Bezpečnost a kybernetická odolnost

Spirit Academy provozuje společnost Pracovna, s.r.o. (IČO 02093839, dále jen Provozovatel) jako poskytovatel digitálního obsahu — online vzdělávací platformy. Provozovatel pravidelně vyhodnocuje, zda spadá do působnosti směrnice (EU) 2022/2555 (NIS2) a navazující české implementační legislativy (novelizace zákona č. 181/2014 Sb., o kybernetické bezpečnosti).

Provozovatel není v aktuální fázi povinným subjektem dle NIS2 — službu poskytuje malý podnik mimo specifické kritické sektory uvedené v Příloze I a II směrnice. Toto prohlášení vydává Provozovatel dobrovolně, jako dobrou praxi a nadrámcovou transparentnost vůči uživatelům, partnerům a odborné veřejnosti.

Dokument bude aktualizován při každé podstatné změně bezpečnostní architektury, minimálně jednou ročně.

Pokud objevíte bezpečnostní zranitelnost na Platformě, ozvěte se prosím přímo Provozovateli. Slibujeme:

• Potvrdit přijetí hlášení do 48 hodin.
• Reagovat s odhadem priority a postupu do 5 pracovních dnů.
• Neprovádět právní kroky vůči etickým výzkumníkům, kteří jednají v dobré víře dle níže uvedených pravidel.
• Po opravě zranitelnost veřejně oznámit s poděkováním (pokud si nepřejete, zachováme anonymitu).

Kontakt: duch@spiritacademy.online s předmětem „security disclosure“. Strojový kontakt: /.well-known/security.txt dle RFC 9116.

Pravidla pro výzkumníka (safe harbor): testujte pouze své vlastní účty, neexfiltrujte produkční data jiných uživatelů, nepokoušejte se o DoS, neřešte přístup k placenému obsahu v rozsahu nad rámec ověření zranitelnosti. Phishing zaměstnanců a sociální inženýrství není v rozsahu programu.

Provozovatel uplatňuje vícevrstvý model ochrany:

3.1 Šifrování přenosu

• HTTPS na celém webu, TLS 1.2 / 1.3, automaticky obnovované certifikáty Let’s Encrypt.
• HTTP Strict Transport Security (HSTS, 2 roky, includeSubDomains, preload).
• Přesměrování všech HTTP požadavků na HTTPS.

3.2 Aplikační vrstva

• Content Security Policy (CSP) s whitelisting povolených zdrojů.
• X-Frame-Options (SAMEORIGIN) — ochrana proti clickjackingu.
• X-Content-Type-Options (nosniff), Referrer-Policy, Permissions-Policy.
• Same-origin enforcement na mutating API (anti-CSRF).
• Rate-limiting brute-force vektorů (uplatnění promokódů, login).
• Sanitizace uživatelských vstupů, escapování při renderingu.

3.3 Autentizace a oprávnění

• Hesla uživatelů jsou ukládána pouze ve formě bezpečné kryptografické funkce (bcrypt).
• Krátké TTL access tokenů, rotace refresh tokenů.
• Row-Level Security (RLS) na databázové vrstvě — uživatel vidí jen svá data.
• Princip nejmenších oprávnění pro servisní účty (samostatné role pro veřejné API a administrační operace).
• Oddělené role pro běžné uživatele, admin a super-admin.

3.4 Ochrana dat v klidu

• Šifrování databáze v klidu na úrovni hostingu (Supabase / AWS).
• Pravidelné šifrované zálohy.
• Time-limited signed URLs pro audio a soubory ke stažení (krátké TTL, server-side gating).

3.5 Bezpečnost dodavatelského řetězce

• Výběr renomovaných zpracovatelů s certifikáty SOC 2, ISO 27001 (Stripe, Supabase, Vercel).
• Subresource Integrity (SRI) na externí skripty.
• Pravidelná aktualizace závislostí, automatický scan zranitelností.
• Smluvní zajištění zpracování osobních údajů (čl. 28 GDPR).

3.6 Logování a monitoring

• Logování bezpečnostně relevantních událostí (přihlášení, neúspěšné pokusy, admin akce).
• Server logy na úrovni hostingu (Vercel, Supabase) s rotací a omezeným přístupem.
• Alerting na anomálie (vlna 4xx/5xx, opakované failed login).

V případě bezpečnostního incidentu (úniku dat, neoprávněného přístupu, výpadku služby) Provozovatel postupuje takto:

1. Detekce a triáž. Vyhodnocení rozsahu, dotčených systémů a kategorií dat.
2. Zastavení. Izolace zasaženého systému, blokace útoku (rotace klíčů, revokace session, deaktivace API klíče).
3. Sběr důkazů. Logy, časová osa, zúčastněné osoby a systémy.
4. Notifikace dle GDPR. Při incidentu s rizikem pro práva a svobody fyzických osob ohlášení Úřadu pro ochranu osobních údajů (ÚOOÚ) do 72 hodin(čl. 33 GDPR). Při vysokém riziku oznámení dotčeným uživatelům bez zbytečného odkladu (čl. 34 GDPR).
5. Náprava. Oprava zranitelnosti, doplnění monitoring, hardening.
6. Postmortem. Interní vyhodnocení a aktualizace tohoto dokumentu, pokud změny ovlivní bezpečnostní postupy.

Komunikační kanál pro nahlášení incidentu uživatelem: duch@spiritacademy.online.

Provozovatel udržuje:

• Pravidelné automatické zálohy databáze (denně), retenční politika min. 7 dnů.
• Multiregionální redundance hostingu (Vercel edge, Supabase).
• Failover plán pro hlavní služby (auth, platby, video streaming).
• Cíle obnovy: RPO 24 h (max. ztráta dat), RTO 4 h (max. čas obnovy) — pro klíčové funkce.

Bezpečnostní opatření podléhají pravidelné revizi (minimálně jednou ročně) a po každé podstatné změně architektury. Provozovatel pravidelně:

• vyhodnocuje rizika (analýza hrozeb, dopadů a pravděpodobnosti),
• provádí externí scan zranitelností a penetrační testy zranitelných koutů,
• aktualizuje bezpečnostní zásady a školí osoby s přístupem k osobním údajům,
• prověřuje nasazení nových zpracovatelů (DPIA tam, kde je vyžadována).

• Zásady ochrany osobních údajů — práva subjektů, zpracovatelé, doby uchování.
• Cookies — sledovací technologie.
• Obchodní podmínky.
• security.txt — strojově čitelný kontakt dle RFC 9116.

Pro jakékoli dotazy k bezpečnosti, ochraně dat nebo nahlášení incidentu: duch@spiritacademy.online.