Šepot
Šepot
NIS2 & ISO 27001

Bezpečnostní politika

Přehled bezpečnostních opatření, kryptografických standardů a procesů, které chráníme váš soukromý messenger.

Účinnost od: 1. března 2026 | Verze 1.0

Obsah dokumentu

  1. Závazek k bezpečnosti
  2. Organizační opatření
  3. Technická opatření
  4. Kryptografické standardy
  5. Řízení přístupů
  6. Správa bezpečnostních incidentů
  7. Kontinuita činností
  8. Řízení dodavatelského řetězce
  9. Školení a awareness
  10. Audit a přezkoumání
  11. Spolupráce s NÚKIB
  12. Hlášení zranitelností
  13. Kontakt na bezpečnostní tým

1. Závazek k bezpečnosti

Bezpečnost a ochrana soukromí uživatelů je základním pilířem projektu Šepot. Tento dokument popisuje bezpečnostní opatření, která přijímáme k ochraně služby, dat a infrastruktury.

Naše bezpečnostní opatření vycházejí z principů:

  • NIS2 — Směrnice (EU) 2022/2555 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti, transponovaná zákonem o kybernetické bezpečnosti (nZKB, účinný od 1. 11. 2025)
  • ISO/IEC 27001 — Mezinárodní standard pro systémy řízení bezpečnosti informací (ISMS)
  • GDPR — Nařízení (EU) 2016/679, zejména čl. 25 (ochrana osobních údajů záměrnou a standardní ochranou) a čl. 32 (zabezpečení zpracování)

Jako open source projekt umožňujeme komunitě nezávisle ověřovat naše bezpečnostní tvrzení.

2. Organizační opatření

Na organizační úrovni přijímáme následující opatření k zajištění bezpečnosti:

  • Bezpečnostní politika — tento dokument je závazný pro všechny osoby podílející se na vývoji a provozu služby
  • Princip minimálních oprávnění — přístup k systémům je omezen na nezbytné minimum
  • Oddělení prostředí — vývojové, testovací a produkční prostředí jsou striktně oddělena
  • Code review — veškeré změny kódu procházejí recenzí před začleněním
  • Řízení změn — nasazení nových verzí probíhá kontrolovaným procesem s možností rollbacku
  • Dokumentace — bezpečnostní postupy jsou zdokumentovány a pravidelně přezkoumávány

3. Technická opatření

Technická bezpečnostní opatření jsou jádrem ochrany služby Šepot:

End-to-end šifrování

  • Veškerá komunikace je šifrována na zařízení odesílatele a dešifrována výhradně na zařízení příjemce
  • Server slouží pouze jako zprostředkovatel doručení zašifrovaných dat
  • Ani provozovatel nemá technickou možnost obsah komunikace číst

Zero-knowledge architektura

  • Server nikdy nedisponuje soukromými klíči uživatelů
  • Metadata konverzací (kdo s kým komunikuje) se neukládají
  • IP adresy uživatelů se nelogují
  • I v případě kompromitace serveru zůstává obsah komunikace v bezpečí

Síťová bezpečnost

  • TLS 1.3 pro veškerý síťový provoz
  • HSTS (HTTP Strict Transport Security) s preloadem
  • Certificate pinning v mobilních aplikacích
  • Firewall s pravidly whitelistu
  • DDoS ochrana
  • Rate limiting API požadavků

Bezpečnost aplikace

  • Ochrana proti OWASP Top 10 zranitelnostem
  • Content Security Policy (CSP)
  • CSRF ochrana
  • Input validace a sanitizace
  • Dependency scanning (automatická kontrola závislostí)

4. Kryptografické standardy

Šepot využívá následující kryptografické algoritmy a protokoly, které splňují doporučení NÚKIB a odpovídají aktuálním mezinárodním standardům:

ÚčelAlgoritmusSpecifikace
Výměna klíčůX25519Diffie-Hellman na Curve25519 (RFC 7748)
Šifrování zprávXSalsa20-Poly1305AEAD šifrování s autentizací (NaCl/libsodium)
Digitální podpisyEd25519EdDSA na Curve25519 (RFC 8032)
Hashování heselArgon2idPaměťově náročný KDF (RFC 9106), odolný vůči GPU/ASIC
Přenos datTLS 1.3Transport Layer Security (RFC 8446)
Generátor náhodnostiCSPRNGKryptograficky bezpečný PRNG operačního systému

Veškeré kryptografické operace jsou implementovány pomocí auditovaných knihoven (NaCl/libsodium). Vlastní kryptografické algoritmy nepoužíváme.

