BEZPEČNOST PLATFORMY DIRECT FIDOO

Vaše finanční data jsou s Direct Fidoo v bezpečí

Platforma Direct Fidoo je postavena na bankovních bezpečnostních standardech s daty výhradně v EU. Bezpečnostní procesy, které jsme vybudovali pro regulované finanční služby, aplikujeme na celou platformu od prvního dne.

Soulad s GDPR Microsoft Azure EU AES-256 šifrování ISO 27001 certifikace v procesu
PROČ NA BEZPEČNOSTI OPRAVDU ZÁLEŽÍ

Pracujeme s Vašimi transakčními daty a osobními údaji. Budujeme fintech, který je bezpečný by design — a věříme, že důvěru je nutné si zasloužit. Ke zákazníkům přistupujeme transparentně: stavíme z jasné báze prvních řádků kódu a první procesní dokumentace.

JAK DIRECT FIDOO CHRÁNÍ VAŠE DATA

Čtyři pilíře ochrany

Celá bezpečnostní architektura Direct Fidoo stojí na čtyřech základních principech, které se vzájemně doplňují a pokrývají ochranu dat od uložení až po přenos, přístup a zpracování.

1.

Šifrování na bankovní úrovni

Veškerá data šifrujeme standardem AES-256 v klidu a protokoly TLS 1.2/1.3 při přenosu. V platformě nemáme neudržované datové kanály — šifrování je výchozí stav každého připojení, endpointu i úložiště, nikoli volitelná funkce.

Data v kliduAES-256 šifrování, Azure-managed keys a proměnlivé rotace
Data při přenosuTLS 1.2 / TLS 1.3 pro veškerou komunikaci
API komunikaceŠifrované endpointy, žádné plain-text kanály
ZálohyŠifrované zálohy v geograficky oddělených lokalitách
2.

Data výhradně v EU – Microsoft Azure

Veškerá data Direct Fidoo jsou uložena a zpracovávána výhradně v Evropské unii, v datových centrech Microsoft Azure v regionech West Europe (Nizozemsko) a North Europe (Irsko). Data nikdy neopouštějí evropský právní prostor — ani pro zálohy, ani pro zpracování. Geografické oddělení lokalit zajišťuje dostupnost i při výpadku jednoho regionu.

Microsoft Azure disponuje certifikacemi relevantními pro finanční sektor: ISO 27001, SOC 2 Type II, CSA STAR, PCI DSS a další. Azure jako poskytovatel kritické ICT infrastruktury má rovněž vlastní opatření pro soulad s DORA a NIS2.

Primární regionWest Europe (Nizozemsko)
DR regionNorth Europe (Irsko)
Certifikace AzureISO 27001, SOC 2 Type II, CSA STAR, PCI DSS
Datová suverenitaData nikdy neopouštějí EU
Soulad s regulacemiGDPR, DORA (Azure jako kritický ICT poskytovatel)
3.

Přístup pouze pro čtení – unikátní bezpečnostní model

Máme k Vašim bankovním účtům výhradně přístup pro čtení (read-only) — platforma technicky není schopna iniciovat žádnou platbu, převod ani jinou finanční operaci. Tato sada práv je nastavena na technologické úrovni ve smlouvě API integrace. Veškeré přístupy jsou zaznamenány v auditní stopě pro interní audit i audit orgánu dohledu.

4.

Bezpečnostní framework dle ISO 27001

Provozujeme kompletní Information Security Framework (ISF) v souladu s principy ISO 27001, včetně pravidelných systematických hodnocení rizik, implementace bezpečnostních opatření a jejich pravidelné přezkoumání. Součástí je řízení hodnocení ICT rizik schvalované nezávislým vedením společnosti. Formální certifikace ISO 27001 je v procesu přípravy.

BEZPEČNOSTNÍ ARCHITEKTURA AZURE – PODROBNĚ

Zabezpečení cloud-native platformy

Platforma Direct Fidoo je postavena jako cloud-native aplikace na Microsoft Azure, přičemž plně využívá bezpečnostní ekosystém, který Azure poskytuje pro regulované finanční služby. Níže jsou popsány klíčové bezpečnostní nástroje a kontrolní mechanismy, které jsou součástí naší architektury.

IAM Nasazeno

Microsoft Entra ID

Centrální správa identit a přístupů prostřednictvím Microsoft Entra ID (dříve Azure Active Directory) — enterprise-grade platforma pro řízení přístupů k závislostí na kontextu.

Zobrazit detaily →
SIEM V procesu

Microsoft Sentinel

Microsoft Sentinel (SIEM) shromažďuje logy ze všech vrstev Azure, analyzuje je v reálném čase a identifikuje anomálie a hrozby.

