TopSMS je postaveno s důrazem na bezpečnost. Šifrování end-to-end, GDPR compliance, security headers hodnocení A, audit log a responsible disclosure — vše transparentně.
V TopSMS pracujeme s daty, která mají reálnou hodnotu — telefonní čísla zákazníků, obsah marketingových kampaní, OTP kódy pro přihlášení do bank a e-shopů. Jediný únik, jediná zranitelnost v autentizaci nebo jediná chyba v audit logu může mít dopad na tisíce lidí, kteří o nás možná nikdy ani neslyšeli. Tuto zodpovědnost bereme vážně a každé rozhodnutí — od architektury databáze, přes výběr knihoven, až po nastavení nginx hlaviček — prochází bezpečnostní úvahou dřív, než cokoliv jiného.
Žádná jedna vrstva ochrany není dostatečná. Útočník, který obejde rate limit, narazí na content filter. Kdo obejde content filter, narazí na blacklist. Kdo získá databázové přístupy, narazí na fakt, že hesla uživatelů jsou hashována bcrypt s individuální solí a recovery vyžaduje OTP. Každá vrstva je navržena tak, aby fungovala i v případě, že selže ta předchozí — protože v reálných incidentech vždycky něco selže.
Bezpečnost, kterou nelze ověřit, neexistuje. Proto na této stránce neuvádíme tvrzení, která bychom nedokázali doložit — security headers můžete nezávisle ověřit přes securityheaders.com, TLS konfiguraci přes SSL Labs, DNS záznamy DKIM/SPF/DMARC přes mxtoolbox. Auditní log neexistuje jen jako marketingový bod — můžeme z něj kdykoli předložit historii administrativních akcí na váš účet (kdo, co, kdy, z jaké IP). Pokud něco netvrdíme, znamená to, že to ještě neumíme — a najdete to v Roadmapě níže.
Většina reálných incidentů nezačíná technickou zranitelností, ale lidskou chybou — phishing, slabé heslo, zapomenutý notebook v kavárně. Admin přístup do TopSMS proto vyžaduje druhý faktor (SMS OTP) i pro vlastníky účtu, princip least-privilege se uplatňuje i interně (super-admin vs. běžný admin) a každá administrativní akce — změna kreditu, povýšení role, schválení Sender ID — je auditovaná s časovým razítkem a IP adresou.
Žádný systém není 100% bezpečný — to není slogan, to je realita každého poskytovatele, který nelže. Pokud objevíte zranitelnost, pošlete ji na security@topsms.cz. Odpovídáme do 48 hodin, nesoudíme se s výzkumníky, kteří postupují dle responsible disclosure, a opravu nasazujeme přednostně před novými featurami. Náš support tým je navíc dostupný 24/7 zdarma — pokud na svém účtu vidíte podezřelou aktivitu, nečekejte na otevírací hodiny. V případě bezpečnostního incidentu, který se týká dat našich zákazníků, oznámíme to do 72 hodin podle GDPR a zveřejníme detailní postmortem.
Veškerá komunikace mezi vaším systémem a TopSMS je šifrována pomocí TLS 1.3.
Hesla jsou hashována bcrypt. Admin přístup chráněn 2FA přes SMS OTP.
Data uložena na serverech v EU (DigitalOcean Frankfurt). Neopouští EU jurisdikci.
V souladu s GDPR. Připravená DPA k podpisu pro B2B zákazníky.
Zásady ochrany osobních údajů →Administrativní akce jsou zaznamenány v auditním logu (kdo, co, kdy, IP).
HSTS, CSP, X-Frame-Options, Permissions-Policy — vše dle OWASP doporučení.
Ověřit nezávisle →Vývoj podle OWASP Top 10 — ochrana SQL injection, XSS, CSRF, broken auth.
Vítáme nahlášení zranitelností. Odpovídáme do 48 hodin.
security@topsms.czIP adresy v logech jsou truncovány na /24 podle GDPR doporučení.
Vícevrstvová ochrana: IP rate limit, content filter, blacklist, anti-spam.
Vážíme si pomoci bezpečnostních výzkumníků. Dejte nám prosím nejprve šanci na opravu, než informaci zveřejníte. Odpovídáme do 48 hodin.
security@topsms.cz