Zásady zabezpečení informací pro e‑shop La-Sofia.cz (Independency s.r.o.)

Verze: 1.0
Datum účinnosti: [01.10.2025]
Schválil: Daniel Hauser / CEO
Platí pro: všechny zaměstnance, dodavatele a externí spolupracovníky, kteří pracují se systémy a daty e‑shopu La-Sofia.cz.

Provozovatel: Independency s.r.o. (IČO: 61460788, DIČ: CZ61460788), Kersko 192, 289 12 Hradištko
Doména e‑shopu: la-sofia.cz
Platforma: PrestaShop
Platební brána: Comgate (redirect/hostované stránky)

1) Účel a cíle

Stanovit pravidla a minimální bezpečnostní požadavky pro ochranu informací, systémů a služeb e‑shopu La-Sofia.cz.
Omezit rizika úniku dat, podvodů, výpadků a incidentů.
Podpořit splnění právních a smluvních povinností (zejména GDPR, obchodní a spotřebitelské právo, požadavky platebních bran/PCI DSS v přiměřeném rozsahu).

2) Působnost

Zásady se vztahují na:

Web e‑shopu (produkční, staging), administrace, mobilní aplikace [pokud existuje], API a integrační rozhraní.
Infrastrukturu (servery, cloudové služby, databáze, CDN, zálohovací systémy).
Uživatelská data (zákazníci), obchodní data (objednávky, produkty), interní dokumenty.
Třetí strany: poskytovatel hostingu vlastní VPS (Ubuntu + Plesk), platební brána Comgate, e‑mailing [např. Mailchimp], CRM [např. Raynet], aj.

3) Definice a zkratky

Osobní údaje (OU): informace identifikující fyzickou osobu (GDPR).
Citlivá data: hesla, tokeny, klíče, údaje o platbách (PAN), zdravotní či jiné zvláštní kategorie OU.
ISMS: systém řízení bezpečnosti informací.
MFA: vícefaktorové ověření.
RPO/RTO: cíle obnovy (ztráta dat / doba obnovy).
DPO: pověřenec pro ochranu osobních údajů [je‑li jmenován].

4) Role a odpovědnosti

Vedení společnosti: schvaluje zásady, zajišťuje zdroje.
Manažer bezpečnosti/IS (CISO/IS Manager): koordinuje bezpečnost, řízení rizik, incidenty.
Správce IT / DevOps: provoz infrastruktury, přístupů, záloh, patchování.
Vývojový tým: bezpečný vývoj (secure coding), code review, testy.
Zákaznická podpora / obchod: práce s daty zákazníků dle zásady „minimálního přístupu“.
DPO: GDPR, DPIA, školení, hlášení porušení OU.
Dodavatelé: plní bezpečnostní požadavky dle smlouvy a DPA.

5) Klasifikace informací

Veřejné – může být zveřejněno (marketingové texty).
Interní – pro zaměstnance (provozní postupy).
Důvěrné – smlouvy, obchodní data, ceny.
Citlivé/Osobní – osobní údaje, přístupové údaje, klíče, platební data.

Základní pravidlo: s vyšší klasifikací roste ochrana (šifrování, omezení přístupů, auditní záznamy, kratší retenční doby).

6) Zásady práce s osobními údaji (GDPR)

Minimalizace: sbírejte jen data nezbytná pro účel.
Právní základ: smlouva, oprávněný zájem, souhlas (pro marketing).
Transparentnost: aktuální informace v zásadách zpracování OU.
Retence: definujte a aplikujte doby uchování (např. objednávky [X let], logy [Y dní]).
Práva subjektů: mechanismus pro přístup, opravu, výmaz, přenositelnost, námitku.
DPIA: proveďte, pokud hrozí vysoké riziko pro práva a svobody.
Zpracovatelské smlouvy (DPA): s každým dodavatelem, který zpracovává OU.