Zobrazit detaily →
EDR V procesu

Defender for Cloud

Defender for Cloud (CSPM/CWPP) kontinuálně hodnotí konfiguraci Azure zdrojů oproti bezpečnostním benchmarkům (Azure Security Benchmark, CIS Controls, DORA).

Zobrazit detaily →
WAF Připravujeme

Web Application Firewall

Webové aplikace jsou chráněny WAF dle Application Firewall (WAF), který filtruje HTTP/HTTPS provoz a chrání před útoky dle klasifikace OWASP Top 10.

Zobrazit detaily →
DEVSECOPS Připravujeme

Pipeline Security Scan a Supply Chain Security

Bezpečnost je integrována do vývojového procesu (DevSecOps): automatizované validace CI/CD pipeline (zahrnuje rozsahem zranitelností kódu do produkce.

Zobrazit detaily →
AUDIT Připravujeme

Mandatory Diagnostic Settings – auditní viditelnost

Všechny Azure zdroje mají povinně nastavený Mandatory Diagnostic Settings — každá akce na infrastruktuře je centrálně dostupná pro monitoring a audit.

Zobrazit detaily →
PENETRAČNÍ TESTY

Odolnost vůči hackerům ověřena externě

Pravidelně podstupujeme penetrační testy prováděné akreditovanou třetí stranou. Penetrační testy (pentesty) jsou řízené simulace skutečných kybernetických útoků, jejichž cílem je identifikovat zranitelnosti dříve, než je najde skutečný útočník. Testování pokrývá webové aplikace, mobilní aplikace a API.

Pokrytí testůWEB aplikace, API, mobilní aplikace (iOS + Android)
Typ testůBlack-box, grey-box, white-box v závislosti na oblasti
Kritické vadyZaslány okamžitě k opravě, bez čekání na závěrečnou zprávu
Reportovací analýzaIdentifikace rizikových vývojových vzorů + systémová náprava
Ověřená opravaVerifikace zápat je součástí každého testovacího cyklu
Dostupnost výsledkůSdílíme na vyžádání pod NDA (security@fidoo.com)
BEZPEČNOSTNÍ STANDARDY A COMPLIANCE

Přehled standardů

K regulatorním požadavkům přistupujeme proaktivně — bezpečnostní opatření stavíme tak, aby splňovala nejen aktuální povinnosti, ale zároveň připravujeme platformu na nadcházející regulace finančního sektoru.

GDPR – plně implementováno

Hlídáme
  • Jmenovaný Data Protection Officer (DPO)
  • Data Protection Impact Assessment (DPIA) pro vysokorizikové aktivity zpracování
  • Implementovány procesy pro práva subjektů údajů: přístup, oprava, výmaz, omezení zpracování
  • Breach notification proces: hlášení regulátoru do 72 hodin od detekce incidentu
  • Pravidelné review řízení dat se zaměřením na minimalizaci osobních údajů
  • Bezpečně likvidace dat dle interních pravidel při ukončení smluvního vztahu

ISO 27001 – certifikace v procesu

V procesu

Provozujeme plně dokumentovaný Information Security Framework v souladu s principy ISO 27001. Standard ISO 27001 definuje požadavky na systém řízení bezpečnosti informací (ISMS) a je uznávaným mezinárodním benchmarkem pro bezpečnostní management.

DORA – Digital Operational Resilience Act

Implementujeme

DORA je nařízení EU, které ukládá finančním institucím a jejich klíčovým ICT poskytovatelům povinnost zajistit bezpečnostní benchmark v oblasti digitální operační odolnosti. Platforma budujeme přímá v souladu s DORA:

  • Framework pro řízení ICT rizik – dokumentovaný, pravidelně revidovaný
  • Klasifikace a reportování ICT incidentů podle požadovaných taxonomií DORA
  • Digital Operational Resilience Testing (DORT) – penetrační testy pod auditní compliance
  • Řízení rizik třetích stran ICT (Third-Party Risk Management) – ICT smluvními rámcovými smlouvami Azure
  • Information Sharing Framework dle pravidel finančního sektoru (Threat Intelligence Sharing)

NIS2 – sítová a informační bezpečnost

Implementujeme

NIS2 rozšiřuje povinnosti kybernetické bezpečnosti na širší okruh subjektů a zavádějí povinnosti na bezpečnostní opatření a procesy hlášení (Information Sentinel, Defender for Cloud, WAF, Vulnerability Management) – součástí management – je nasídlena v souladu s požadavky NIS2.

