🛡️ Bezpečnostní politika
Poslední aktualizace: 21. listopadu 2025
1. Úvod
Bezpečnost našich uživatelů a integrity našeho webu je pro nás prioritou. Tato politika popisuje náš přístup k zabezpečení a zodpovědnému nahlašování zranitelností.
2. Naše bezpečnostní opatření
2.1 Technická zabezpečení
- SSL/TLS šifrování: Veškerá komunikace je šifrována pomocí moderních protokolů
- Bezpečnostní hlavičky: Implementujeme CSP, HSTS, X-Frame-Options a další
- Pravidelné aktualizace: Software a závislosti jsou pravidelně aktualizovány
- Firewall: Ochrana proti škodlivému provozu a útokům
- Monitoring: 24/7 sledování bezpečnostních událostí
2.2 Ochrana dat
- Minimalizace sbíraných dat
- Šifrování citlivých informací
- Pravidelné bezpečnostní audity
- GDPR compliance
- Bezpečné zálohování
3. Zodpovědné nahlašování zranitelností
3.1 Scope - Co nahlásit
Vítáme hlášení o jakýchkoli bezpečnostních problémech, včetně:
- Cross-Site Scripting (XSS)
- SQL Injection
- Cross-Site Request Forgery (CSRF)
- Authentication/Authorization bypass
- Server-Side Request Forgery (SSRF)
- Remote Code Execution (RCE)
- Úniky citlivých dat
- Zranitelnosti v závislých knihovnách
3.2 Out of Scope - Co nenahlásit
Následující problémy nejsou považovány za bezpečnostní zranitelnosti:
- Chyby v pravopise nebo gramatice
- Absence DNSSEC
- SPF/DMARC/DKIM záznamy
- Rate limiting na veřejných endpointech
- Obecné best practices bez konkrétního dopadu
- Teoretické útoky bez proof of concept
3.3 Jak nahlásit
- Kontaktujte nás: Použijte náš kontaktní formulář
- Předmět: Uveďte "SECURITY" nebo "BEZPEČNOST"
- Detaily: Popište problém co nejdetailněji
- Typ zranitelnosti
- URL nebo komponenta
- Kroky k reprodukci
- Potenciální dopad
- Proof of concept (pokud je to možné)
- Neveřejně: Nesdílejte informace veřejně před opravou
4. Náš proces
4.1 Časová osa
- Do 48 hodin: Potvrzení přijetí hlášení
- Do 7 dnů: Prvotní analýza a validace
- Do 30 dnů: Oprava kritických zranitelností
- Do 90 dnů: Oprava méně závažných problémů
4.2 Komunikace
- Budeme vás pravidelně informovat o postupu
- Po opravě vás budeme informovat o nasazení
- Můžete zveřejnit nálezy po dohodě s námi
4.3 Uznání
- Vaše jméno uvedeme na Security Hall of Fame (pokud souhlasíte)
- Poskytujeme veřejné poděkování
- V současnosti nenabízíme bug bounty program
5. Pravidla angažmá
5.1 Povolené činnosti
- Testování bezpečnosti na našich veřejných systémech
- Automatizované skenování s rozumným rate limitingem
- Sociální inženýrství proti našim systémům (ne proti zaměstnancům)
5.2 Zakázané činnosti
- Denial of Service (DoS/DDoS) útoky
- Fyzické útoky na naši infrastrukturu
- Sociální inženýrství proti zaměstnancům
- Modifikace nebo zničení dat
- Přístup k datům jiných uživatelů
- Spamování nebo phishing
- Zveřejnění zranitelností před opravou
6. Právní ochrana
Pokud postupujete v souladu s touto politikou:
- Nebudeme proti vám podnikat právní kroky
- Budeme vás považovat za white hat výzkumníka
- Poskytneme vám ochranu v rámci českého práva
7. Kontakt
Pro bezpečnostní hlášení:
8. Související dokumenty
Děkujeme za pomoc při zabezpečení ChciHry.cz! 🙏