BEZPEČNOST PLATFORMY DIRECT FIDOO

Platforma Direct Fidoo je postavena na bankovních bezpečnostních standardech s daty výhradně v EU. Bezpečnostní procesy, které jsme vybudovali pro regulované finanční služby, aplikujeme na celou platformu od prvního dne.

  • Soulad s GDPR
  • Microsoft Azure EU
  • AES-256 šifrování
  • ISO 27001 certifikace v procesu

PROČ NA BEZPEČNOSTI OPRAVDU ZÁLEŽÍ

Pracujeme s vašimi transakčními daty a osobními údaji. Budujeme fintech, který je bezpečný by design – s vědomím, že usilujeme o soulad s DORA, NIS2 a ISO 27001. Místo toho, abychom bezpečnost přidávali zpětně, stavíme ji jako základ od prvního řádku kódu a prvního procesního dokumentu.

1.

Šifrování na bankovní úrovni

Veškerá data šifrujeme standardem AES-256 v klidu a protokoly TLS 1.2/1.3 při přenosu. V platformě nemáme neudržované datové kanály — šifrování je výchozí stav každého připojení, endpointu i úložiště, nikoli volitelná funkce.

Data v klidu

AES-256 šifrování, Azure-managed keys s pravidelnou rotací

Data při přenosu

TLS 1.2 / TLS 1.3 pro veškerou komunikaci

API komunikace

Šifrované endpointy, žádné plain-text kanály

Zálohy

Šifrované zálohy v geograficky oddělených lokalitách

2.

Data výhradně v EU – Microsoft Azure

Veškerá data Direct Fidoo jsou uložena a zpracovávána výhradně v Evropské unii, v datových centrech Microsoft Azure v regionech West Europe (Nizozemsko) a North Europe (Irsko). Data nikdy neopouštějí evropský právní prostor — ani pro zálohy, ani pro zpracování. Geografické oddělení lokalit zajišťuje dostupnost i při výpadku jednoho regionu. Microsoft Azure disponuje certifikacemi relevantními pro finanční sektor: ISO 27001, SOC 2 Type II, CSA STAR, PCI DSS a dalšími. Azure jako poskytovatel kritické ICT infrastruktury musí také splňovat náležitosti pro soulad s unijními normami DORA a NIS2.

Primární region

West Europe (Nizozemsko)

DR region

North Europe (Irsko)

Certifikace Azure

ISO 27001, SOC 2 Type II, CSA STAR, PCI DSS

Datová suverenita

Data nikdy neopouštějí EU

Soulad s regulacemi

GDPR, DORA (Azure jako kritický ICT poskytovatel)

3.

Přístup pouze pro čtení – unikátní bezpečnostní model

Máme k vašim bankovním účtům výhradně přístup pro čtení (read-only) – platforma technicky není schopna iniciovat žádnou platbu, převod ani jinou finanční operaci. Toto není jen politické rozhodnutí, je to architektonické omezení na úrovni API integrace. Veškeré přístupy jsou zaznamenány v auditní stopě pro interní audit či případnou kontrolu ze strany dozorových orgánů.

4.

Bezpečnostní framework dle ISO 27001

Bezpečnost informací řídíme prostřednictvím interního systému řízení bezpečnosti informací, který vychází z principů normy ISO/IEC 27001. Tento systém zahrnuje pravidelné hodnocení ICT a bezpečnostních rizik, zavádění odpovídajících bezpečnostních opatření a průběžné ověřování jejich účinnosti. Hodnocení ICT rizik probíhá nejméně jednou ročně a jeho výsledky jsou schvalovány vedením společnosti. Společnost se zároveň připravuje na formální proces certifikace podle ISO/IEC 27001.

IAM
NASAZENO
Microsoft Entra ID

Centrální správa identit a přístupů prostřednictvím Microsoft Entra ID (dříve Azure Active Directory) — enterprise-grade platforma pro řízení přístupů k závislostí na kontextu.

  • Podmíněný přístup (Conditional Access): Každý přístup k Azure zdrojům je hodnocen na základě kontextu – polohy uživatele, zařízení, ze kterého přistupuje, a jeho rizikového skóre. Přístupy z neznámých zařízení nebo z rizikových lokalit jsou automaticky blokovány nebo vyžadují dodatečné ověření.
  • Vícefaktorové ověřování (MFA): MFA je vynuceno pro všechny uživatele a systémové účty bez výjimky. Přihlášení pouze heslem není na platformě možné.
  • Řízení přístupů na základě rolí (RBAC): Každý uživatel a systém má přiděleny pouze ty přístupy, které nezbytně potřebuje pro svou práci (princip nejnižšího oprávnění – least privilege). Přístupy jsou pravidelně revidovány.
  • Privileged Identity Management (PIM): Privilegované role (administrátorské přístupy, přístupy k produkčním systémům) jsou pod kontrolou PIM. Každý privilegovaný přístup musí být explicitně aktivován, schválen druhou osobou a je časově omezen. Platforma funguje na principu zero standing access – nikdo nemá trvale aktivní privilegovaný přístup.
  • Automatizace joiner/mover/leaver: Při nástupu, přechodu nebo odchodu zaměstnance Direct Fidoo jsou přístupy automatizovaně upraveny do jednoho pracovního dne na základě HR dat.
SIEM
V PROCESU
Microsoft Sentinel