5. Řízení přístupů

Přístup k serverové infrastruktuře a produkčním systémům je řízený následujícími opatřeními:

  • Vícefaktorová autentizace (MFA) — povinná pro přístup k produkčním systémům
  • SSH klíče — přístup výhradně prostřednictvím SSH klíčů, přihlášení heslem je zakázáno
  • Princip nejmenšího oprávnění — každý přístup je omezen na minimum nezbytné pro danou roli
  • Audit log — veškeré přístupy k infrastruktuře jsou zaznamenávány
  • Pravidelná revize — přístupová oprávnění jsou pravidelně přezkoumávána a nepotřebná revokována

6. Správa bezpečnostních incidentů

V souladu s požadavky NIS2 (směrnice 2022/2555) a nového zákona o kybernetické bezpečnosti (nZKB) máme zaveden proces řízení bezpečnostních incidentů:

Časové lhůty hlášení dle NIS2

  • Do 24 hodin — předběžné hlášení významného incidentu národnímu CSIRT týmu (NÚKIB)
  • Do 72 hodin — podrobné hlášení s posouzením závažnosti, dopadu a přijatých opatření
  • Do 1 měsíce — závěrečná zpráva s analýzou příčin, přijatými opatřeními a poučením

Proces reakce na incident

  1. Detekce — identifikace a potvrzení incidentu
  2. Klasifikace — posouzení závažnosti a dopadu
  3. Izolace — omezení šíření incidentu
  4. Oznámení — informování NÚKIB a dotčených uživatelů
  5. Náprava — odstranění příčiny a obnovení služby
  6. Analýza — vyhodnocení příčin a poučení

V případě porušení zabezpečení osobních údajů budou dotčení uživatelé informováni bez zbytečného odkladu dle čl. 34 GDPR. Vzhledem k zero-knowledge architektuře je dopad na obsah komunikace minimální i v případě kompromitace serveru.

7. Kontinuita činností

Pro zajištění dostupnosti služby a odolnosti vůči výpadkům přijímáme následující opatření:

  • Zálohování — pravidelné automatizované zálohy serverové konfigurace a metadat (obsah zpráv na serveru neuchováváme)
  • Disaster recovery — dokumentované postupy pro obnovu služby z zálohy
  • Monitoring — nepřetržitý monitoring dostupnosti a výkonu služby
  • Geografická redundance — infrastruktura s možností přepnutí na záložní lokaci
  • Testování obnovy — pravidelné testování postupů disaster recovery

Díky decentralizované povaze E2E šifrování jsou zprávy uloženy primárně na zařízeních uživatelů. Výpadek serveru tedy neznamená ztrátu historických zpráv.

8. Řízení dodavatelského řetězce

V souladu s požadavky NIS2 na řízení bezpečnosti dodavatelského řetězce:

  • Závislosti — pravidelný audit a aktualizace softwarových závislostí (automatizované nástroje pro detekci zranitelností)
  • Open source — preferujeme auditované open source knihovny s aktivní komunitou
  • SBOM — udržujeme Software Bill of Materials pro transparentní přehled o všech komponentách
  • Hosting — serverová infrastruktura provozovaná v České republice pod vlastní správou
  • Minimalizace závislostí — používáme co nejmenší počet externích služeb a závislostí

9. Školení a awareness

Všechny osoby podílející se na vývoji a provozu Šepotu procházejí:

  • Bezpečnostní školení — základy kybernetické bezpečnosti, bezpečný vývoj software
  • OWASP awareness — znalost nejčastějších zranitelností webových aplikací
  • Kryptografické minimum — principy šifrování, správa klíčů, bezpečné protokoly
  • Incident response — znalost postupů při bezpečnostním incidentu
  • GDPR a ochrana dat — principy zpracování osobních údajů

10. Audit a přezkoumání

Bezpečnostní opatření podléhají pravidelnému přezkoumání:

  • Interní audit — pravidelné přezkoumání bezpečnostních opatření a jejich účinnosti
  • Penetrační testy — pravidelné testování odolnosti služby vůči útokům
  • Code audit — bezpečnostní revize zdrojového kódu, usnadněná open source povahou projektu
  • Vulnerability scanning — automatizované skenování zranitelností infrastruktury
  • Aktualizace politiky — tento dokument je přezkoumáván a aktualizován minimálně jednou ročně

Výsledky bezpečnostních auditů relevantní pro uživatele budou zveřejňovány na webu.

11. Spolupráce s NÚKIB

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) je regulátorem kybernetické bezpečnosti v České republice. V souladu s požadavky NIS2 a nZKB:

  • Hlásíme významné bezpečnostní incidenty v zákonem stanovených lhůtách
  • Spolupracujeme při řešení kybernetických hrozeb a incidentů
  • Dodržujeme vyhlášky a doporučení NÚKIB v oblasti kybernetické bezpečnosti

12. Hlášení zranitelností

Pokud jste objevili bezpečnostní zranitelnost v Šepotu, prosíme o její zodpovědné nahlášení. Podrobné informace naleznete v naší politice zodpovědného hlášení.

Bezpečnostní záležitosti hlaste na: [email protected]

13. Kontakt na bezpečnostní tým

Shrnutí

Šepot implementuje vícevrstvou bezpečnostní architekturu založenou na E2E šifrování, zero-knowledge principech a moderních kryptografických standardech. Dodržujeme principy NIS2 a ISO 27001 včetně řízení incidentů, kontinuity činností a řízení dodavatelského řetězce. Celý zdrojový kód je open source a otevřený nezávislému auditu.