Bezpečnost

Vaše data máme
kde na ně vidíme.

Data vašeho e-shopu i data vašich zákazníků bereme vážně. Na téhle stránce popisujeme, jak k bezpečnosti přistupujeme: kde běží naše servery, jak šifrujeme přenos i citlivé údaje a jak držíme soulad s GDPR. Píšeme jen to, co reálně máme nasazené.

Základ všeho

Dedikovaná infrastruktura v EU

Behio neběží na sdíleném hostingu. Máme vlastní dedikované servery, takže víme přesně, kde vaše data leží a kdo k nim má přístup.

Vlastní servery v Německu

Aplikace běží na dedikovaných serverech u Hetzneru v Německu, ne na sdíleném hostingu, kde se o výkon dělíte s cizími weby.

Cloudflare v EU před aplikací

Provoz jde nejdřív přes infrastrukturu Cloudflare v EU, která rychle doručuje obsah a chrání platformu před útoky.

Úložiště v jurisdikci EU

Soubory a obrázky ukládáme v jurisdikci Evropské unie, ne mimo dosah evropských pravidel.

Jak data chráníme

Šifrování na každé vrstvě

Veškerý provoz mezi vámi a platformou jde výhradně přes TLS, nešifrovaně neputuje nic. Citlivé údaje jako API klíče a přihlašovací údaje k službám třetích stran navíc šifrujeme přímo na aplikační úrovni algoritmem AES-256-GCM.

GDPR bez hvězdiček

Zpracování osobních údajů máme popsané v zásadách ochrany údajů včetně seznamu subzpracovatelů. Data z platformy si kdykoliv vyexportujete, takže máte zajištěnou přenositelnost. Zpracovatelskou smlouvu si můžete stáhnout.

Data oddělená per organizace

Každý dotaz do databáze je striktně vázaný na vaši organizaci. K datům se dostane jen uživatel, který k nim má roli a oprávnění, nic víc. Jedna organizace nikdy nevidí do dat druhé.

AI poctivě, ne na oko

AI funkce běží přes smluvní zpracovatele Anthropic a OpenAI, které najdete v seznamu subzpracovatelů. Data vašeho e-shopu používáme jen pro úkoly, které si sami vyžádáte. Podle smluvních podmínek těchto poskytovatelů se data z API nepoužívají k trénování jejich modelů.

Odpovědné hlášení zranitelností

Našli jste bezpečnostní chybu? Napište nám na [email protected]. Pravidla pro odpovědné hlášení najdete v souboru /.well-known/security.txt. Každé hlášení bereme vážně a ozveme se.

Na čem pracujeme

Bezpečnost nikdy není hotová

Nechceme slibovat razítka, která zatím nemáme. Radši napíšeme narovinu, co chystáme.

Dvoufázové ověření (2FA)

Pracujeme na 2FA pro přihlášení do administrace, aby účet ochránilo i heslo, které někam unikne.

Formální certifikace

Certifikaci typu SOC 2 zvažujeme podle toho, jak poroste náš enterprise segment. Dokud ji nemáme, netvrdíme, že ji máme.

Máte na bezpečnost dotaz?

Napište nám a rádi vysvětlíme, jak vaše data chráníme. Seznam subzpracovatelů i podepsanou zpracovatelskou smlouvu pošleme na vyžádání.