Přejít na obsah
Zabezpečení

Bezpečnostní politika

Odpovědné oznamování, řešení zranitelností a náš závazek k bezpečnosti vašich dat.

Naposledy aktualizováno: květen 2026

01 Zásady odpovědného oznamování

InfoPeak si váží komunity bezpečnostních výzkumníků a vítá odpovědné oznamování zranitelností. Pokud v některé službě InfoPeak objevíte bezpečnostní problém, prosíme vás o jeho nahlášení.

Nahlásit zranitelnost

security@infopeak.io

U citlivých hlášení si vyžádejte náš veřejný PGP klíč.

02 Rozsah

Následující služby a aktiva spadají do odpovědného oznamování:

  • infopeak.io - hlavní aplikace a web
  • auth.infopeak.io - autentizační služba
  • InfoPeak Pass - rozšíření prohlížeče
  • InfoPeak VPN - mobilní a desktopové aplikace

03 Pokyny pro oznamování

Žádáme bezpečnostní výzkumníky, aby dodržovali tyto pokyny:

  • Uveďte dostatek podrobností pro reprodukci zranitelnosti.
  • Nepřistupujte k datům jiných uživatelů, neměňte je ani je nemažte.
  • Neprovádějte útoky odepření služby ani sociální inženýrství.
  • Dejte nám přiměřený čas (90 dní) na odstranění problému před veřejným oznámením.

04 Časová osa reakce

72 hodin

Potvrzujeme přijetí vašeho hlášení.

14 dní

Poskytneme úvodní posouzení a předpokládaný harmonogram řešení.

90 dní

Usilujeme o odstranění všech potvrzených zranitelností v tomto období.

05 Safe Harbor

InfoPeak nezahájí právní kroky proti bezpečnostním výzkumníkům, kteří v dobré víře objeví a nahlásí zranitelnosti v souladu s těmito zásadami. Výzkum bezpečnosti prováděný podle těchto zásad považujeme za autorizovaný a nezahájíme právní nároky za obcházení technických opatření, pokud je výzkum v souladu s těmito zásadami.

06 Reakce na incidenty a oznamování narušení

V případě bezpečnostního incidentu nebo narušení dat InfoPeak postupuje podle těchto postupů v souladu se směrnicí NIS2 (EU) 2022/2555 a články 33 a 34 GDPR:

  • Do 24 hodin: Včasné varování příslušnému národnímu CSIRT (Computer Security Incident Response Team).
  • Do 72 hodin: Úplné oznámení incidentu dozorčímu orgánu (GDPR) a CSIRT (NIS2), včetně posouzení rozsahu a mitigačních opatření.
  • Bez zbytečného odkladu: Dotčení uživatelé budou informováni e-mailem s jasnými informacemi o povaze narušení, dotčených datech, přijatých opatřeních a doporučených krocích.
  • Do 1 měsíce: Závěrečná zpráva je předložena příslušným orgánům s analýzou příčin a preventivními opatřeními.

07 Bezpečnostní architektura

InfoPeak používá následující bezpečnostní opatření v rámci našeho závazku vůči Cyber Resilience Act (CRA):

  • Šifrování v klidu: AES-256-CBC pro všechna uložená uživatelská data.
  • Šifrování při přenosu: TLS 1.3 pro všechna připojení.
  • Architektura zero-knowledge: Osobní šifrovací klíče jsou odvozeny na straně klienta. InfoPeak nemá přístup k vašemu šifrovanému obsahu.
  • Pouze hosting v EU: Veškerá infrastruktura se nachází v Evropské unii.
  • Pravidelné bezpečnostní aktualizace: Závislosti a infrastruktura jsou průběžně monitorovány a aktualizovány.