Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Bezpečnost v YARDtwin

Jak chráníme data zákazníků, zajišťujeme dostupnost platformy a dodržujeme soulad s EU GMP Annex 11, 21 CFR Part 11 a GDPR.

Hodnocení 4,8/5,00 nálezů z pentestůUložení dat v EU/EEASoulad s GDPR

Platforma a hosting

YARDtwin běží na Microsoft Azure s výpočetními prostředky v Norway East a daty, registry a tajnými klíči ve Sweden Central. Veškerá zákaznická data zůstávají v EU/EEA v souladu s GDPR, články 44–49.

App Service (Linux Container) — Norway East
Azure PostgreSQL Flexible Server — Sweden Central
Azure Blob Storage — Norway East, privátní kontejnery
Azure Key Vault — Sweden Central, řízeno přes RBAC
Azure Front Door + WAF — režim prevence
Log Analytics + Microsoft Sentinel — uchovávání po dobu 90 dní

Síťová a transportní bezpečnost

Kontrola	Implementace	Stav
TLS	TLS 1.3 s AES-256-GCM přes Azure	Ověřeno
WAF	Azure Front Door WAF (režim prevence)	Aktivní
HSTS	max-age 2 roky s předběžným načtením	Ověřeno
Pouze HTTPS	Vynuceno službou App Service	Ověřeno
Firewall DB	Pouze Azure + seznam povolených IP správců	Ověřeno

Autentizace a řízení přístupu

Kontrola	Implementace	Stav
Politika hesel	8+ znaků, velká, malá písmena, číslo, speciální znak	Vynuceno
Kontrola úniku	Vyhledávání HIBP k-anonymity při registraci / změně	Aktivní
MFA	TOTP (Google/Microsoft Authenticator)	Dostupné
SSO/SAML	SAML 2.0 (Azure AD, Okta, Google Workspace)	Aktivní
Hrubá síla	5 pokusů, zablokování na 15 minut (429)	Aktivní
JWT tokeny	Přístupový token 1 hodina, obnovovací token 7 dní	Aktivní
RBAC	8 rolí s vynucením na úrovni tras	Aktivní
Izolace tenantů	Každý dotaz filtrován podle tenant_id	Ověřeno

Ochrana dat

Kontrola	Implementace	Stav
Šifrování v klidovém stavu	Azure PostgreSQL AES-256	Aktivní
Šifrování při přenosu	TLS 1.3	Aktivní
Hashování hesel	bcrypt (12 kol)	Aktivní
Parametrizované SQL	154 dotazů, 0 zřetězení	Ověřeno
Tajné klíče	Azure Key Vault	Aktivní
Auditní záznam	Append-only, kompatibilní s ALCOA+	Aktivní

Content Security Policy

Přísná CSP s nonces pro jednotlivé požadavky na skripty (bez unsafe-inline). Kompletní sada bezpečnostních hlaviček vrácených při každé odpovědi: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy.

Testování a validace

Nezávislé penetrační testování ve dnech 17.–18. dubna 2026 (10 kategorií OWASP, 36 payloadů): 0 zranitelností.Funkční bezpečnostní testování dne 11. dubna 2026 pokrývající více než 1 890 API volání na 270 rezervací: 0 selhání.Každoroční penetrační test třetí stranou je naplánován a probíhá audit SOC 2 Type II.

Shoda s předpisy

EU GMP Annex 11 — Integrita dat (ALCOA+), append-only auditní záznam, elektronické záznamy, řízení přístupu, validováno
21 CFR Part 11 — Elektronické záznamy, auditní záznam, atribuce, řetězec custody pečetí
GDPR — Přenositelnost dat (JSON + CSV), pracovní postup DSAR, sledování souhlasů, rezidence výhradně v EU/EEA
SOC 2 Type II — Audit probíhá

Dokumenty a šablony

Šablona smlouvy o zpracování dat (DPA) — pro přezkum a podpis podnikem
Zásady GDPR
Zásady ochrany osobních údajů
security.txt

Zodpovědné zveřejňování

Vítáme hlášení od bezpečnostních výzkumníků. Napište nám e-mail na admin@yardtwin.coms popisem zjištění a kroky k reprodukci. Potvrzení přijetí zašleme do 2 pracovních dnů a kritické problémy se snažíme opravit do 7 dnů. Prosíme, nezveřejňujte zranitelnosti, dokud jsme neměli příležitost je napravit.

Poslední aktualizace: duben 2026 · yardtwin.com

Ahoj! Spusťte bezplatnou zkušební verzi za 2 minuty — pomohu vám vše nastavit!