Pilot previewMáte záujem?
NISMap
NIS2 Art. 21(2) · GDPR Art. 32

Bezpečnosť platformy NISMap

Posledná aktualizácia: 19. apríl 2026

Táto stránka popisuje naše technické a organizačné bezpečnostné opatrenia v súlade s NIS2 čl. 21 ods. 2 a GDPR čl. 32. Ide o zhrnutie — plný bezpečnostný dokument poskytujeme zákazníkom na vyžiadanie pod NDA.

Ochrana dát

  • Šifrovanie na disku — Supabase PostgreSQL s AES-256 at rest (EÚ Frankfurt).
  • Šifrovanie prenosu — TLS 1.3 s HSTS pre všetky verejné endpointy.
  • PII enkrypcia — vybrané citlivé polia (napr. contact_email v leadoch, licence assignments) sú šifrované per-row cez Supabase Vault key.
  • Zálohy — point-in-time recovery v Supabase s 7-dennou retention, denné snapshoty do oddeleného regiónu.
  • Segregácia dát — RLS (Row Level Security) na Supabase s per-tenant izoláciou; service-role kľúč používame len v serveri.

Prístup a autentifikácia

  • Viacfaktorová autentifikácia (TOTP) pre všetky používateľské účty + enforce pre admin role.
  • HIBP kontrola hesiel, password strength meter, brute-force lockout, rate-limit pre login a registráciu.
  • CSRF a anti-CSRF tokeny na state-changing endpointoch + Cloudflare Turnstile na verejných formulároch.
  • RBAC roly (owner / admin / member) s auditovaným zmenovým protokolom.
  • Session management s možnosťou revokácie + notifikácie pri zmene hesla.

Bezpečnosť aplikácie

  • Next.js 16 + strict CSP hlavičky (connect-src, frame-ancestors 'none', base-uri 'self').
  • Dependency audit cez GitHub Dependabot + Snyk scan v CI pipeline.
  • Sentry error monitoring s PII scrubbing (žiadne secrets v stack traces).
  • Secrets manažment výhradne cez Vercel env vars + rotácia API kľúčov (Anthropic, Stripe, Supabase).

Sub-processors a Schrems II

Plný zoznam sub-processorov s lokáciou, účelom a transfer mechanizmom je na /sub-processors. Všetky US-side vendory majú podpísané SCC Modul 2 2021/914; Anthropic navyše EU-US DPF (2023/1795). Zákazníci dostávajú e-mailovú notifikáciu minimálne 30 dní pred zmenou sub-processora (GDPR čl. 28 ods. 2).

Hlásenie bezpečnostných zraniteľností

Ak ste objavili zraniteľnosť, ozvite sa nám. Vyšetrujúcich bezpečnostných výskumníkov nezažalujeme (safe harbor), ak dodržiavajú pravidlá nižšie.

Kontakt
security@nismap.com

Potvrdíme prijatie do 3 pracovných dní a dáme status update do 10 dní.

V rozsahu

  • nismap.com a všetky subdomény (okrem staging.*)
  • API endpointy pod /api/* vrátane WebSocket a server-sent events
  • Klientsky kód (React/Next.js) a server-side rendering
  • PDF generátor (@react-pdf/renderer server-side)

Mimo rozsahu

  • DoS / DDoS — ochranu poskytuje Cloudflare, neštrukturovaný testing nevieme odlíšiť od reálneho útoku
  • Social engineering na zamestnancov Inger s.r.o. alebo audítorov
  • Zraniteľnosti v kóde tretích strán (Supabase, Vercel, Cloudflare — hlásiť priamo vendorovi)
  • Bruteforcing platobných tokenov Stripe — ten má vlastný bug bounty
  • Fyzické útoky na infraštruktúru vendorov
  • Scraping verejných dát cez rate-limit

Pravidlá zodpovedného testovania

  • Netestujte na produkčných zákazníckych dátach — použite sandbox alebo vlastný testovací účet
  • Nezasahujte do prevádzky, nevypínajte služby, nesťahujte extrakcie dát
  • Nezneužívajte objavené zraniteľnosti nad rámec nevyhnutný na preukázanie (PoC max)
  • Neposkytujte ani nezverejňujte nález tretím stranám pred tým, ako sme ho opravili
  • Rešpektujte disclosure timeline — štandardne 90 dní od potvrdenia

Odmeny

V tejto fáze neposkytujeme finančnú odmenu — sme pre-seed projekt. Každý platný report uverejníme v /security/hall-of-fame (ak si to reporter želá) a pridáme do referencie, ktorú radi potvrdíme budúcemu zamestnávateľovi. Pre kritické zraniteľnosti (RCE, ATO, data exfiltration) vieme pokrýť minimálne hosting/ CI náklady reportera.

Späť na hlavnú stránkuSub-processors →