Microsoft Sentinel (SIEM) shromažďuje logy ze všech Azure zdrojů, analyzuje je v reálném čase a identifikuje anomálie a hrozby.

Na základě detekce spouští automatizované odpovědi na incidenty (playbooks) – izolace účtu, blokování provozu, eskalace na tým – bez nutnosti manuálního zásahu. Zajišťuje rovněž auditní stopu, která je klíčová pro interní audit a audit orgánu dohledu.

CSPM
V PROCESU
Defender for cloud

Defender for Cloud (CSPM/CWPP) kontinuálně hodnotí konfiguraci Azure zdrojů oproti bezpečnostním benchmarkům (Azure Security Benchmark, CIS Controls, DORA).

Identifikuje slabá místa a nabízí doporučení k nápravě. Poskytuje aktivní ochranu serverů, databází, kontejnerů a API – detekuje průniky a zneužití zranitelností v reálném čase. Bezpečnostní skóre (Secure Score) dává kontinuální přehled o bezpečnosti celé platformy.

WAF
PŘIPRAVUJEME
Web Application Firewall

Webové aplikace jsou chráněny Web Application Firewallem (WAF), který filtruje HTTP/HTTPS provoz a chrání před útoky dle klasifikace OWASP Top 10.

Chrání před nejčastějšími webovými útoky – SQL injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) a dalšími. WAF pravidla jsou pravidelně aktualizována a revidována, aby reflektovala aktuální hrozby. Kontinuální monitoring webového provozu umožňuje rychlou detekci a zablokování anomálního chování.

DEVSECOPS
PŘIPRAVUJEME
Pipeline Security Scan a Supply Chain Security

Bezpečnost je integrována do vývojového procesu (DevSecOps): automatizovaná validace CI/CD pipeline zabraňuje nasazení zranitelného kódu do produkce.

Supply chain security pokrývá skenování závislostí a kontejnerů pomocí Software Bill of Materials (SBOM) – úplného soupisu softwarových komponent pro identifikaci zranitelností v dodavatelském řetězci.

AUDIT
PŘIPRAVUJEME
Mandatory Diagnostic Settings – auditní viditelnost

Všechny Azure zdroje mají povinně nastaveny diagnostické logy (Mandatory Diagnostic Settings) – každá akce na infrastruktuře je centrálně dostupná pro monitoring a audit.

Přístup k databázi, změna konfigurace, síťový provoz – vše zaznamenáno. Žádná část infrastruktury není mimo dohled bezpečnostních nástrojů, což je předpoklad pro splnění požadavků DORA na monitoring a reportování.

GDPR – plně implementováno

Splněno:

  • Jmenovaný Data Protection Officer (DPO)
  • Data Protection Impact Assessment (DPIA) pro vysoko rizikové aktivity zpracování
  • Implementovány procesy pro práva subjektů údajů: právo na přístup, opravu, výmaz, přenositelnost
  • Formální model klasifikace dat dle citlivosti s definovanými retenčními periodami
  • Bezpečná likvidace dat dle interních politik při ukončení smluvního vztahu

ISO 27001 – certifikace v procesu

Provozujeme plně dokumentovaný Information Security Framework v souladu s principy ISO 27001. Standard ISO 27001 definuje požadavky na systém řízení bezpečnosti informací (ISMS) a je uznávaným mezinárodním benchmarkem pro bezpečnostní management.

Expense Management – regulovaný produkt

Direct Fidoo Platform je součástí regulované skupiny firem. Do portfolia platební instituce Direct Fidoo Payments patří produkt Direct Fidoo EM. Další regulovanou entitou je Direct pojišťovna – obě společnosti jsou regulovány ČNB.