Expense Management – regulovaný produkt

Produkt Direct Fidoo Expense Management je v portfolio společnosti Direct Fidoo Payments, která je regulovaným České národní bankou. Vyšším kreditní hlavní Mastercard a splňuje další legislativu pro archivaci a soulad s AML/CFT. Další regulovanou entitou je Direct FidooPay — obě entity jsou regulovány Českou národní bankou. Bezpečnostní procesy, které tvoří archivaci, sdílíme napříč celou platformou.

License ČNB Mastercard AML/CFT Direct FidooPay

Technické zabezpečení platformy

Detailní přehled

Určeno pro IT a bezpečnostní týmy, kteří chtějí znát detaily naší bezpečnostní architektury.

Monitoring a reakce na incidenty

Detailní obsah doplníme později. Kontaktujte security@fidoo.com pro aktuální dokumentaci.

Vulnerability Management

Detailní obsah doplníme později. Kontaktujte security@fidoo.com pro aktuální dokumentaci.

Business Continuity & Disaster Recovery

Detailní obsah doplníme později. Kontaktujte security@fidoo.com pro aktuální dokumentaci.

Správa dat a ochrana soukromí

Detailní obsah doplníme později. Kontaktujte security@fidoo.com pro aktuální dokumentaci.

Řízení rizik třetích stran a dodavatelů

Detailní obsah doplníme později. Kontaktujte security@fidoo.com pro aktuální dokumentaci.

BEZPEČNOSTNÍ ZÁKON O LIDÍ

Lidská stránka bezpečnosti

Technologie je jen tak silná, jak silní jsou lidé, kteří ji budují a provozují. Proto věnujeme stejnou pozornost lidské bezpečnosti jako té technické.

Povinné školení

Každý zaměstnanec absolvuje povinné bezpečnostní školení při nástupu / pravidelně, opakované a phishing, social engineering, bezpečné práce s daty.

Background checks

Prověřujeme všechny zaměstnance pracující s citlivými daty, ověření kontextu i osobnostních rizik.

Závazky mlčenlivosti

NDA a standardní souladí pravomocí v rámci i externí kontraktory.

Security by design

Bezpečnost je součástí vývojového procesu od první iterace, každý nový vývojář prochází bezpečnostním kódem.

VAŠE DATA

Plná kontrola nad Vašimi firemními daty

Přístup k datům, jejich viditelnost a využití jsou plně pod Vaší kontrolou.

Role-based přístupy

Nastavte přesně, kdo ve Vaší organizaci má přístup, ke kterým datům a funkcím. Granulární RBAC model pokrývá všechny role a i workflow.

Auditní stopa

Každá akce je zaznamenána s časovým razítkem, identitou uživatele a kontextem. Auditní záznamy nelze zpětně měnit.

Práva dle GDPR

Právo na přístup, opravu i výmaz Vašich dat je plně implementováno. Žádost vyřizujeme v zákonných lhůtách.

Read-only model

Vidíme Vaše transakční data, ale neměníme je v rámci nastavení. Žádné platby, převody ani finanční operace nejsou technicky možné.

1 400+
firem na platformě
37 000+
uživatelů
900 000
klientů Direct skupiny
2014
na trhu od roku
Je nová Direct Fidoo platforma regulovaná?

Odpověď doplníme později. Kontaktujte security@fidoo.com pro detaily.

Kde jsou uložena moje data?

Odpověď doplníme později. Kontaktujte security@fidoo.com pro detaily.

Může Direct Fidoo provádět platby nebo převody z mého účtu?

Odpověď doplníme později. Kontaktujte security@fidoo.com pro detaily.

Jak jsou moje data šifrována?

Odpověď doplníme později. Kontaktujte security@fidoo.com pro detaily.

Máte ISO 27001 certifikaci?

Odpověď doplníme později. Kontaktujte security@fidoo.com pro detaily.

Mohu si vyžádat výsledky penetračních testů?

Odpověď doplníme později. Kontaktujte security@fidoo.com pro detaily.

Jak rychle se dokáže detekovat na bezpečnostní incidenty?

Odpověď doplníme později. Kontaktujte security@fidoo.com pro detaily.

Máte k dispozici bezpečnostní dokumentaci?

Odpověď doplníme později. Kontaktujte security@fidoo.com pro detaily.

POTŘEBUJETE VÍCE INFORMACÍ?

Potřebujete více informací o bezpečnosti?

Náš bezpečnostní tým je připraven odpovědět na Vaše dotazy, sdílet dokumentaci pod NDA nebo vyplnit Váš bezpečnostní dotazník. Kontaktujte nás na security@fidoo.com — odpovídáme zpravidla do pracovních dnů. Pro detailní technické dotazy nebo due-diligence procesy přepojíme Security Overview dokument nebo vyplníme Váš DDQ formulář.

Kontaktujte bezpečnostní tým Stáhnout Security Overview