Zavrieť
Bezpečnosť je pre ALITEO neoddeliteľnou súčasťou vývoja, nie dodatočnou vrstvou. Tento dokument je určený pre zákazníkov, partnerov a bezpečnostné tímy, ktoré potrebujú porozumieť tomu, ako ALITEO chráni ich dáta.
V tomto dokumente opisujeme bezpečnosť a ochranu dát z pohľadu infraštruktúry, produktu, prevádzky a súladu s predpismi.
Bezpečnostný program ALITEO je postavený na nasledujúcich princípoch:
ALITEO prevádzkuje svoju infraštruktúru výhradne na platforme Microsoft Azure. Microsoft spravuje fyzickú bezpečnosť a súlad cloudovej infraštruktúry; ALITEO spravuje bezpečnosť softvéru a zákazníckych dát v tejto infraštruktúre.
Platforma je postavená na .NET 8 a je priebežne upgradovaná na aktuálne long-term support verzie. Architektúra využíva Azure App Services, Azure Functions a Azure CDN na distribúciu statického obsahu.
Primárnym úložiskom dát je Azure Database for MySQL – plne spravovaná relačná databáza. Popri nej systém využíva Elasticsearch na fulltextové vyhľadávanie a Redis na distribuovanú cache a session storage.
Autentifikačné dáta
Prihlasovacie a relačné údaje spravuje Azure Active Directory B2C. Heslá nie sú ukladané v databáze ALITEO – autentifikáciu plne zabezpečuje Azure B2C. Po prihlásení získa aplikácia iba tokeny (OpenID Connect); heslo používateľa ALITEO nikdy nevidí ani neukladá.
Firemné dáta
Ukladajú sa všetky dáta organizácie: projekty, úlohy, harmonogramy, portfóliá, reporty a nahrané prílohy. Dáta sú logicky oddelené identifikátorom firmy (pozri Multi-tenancy nižšie).
Používateľské dáta
Ukladajú sa profily používateľov systému – meno, e-mailová adresa a preferencie. Používateľské dáta sú oddelené identifikátorom používateľa.
Prílohy a zálohy databáz sú uložené v Azure Blob Storage. Prílohy pochádzajúce z cloudových platforiem (Microsoft 365, Google Drive) sú uchovávané ako odkazy na zdrojové platformy a nie sú fyzicky kopírované do úložiska ALITEO.
Zákaznícke dáta vstupujú do systému prostredníctvom HTTPS požiadaviek z webového prehliadača alebo mobilnej aplikácie. Pre funkcie vyžadujúce komunikáciu v reálnom čase sú využívané WebSocket spojenia šifrované protokolom WSS (WebSocket Secure). Dáta sú spracovávané aplikačnými službami na Azure App Service a Azure Functions a ukladané do Azure Database for MySQL. Prílohy sú ukladané v Azure Blob Storage. Fulltextové vyhľadávanie zabezpečuje Elasticsearch.
Zákaznícke dáta (databáza, súbory, zálohy) sú ukladané výhradne v európskych regiónoch Azure. AI komponenty využívajú regióny podľa nižšie uvedenej tabuľky:
| Účel | Región |
|---|---|
| Primárna produkcia | North Europe (Dublin, Írsko) |
| Geo-redundantná záloha (iba zálohy dát) | West Europe (Amsterdam, Holandsko) |
| Embedding modely pre sémantické vyhľadávanie | Sweden Central |
| RAG embedding modely a AI Search index | France Central |
| AI asistent – jazykový model (LLM) | East US 2 |
Primárne zákaznícke dáta sú ukladané výhradne v primárnom európskom regióne. Geo-redundancia sa týka výhradne záloh dát – záložné kópie sú uchovávané v regióne West Europe. Primárna databáza nie je geograficky replikovaná v reálnom čase. Požiadavky AI asistenta sú spracovávané jazykovým modelom v regióne East US 2; dáta nie sú v tomto regióne persistentne ukladané.
Šifrovanie pri prenose
Všetka komunikácia medzi klientom a serverom prebieha cez HTTPS (TLS 1.2 a vyššie) alebo WSS (WebSocket Secure). Nešifrované HTTP spojenia sú automaticky presmerované na HTTPS.
Šifrovanie v pokoji
| Vrstva | Mechanizmus |
|---|---|
| Azure Database for MySQL | AES-256, kľúče spravované Microsoftom |
| Azure Blob Storage | AES-256, kľúče spravované Microsoftom |
| Citlivé záznamy v databáze (tokeny, API kľúče) | Aplikačné šifrovanie; šifrovacie kľúče v Azure Key Vault |
Tokeny a iné citlivé záznamy sú šifrované na aplikačnej úrovni ešte pred zápisom do databázy. Kľúče sú spravované oddelene v Azure Key Vault; všetok prístup ku kľúčom je riadený identitami a auditovaný.
