a auditní stopy pro citlivé operace (přihlášení, výběry FC, změny hesla).
• Princip nejnižších oprávnění (least privilege) pro interní přístupy.

2. Responsible Disclosure

Provozovatel vítá odpovědné hlášení bezpečnostních zranitelností. Výzkumníkům, kteří postupují dle této politiky, Provozovatel zaručuje, že nepodnikne právní kroky dle § 230 a § 231 trestního zákoníku.

3. Pravidla pro výzkumníky

• Nepřistupovat k datům jiných uživatelů, kromě vlastního testovacího účtu.
• Nevykonávat DoS/DDoS, nerealizovat social engineering vůči zaměstnancům, nezasahovat do fyzické infrastruktury.
• Nezveřejňovat zranitelnost před dohodnutým termínem (embargo typicky 90 dní od hlášení nebo po dohodě).
• Hlášení musí obsahovat dostatečný popis, reprodukční kroky a dopad.

4. Safe Harbor

Výzkumník jednající v dobré víře a v souladu s pravidly výše má záruku, že jeho jednání bude posuzováno jako autorizovaný bezpečnostní test. Provozovatel se vzdává práva uplatňovat vůči takovému výzkumníkovi sankce, pokud nedošlo k újmě na uživatelských datech.

5. Hlášení incidentů uživateli

V případě narušení osobních údajů s rizikem pro uživatele Provozovatel oznámí incident Úřadu pro ochranu osobních údajů do 72 hodin (čl. 33 GDPR) a dotčeným subjektům bez zbytečného odkladu (čl. 34 GDPR), pokud to zákon vyžaduje.

6. Kontakt provozovatele

Prexima Reality s.r.o., Nad obcí I 2110/29, 140 00 Praha 4 - Krč. Obecné dotazy: info@flipking.cz.