  • Licence ČNB
  • Mastercard
  • AML/CFT
  • Direct Pojišťovna

Monitoring a reakce na incidenty

  • Nepřetržitý automatizovaný monitoring: Microsoft Sentinel (SIEM) + Microsoft Defender for Cloud
  • Definované eskalační procedury a on-call rotace s měřitelnými SLA
  • Incident Management proces dle ITIL: definované role, předání informací mezi Customer Care a vývojovými týmy, eskalační matice
  • Formální krizový tým zahrnující IT, Cyber Security, Marketing, Risk, Compliance a vedení společnosti
  • Kritické bezpečnostní incidenty: notifikace klientům do 24 hodin od detekce
  • Kompletní zpráva o incidentu: do 72 hodin

Vulnerability Management

  • Automatizované kontinuální skenování zdrojů: Microsoft Defender for Cloud
  • Pravidelné externí penetrační testy (akreditovaná třetí strana) pokrývající WEB, API i mobilní aplikace
  • Remediace kritických zranitelností: do 7 dní
  • Remediace high severity: do 30 dní
  • Drobné nálezy remediovány v dohodnutých termínech dle priority
  • Pipeline Security Scan: automatizovaná validace kódu před nasazením do produkce
  • Supply Chain Scan: SBOM-based skenování závislostí a kontejnerů

Business Continuity & Disaster Recovery

  • Formální Business Continuity Management (BCM) politika
  • Business Impact Analysis pro identifikaci a klasifikaci kritických služeb
  • Definované RTO (Recovery Time Objective) a RPO (Recovery Point Objective)
  • Geograficky oddělené DR sites na Microsoft Azure (West Europe + North Europe)
  • Pravidelné testování BC/DR plánů a dokumentace výsledků

Správa dat a ochrana soukromí

  • Formální model klasifikace dat: veřejné, interní, chráněné, přísně chráněné
  • Definované retenční periody a bezpečná likvidace dat (NIST 800-88 kompatibilní)
  • DPIA pro vysokorizikové aktivity zpracování, jmenovaný DPO
  • Breach notification v souladu s GDPR (72h)

Řízení rizik třetích stran a dodavatelů

  • Formální outsourcing politika jako součást TPRM (Third-Party Risk Management) Policy
  • Vendor risk assessment před podpisem každého nového dodavatele
  • Pravidelný re-assessment existujících dodavatelů na základě rizikového profilu
  • Exit strategie pro kritické poskytovatele, revidovaná každoročně
  • Sub-outsourcing kontrolován – vyžaduje smluvní souhlas Direct Fidoo
  • Kritický outsourcing schvaluje Výbor pro rizika a vedení společnosti

Pokrytí testů

WEB aplikace, API, mobilní aplikace (iOS + Android)

Typ testů

Black-box, grey-box, white-box v závislosti na oblasti

Kritické vady

Zaslány okamžitě k opravě, bez čekání na závěrečnou zprávu

Reportovací analýza

Identifikace rizikových vývojových vzorů + systémová náprava

Ověřená oprava

Verifikace zápat je součástí každého testovacího cyklu

Dostupnost výsledků

Sdílíme na vyžádání pod NDA (security@fidoo.com)

Povinné školení

Každý zaměstnanec absolvuje povinné bezpečnostní školení při nástupu i pravidelně opakovaně – phishing, social engineering, bezpečná práce s daty.

Background checks

Prověřujeme všechny zaměstnance pracující s citlivými daty, včetně ověření v insolvenčním rejstříku.

Závazky mlčenlivosti

NDA je standardní součástí pracovních smluv i smluv s externími kontraktory.

Security by design

Security review je povinnou součástí designu každé nové funkce – bezpečnost není přídavek na konci.

0+
firem na platformě
0+
uživatelů
0
klientů Direct skupiny
0
na trhu od roku

Role-based přístupy

Nastavte přesně, kdo ve vaší organizaci má přístup, ke kterým datům a funkcím. Granulární RBAC model pokrývá všechny role v organizaci.

Auditní stopa

Každá akce je zalogována s časovým razítkem, identitou uživatele a kontextem. Auditní záznamy nelze zpětně měnit.

Práva dle GDPR

Právo na přístup, opravu i výmaz vašich dat je plně implementováno. Žádosti vyřizujeme v zákonné lhůtě.

Read-only model

Vidíme vaše transakční data, ale nemůžeme s nimi nakládat. Žádné platby, převody ani finanční operace nejsou technicky možné.

Náš bezpečnostní tým je připraven odpovědět na vaše dotazy, sdílet dokumentaci pod NDA nebo vyplnit váš bezpečnostní dotazník. Kontaktujte nás na security@fidoo.com — odpovídáme zpravidla do pracovních dnů. Pro detailní technické dotazy nebo due-diligence procesy přepojíme Security Overview dokument nebo vyplníme váš DDQ formulář.

 

Nová platforma samotná nepodléhá bankovní regulaci. Aplikujeme na ni však stejné bezpečnostní standardy a procesy jako na naši regulovanou společnost Direct Fidoo Payments, která je platební institucí podléhající dohledu České národní banky. Provozujeme kompletní bezpečnostní framework podle principů ISO 27001 a implementujeme požadavky DORA a NIS2.