ALITEO je multi-tenant webová aplikácia – infraštruktúra je zdieľaná medzi zákazníckymi inštanciami. Oddelenie dát je zabezpečené na aplikačnej úrovni dvoma nezávislými kľúčmi:
Prístup k dátam iného používateľa alebo firmy nie je možný. Úlohu možno priradiť iba používateľovi, ktorý je členom danej firmy; eskaláciu úlohy môže vykonať iba člen oboch zúčastnených firiem. Každý záznam v databáze obsahuje identifikátor tenanta, ktorý je validovaný na aplikačnej úrovni pri každej požiadavke.
ALITEO rozlišuje viacero spôsobov, akými môže používateľ získať prístup k dátam organizácie (tzv. vstupné body). Popri štandardných prihlásených používateľoch systém podporuje aj anonymných sledujúcich – používateľov, ktorí môžu sledovať vybrané objekty bez plného účtu. Všetky tieto vstupné body sú riadené a auditované; prístup k dátam organizácie je vždy viazaný na explicitné oprávnenie udelené administrátorom.
ALITEO je postavené na Microsoft Azure, ktorá poskytuje horizontálnu škálovateľnosť služieb. Databáza je prevádzkovaná ako plne spravovaná služba s automatickým failoverom.
Zálohy
Zálohy databázy sú vykonávané v dvoch režimoch: plná záloha (full backup) raz denne a inkrementálna záloha transakčných logov v krátkych intervaloch. Vďaka tomu možno databázu v prípade potreby obnoviť k ľubovoľnému bodu v čase. Zálohy sú uchovávané v geo-redundantnom úložisku (záložný región West Europe) a majú rovnakú úroveň ochrany ako produkčné dáta.
Azure B2C a heslá
Prihlasovanie je realizované výhradne cez Azure Active Directory B2C. Heslo používateľa je zadávané iba na stránkach hostovaných Microsoftom – ALITEO heslo nikdy nevidí ani neukladá. Platí to aj pre mobilné zariadenia, kde prihlásenie prebieha v systémovom prehliadači, nie vo vnútri aplikácie.
Všetky citlivé prihlasovacie údaje a API kľúče sú uložené v Azure Key Vault. Aplikácie pristupujú ku Key Vaultu prostredníctvom spravovaných identít.
Single Sign-On
ALITEO podporuje prihlásenie cez Google účet. Vo verzii 26.1 (plánované vydanie do konca leta 2026) bude dostupná podpora podnikového Single Sign-On v dvoch variantoch:
Zákazníci so záujmom o predčasný prístup nás môžu kontaktovať na .
Pridávanie používateľov do organizácie – interných aj externých – je vyhradené výhradne administrátorovi organizácie. Žiadna iná rola nemá oprávnenie pridávať členov. Administrátor môže kedykoľvek prístup ľubovoľného používateľa deaktivovať.
Správcovia (admins) organizácie v ALITEO môžu:
Prístupové práva sú v ALITEO definované kombináciou rolí a oprávnení priradených ku konkrétnym objektom (projektom, tímom, portfóliám, zložkám dokumentov a ďalším). Každý používateľ je označený ako interný alebo externý; externí členovia majú vždy obmedzené oprávnenia oproti interným. Detailný opis rolí, typov členstva a ich oprávnení je súčasťou produktovej dokumentácie ALITEO.
Používatelia môžu v rámci aplikácie exportovať vybrané vlastné dáta; dostupnosť funkcie závisí od roly používateľa a konfigurácie danej komponenty. Vymazanie dát možno vykonať na žiadosť prostredníctvom podpory ALITEO.
ALITEO je webová SaaS aplikácia. Používatelia pristupujú k dátam cez webový prehliadač alebo mobilnú aplikáciu.
Platforma je postavená na .NET 8 a je priebežne aktualizovaná na aktuálne LTS verzie. Vývoj prebieha s dôrazom na bezpečnostné princípy. Pravidelne vykonávame interné bezpečnostné revízie zamerané okrem iného na:
Zmeny v kóde prechádzajú automatizovanými testami a manuálnym code review. Pred nasadením do produkcie sú zmeny overované v testovacom prostredí.
ALITEO poskytuje REST API, ktoré umožňuje programátorský prístup k dátam platformy. Autentifikácia API požiadaviek prebieha prostredníctvom API kľúča vydaného na úrovni organizácie.
ALITEO sa integruje s nasledujúcimi externými platformami:
| Platforma | Účel |
|---|---|
| Microsoft Graph API | Integrácia s kalendárom a kontaktmi (Microsoft 365) |
| Google Calendar API | Integrácia s Google kalendárom a kontaktmi |
| Azure AI Services | AI asistent – jazykový model a RAG embedding modely |
| Azure OpenAI | Embedding modely pre sémantické vyhľadávanie |
| Azure AI Search | Vyhľadávací index AI asistenta (RAG architektúra) |
| SendGrid | Odosielanie e-mailových notifikácií |
| GoPay | Platobná brána |
AI asistent
AI funkcionalita je prevádzkovaná ako samostatná, izolovaná služba oddelená od hlavnej aplikácie. Táto architektúra zabezpečuje, že AI komponent pristupuje iba k dátam nevyhnutným pre danú funkciu a nemá prístup k ostatným častiam systému.
