Bezpečnostní zásady

Bezpečnost dat naší komunity je naší prioritou. Tato stránka popisuje, jak nahlásit zranitelnost a jak reagujeme.

Aktualizováno 17. května 2026

1. Nahlásit zranitelnost

Pokud objevíte bezpečnostní zranitelnost, napište nám na security@aukilo.com (nebo na contact@aukilo.com s předmětem „[SECURITY]").

Příjem potvrdíme do 72 pracovních hodin a budeme vás informovat o postupu.

Pro urychlení triage prosím uveďte pokud možno:

  • jasný popis zranitelnosti a jejího dopadu;
  • kroky k její reprodukci;
  • verzi aplikace nebo dotčenou URL;
  • vaše jméno či přezdívku, pokud chcete být uveden·a.

2. Rozsah

Tato politika pokrývá:

  • web a subdomény aukilo.com;
  • mobilní aplikaci Aukilo (iOS a Android);
  • Supabase Edge Functions nasazené v oficiálním projektu.

3. Mimo rozsah

Následující položky nejsou pokryty a nejsou způsobilé pro zodpovědné zveřejnění:

  • útoky odepření služby (DOS / DDoS);
  • phishing a sociální inženýrství vůči týmu či uživatelům;
  • hromadný scraping nebo pokusy obejít kvóty;
  • již známé zranitelnosti nebo ty, které se opravují;
  • služby třetích stran (Vercel, Supabase, Firebase, Google) — nahlaste je přímo poskytovateli;
  • staré e-mailové adresy nebo parkované domény.

4. Náš závazek

Pokud dodržíte pravidla této politiky:

  • nepodnikneme proti vám právní kroky;
  • budeme s vámi spolupracovat na potvrzení a opravě;
  • veřejně vám poděkujeme (s vaším souhlasem) po nasazení opravy;
  • v případě potřeby zveřejníme anonymní post-mortem.

Aukilo (zatím) neprovozuje placený bug bounty program. Uznání je symbolické.

5. Pravidla, která je třeba dodržet

Abyste mohli využít našeho závazku, prosím:

  • nepřistupujte k uživatelským datům ani je neměňte bez jejich souhlasu;
  • nezhoršujte službu ani nepřerušujte její provoz;
  • nezveřejňujte zranitelnost veřejně, dokud ji neopravíme;
  • nezneužívejte zranitelnost nad rámec minimálního proof of concept.

6. Uživatelská data

Aukilo zpracovává osobní údaje v souladu s GDPR a naší zásadou ochrany osobních údajů. Pokud zranitelnost odhalí osobní údaje, splníme oznamovací povinnosti podle předpisů (CNIL, dotčení uživatelé).

7. Kontakt

Pro jakékoli dotazy k této politice: security@aukilo.com.

PGP klíč k dispozici na vyžádání pro citlivá hlášení.