🛡️ Bezpečnostní politika

Poslední aktualizace: 21. listopadu 2025

1. Úvod

Bezpečnost našich uživatelů a integrity našeho webu je pro nás prioritou. Tato politika popisuje náš přístup k zabezpečení a zodpovědnému nahlašování zranitelností.

2. Naše bezpečnostní opatření

2.1 Technická zabezpečení

  • SSL/TLS šifrování: Veškerá komunikace je šifrována pomocí moderních protokolů
  • Bezpečnostní hlavičky: Implementujeme CSP, HSTS, X-Frame-Options a další
  • Pravidelné aktualizace: Software a závislosti jsou pravidelně aktualizovány
  • Firewall: Ochrana proti škodlivému provozu a útokům
  • Monitoring: 24/7 sledování bezpečnostních událostí

2.2 Ochrana dat

  • Minimalizace sbíraných dat
  • Šifrování citlivých informací
  • Pravidelné bezpečnostní audity
  • GDPR compliance
  • Bezpečné zálohování

3. Zodpovědné nahlašování zranitelností

3.1 Scope - Co nahlásit

Vítáme hlášení o jakýchkoli bezpečnostních problémech, včetně:

  • Cross-Site Scripting (XSS)
  • SQL Injection
  • Cross-Site Request Forgery (CSRF)
  • Authentication/Authorization bypass
  • Server-Side Request Forgery (SSRF)
  • Remote Code Execution (RCE)
  • Úniky citlivých dat
  • Zranitelnosti v závislých knihovnách

3.2 Out of Scope - Co nenahlásit

Následující problémy nejsou považovány za bezpečnostní zranitelnosti:

  • Chyby v pravopise nebo gramatice
  • Absence DNSSEC
  • SPF/DMARC/DKIM záznamy
  • Rate limiting na veřejných endpointech
  • Obecné best practices bez konkrétního dopadu
  • Teoretické útoky bez proof of concept

3.3 Jak nahlásit

  1. Kontaktujte nás: Použijte náš kontaktní formulář
  2. Předmět: Uveďte "SECURITY" nebo "BEZPEČNOST"
  3. Detaily: Popište problém co nejdetailněji
    • Typ zranitelnosti
    • URL nebo komponenta
    • Kroky k reprodukci
    • Potenciální dopad
    • Proof of concept (pokud je to možné)
  4. Neveřejně: Nesdílejte informace veřejně před opravou

4. Náš proces

4.1 Časová osa

  • Do 48 hodin: Potvrzení přijetí hlášení
  • Do 7 dnů: Prvotní analýza a validace
  • Do 30 dnů: Oprava kritických zranitelností
  • Do 90 dnů: Oprava méně závažných problémů

4.2 Komunikace

  • Budeme vás pravidelně informovat o postupu
  • Po opravě vás budeme informovat o nasazení
  • Můžete zveřejnit nálezy po dohodě s námi

4.3 Uznání

  • Vaše jméno uvedeme na Security Hall of Fame (pokud souhlasíte)
  • Poskytujeme veřejné poděkování
  • V současnosti nenabízíme bug bounty program

5. Pravidla angažmá

5.1 Povolené činnosti

  • Testování bezpečnosti na našich veřejných systémech
  • Automatizované skenování s rozumným rate limitingem
  • Sociální inženýrství proti našim systémům (ne proti zaměstnancům)

5.2 Zakázané činnosti

  • Denial of Service (DoS/DDoS) útoky
  • Fyzické útoky na naši infrastrukturu
  • Sociální inženýrství proti zaměstnancům
  • Modifikace nebo zničení dat
  • Přístup k datům jiných uživatelů
  • Spamování nebo phishing
  • Zveřejnění zranitelností před opravou

6. Právní ochrana

Pokud postupujete v souladu s touto politikou:

  • Nebudeme proti vám podnikat právní kroky
  • Budeme vás považovat za white hat výzkumníka
  • Poskytneme vám ochranu v rámci českého práva

7. Kontakt

Pro bezpečnostní hlášení:

  • Kontaktní formulář: https://chcihry.cz/kontakt
  • PGP klíč: https://chcihry.cz/pgp-key.txt

8. Související dokumenty

  • Security Hall of Fame
  • Ochrana osobních údajů (GDPR)
  • Podmínky použití
  • security.txt

Děkujeme za pomoc při zabezpečení ChciHry.cz! 🙏

← Zpět na hlavní stránku