CZSKDEFRITEN
sprav.cz
Správa spolků
← Zpět na úvod

Bezpečnost a transparentnost

Jak chráníme přístup k vašim datům, co zaznamenáváme a jak funguje integritní kontrola.

Přihlašování a session

Hashování hesel

Hesla jsou uložena pomocí algoritmu Argon2id — jednoho z nejbezpečnějších hashovacích algoritmů. Původní heslo nelze z hashe rekonstruovat.

Session management

Po přihlášení se vytvoří session s omezenou platností. Session cookie je HttpOnly a Secure — není dostupné z JavaScriptu.

Ochrana proti opakovaným pokusům

Po několika neúspěšných pokusech o přihlášení se účet dočasně zablokuje. To chrání proti automatizovaným útokům (brute-force).

CSRF ochrana

Všechny formuláře a akce jsou chráněny proti Cross-Site Request Forgery útokům.

Co logujeme

Auditní záznamy slouží k transparentnosti — aby organizace měla přehled, kdo co udělal.

  • Přihlášení a odhlášení
  • Vytvoření a uzavření hlasování
  • Odevzdání a změna hlasu
  • Nahrání a úprava dokumentů
  • Změny rolí a členství
  • Publikace oznámení
  • Export dat a protokolů

Co nelogujeme

  • Obsah soukromých zpráv (logujeme pouze fakt odeslání)
  • Hesla v jakékoliv formě
  • Aktivitu na jiných webech
  • Osobní poznámky členů

IP adresa a identifikátor prohlížeče se zaznamenávají u klíčových správních úkonů (přihlášení, hlasování, změny) pro bezpečnost a dohledatelnost. Tyto údaje nejsou veřejné a slouží výhradně pro auditní účely.

Uložení souborů

Nahrané soubory (dokumenty, přílohy) jsou uloženy mimo veřejný přístup. Stahování je možné pouze přes autorizovaný endpoint — systém ověří, že uživatel je členem organizace, které dokument patří. Přímé URL na soubor neexistuje.

Integritní kontrola

Záznamy na časové ose mohou být opatřeny kryptografickým hashem (SHA-256). Pokud hash odpovídá obsahu záznamu, záznam nebyl po uložení změněn. Jedná se o technický nástroj pro transparentnost — nejde o právní certifikaci ani úřední ověření.

Rozsah a hranice systému

Sprav.cz je navržen pro transparentní interní správu. Zde je, jak systém funguje a co od něj očekávat.

  • ·Právní platnost rozhodnutí závisí na stanovách vaší organizace
  • ·Exporty a protokoly jsou technické výstupy pro interní potřebu
  • ·Hlasování je evidované (neanonymní) — slouží k transparentnosti a dohledatelnosti
  • ·Kontrolní hashe ověřují integritu záznamů, ne jejich právní platnost
  • ·Systém je nástroj pro správu, ne náhrada úředních registrů nebo datových schránek

Ochrana osobních údajů (GDPR)

  • ·Export osobních dat: člen si stáhne svá data (GDPR čl. 20)
  • ·Smazání účtu: na vyžádání — osobní údaje se pseudonymizují
  • ·Retence dat: neaktivní data se periodicky čistí
  • ·Izolace organizací: data jedné organizace nejsou viditelná jiné

Správce platformy: TimeDeals Pavelka, Berglistrasse 28a, 8180 Bülach, Švýcarsko (UID: CHE-393.597.780). Kontakt pro ochranu údajů: privacy@sprav.cz

Zásady ochrany osobních údajů →Podmínky používání →DPA — zpracování dat →
Založit organizaci zdarmaMáte otázku? Kontaktujte nás →