Požiadavky sú spracovávané prostredníctvom Azure AI Services a Azure OpenAI modelov v rámci infraštruktúry Microsoft. Na spracovanie dát sa vzťahujú podmienky Microsoftu pre ochranu dát; zákaznícke dáta nie sú zdieľané s externými poskytovateľmi AI mimo tejto dohody. Zákaznícke dáta spracovávané modelmi nie sú využívané na trénovanie základných AI modelov ().
Dáta spracovávané prostredníctvom ďalších aplikácií tretích strán prebiehajú iba v rozsahu nevyhnutnom na poskytnutie danej funkcie.
Za bezpečnosť informácií zodpovedá určený zástupca vedenia spoločnosti. Bezpečnostné politiky sú pravidelne preskúmavané v rámci systému riadenia bezpečnosti informácií (ISMS) certifikovaného podľa ISO/IEC 27001. Bezpečnostné incidenty a závažné zraniteľnosti sú eskalované na úroveň vedenia.
ALITEO považuje všetky zákaznícke dáta za dôverné bez ohľadu na ich klasifikáciu. Prístup k dôverným informáciám je obmedzený výhradne na zamestnancov, ktorí ho potrebujú na výkon svojej práce, a iba v nevyhnutnom rozsahu.
Všetci zamestnanci a dodávatelia ALITEO sú zmluvne viazaní povinnosťou mlčanlivosti. Prístup k produkčným systémom a zákazníckym dátam sa riadi princípom najnižších nevyhnutných oprávnení (least privilege). Prístup je riadený prostredníctvom Azure Managed Identities – vývojári sa dostávajú k produkčným dátam iba v definovaných a odôvodnených prípadoch.
Fyzická bezpečnosť dátových centier je zabezpečovaná Microsoftom v rámci platformy Azure. Microsoft udržiava svetové štandardy fyzickej ochrany svojich dátových centier.
Komunikácia medzi jednotlivými komponentmi systému je obmedzená iba na očakávané a definované toky prostredníctvom konfigurácie Azure infraštruktúry.
ALITEO vykonáva interné bezpečnostné revízie zamerané na identifikáciu zraniteľností v aplikácii aj infraštruktúre. Bezpečnostné nedostatky sú hodnotené podľa závažnosti a odstraňované v zodpovedajúcom časovom rámci.
ALITEO má definované postupy pre reakciu na bezpečnostné incidenty. V prípade porušenia bezpečnosti sú dotknutí zákazníci informovaní bez zbytočného odkladu od zistenia incidentu, v súlade s požiadavkami GDPR.
ALITEO využíva geografickú redundanciu Azure na zabezpečenie obnovy po havárii:
Uchovávanie dát
Zákaznícke dáta sú uchovávané počas trvania zmluvného vzťahu a ďalej podľa podmienok uvedených vo VOP.
Likvidácia dát
Na žiadosť zákazníka alebo jeho oprávneného zástupcu ALITEO vykoná vymazanie zákazníckych dát.
ALITEO monitoruje prevádzku a dostupnosť systému prostredníctvom niekoľkých nástrojov:
Aplikačné logy sú uchovávané po dobu 30 – 90 dní.
ALITEO starostlivo vyberá tretie strany, ktoré spĺňajú požiadavky na ochranu a bezpečnosť dát konzistentné s našimi vlastnými štandardmi. Zmluvné vzťahy s dodávateľmi zahŕňajú záväzky k ochrane zákazníckych dát.
Podmienky spracovania osobných údajov, zmluvné podmienky a SLA sú k dispozícii na .
ISO/IEC 27001
Prevádzkovateľ platformy ALITEO, spoločnosť KARAT Software a.s., je certifikovaná podľa normy ISO/IEC 27001 pre systém riadenia bezpečnosti informácií (ISMS). Certifikácia potvrdzuje, že procesy a kontroly v oblasti bezpečnosti informácií boli overené nezávislou treťou stranou.
ALITEO vystupuje ako sprostredkovateľ osobných údajov v zmysle nariadenia GDPR (Všeobecné nariadenie o ochrane osobných údajov). Spracúvané osobné údaje zahŕňajú meno, priezvisko a e-mailovú adresu používateľov systému.
Kroky, ktoré ALITEO podniklo k súladu s GDPR:
DPA (Zmluva o spracovaní dát)
V súlade s GDPR uzatvára ALITEO so zákazníkmi sprostredkovateľskú zmluvu (DPA) automaticky ako súčasť prijatia zmluvných podmienok. ALITEO sa zaväzuje spracúvať osobné údaje výhradne podľa pokynov prevádzkovateľa a v súlade s požiadavkami GDPR. Bezpečnostné incidenty sú hlásené bez zbytočného odkladu od ich zistenia.
Copyright 2025 KARAT Software
Všechna práva vyhrazena
Copyright 2025 KARAT Software
Všechna práva vyhrazena