7) Přístup a správa identit (IAM)

PrestaShop Back Office: povinné 2FA (modul), změněná admin URL, IP omezení pro roli „SuperAdmin“.
MFA povinně pro administraci, vývoj, produkční přístupy, e‑mail a cloud.
Hesla: minimálně 12 znaků (správce tajemství/Password Manager), pravidelná rotace pro servisní účty.
Princip minimálních oprávnění: role‑based access (RBAC), pravidelné recenze přístupů (min. čtvrtletně).
SSO tam, kde je to možné; zákaz sdílených účtů.
Offboarding: deaktivace účtů do 24 hodin od ukončení spolupráce.

8) Bezpečnost aplikací (AppSec)

PrestaShop – specifická opatření:

Změna URL a názvu adresáře administrace (např. admin123 → vlastní název).
Zapnout 2FA pro Back Office (modul) a IP whitelist pro citlivé role.
Aktualizovat jádro a moduly; nepoužívané moduly odstranit/zakázat.
Vypnout dev mode/debug na produkci; omezit display_errors.
Omezení přihlášení (rate‑limit, reCAPTCHA), blokace po X pokusech.
Přístupy k API PrestaShopu přes tokeny; rotace a minimální práva.
Zákaz editoru souborů přes web, nasazování pouze přes CI/CD (code review, audit commitů).
Vývoj dle OWASP ASVS/Top 10, code review, SAST/DAST, závislosti skenovat (Dependabot/Snyk).
Sekrety v trezoru ([HashiCorp Vault/AWS Secrets/1Password]), nikdy v repozitáři.
API: ověřování a autorizace (OAuth2/OIDC), rate‑limiting, audit logy.
Bezpečnostní hlavičky (HSTS, CSP, X‑Content‑Type‑Options, Referrer‑Policy, atd.).
WAF ([Cloudflare/AWS WAF/ModSecurity]) před produkčním webem.
Penetrační test min. 1× ročně a po významných změnách.

9) Infrastruktura a síť

Šifrovaný provoz: TLS 1.2+ všude (HTTPS, admin, databáze).
Segmentace: oddělení front‑end, aplikační a DB vrstev.
Firewall/SG: deny‑by‑default, jen potřebné porty.
Monitoring & alerting: metriky, logy, anomálie, kapacitní plánování.
Základní hardening OS, vypnutí nepotřebných služeb, pravidelné aktualizace.

10) Data a šifrování

V přenosu: TLS 1.2+ (SSH, HTTPS, SMTPS, databázová spojení).
V klidu: šifrování disků/volume (např. LUKS/EBS‑encryption), DB dumpů a záloh.
Správa klíčů: rotace, omezený přístup, audit.

11) Logování a audit

Auditní logy: přihlášení, administrátorské akce, změny přístupů, provozní události.
Imutabilita: logy chránit proti manipulaci, retenční doba [X dní/měsíců].
Centralizace: SIEM/Log management [např. ELK/CloudWatch/Datadog].
Časová synchronizace: NTP všude.

12) Zálohování a obnova (BC/DR)

Strategie 3‑2‑1, denní inkrementální, týdenní plné zálohy.
RPO/RTO: definujte (např. RPO 4 h, RTO 2 h).
Test obnovy: min. 1× za kvartál.
Šifrování záloh a off‑site uložení [cloud/sekundární DC].

13) Správa zranitelností a patchování

Patch cadence: OS a middleware do 14 dní od vydání, kritické do 72 h.
Skeny (vnitřní i vnější) [měsíčně/kvartálně].
Bug bounty / responsible disclosure: bezpečnostní kontakt security@la-sofia.cz a zásady zveřejnění.

14) Platební údaje a PCI DSS

Neukládat čísla karet (PAN), CVC ani celé magnetické stopy.
Používat hostované platební stránky Comgate (redirect); rozsah PCI: SAQ A (žádná karta neprochází e‑shopem).
Ověřovat podpisy a IP u notifikací/„callback“ (Comgate), používat HTTPS a rotovat API klíče.

Zásady zabezpečení