SecureUp

DPA – zpracovatelský rámec

Poslední aktualizace: 6. května 2026

Tato stránka je praktický přehled zpracovatelského režimu služby SecureUp. Sama o sobě nepředstavuje závaznou smlouvu; závazné znění DPA se uzavírá mezi Keystone Company a.s. a klientskou organizací.

1) Předmět a doba zpracování

SecureUp zpracovává osobní údaje jménem klientské organizace za účelem poskytování školení, testů, certifikace, phishing simulací, e-mailové komunikace a auditních evidencí po dobu trvání služby a dle smluvních pokynů správce.

2) Povaha a účel zpracování

Zpracování probíhá elektronicky v aplikaci SecureUp: evidence zaměstnanců, přiřazení školení, vyhodnocení testů, generování certifikátů, řízené phishing kampaně, doručování pozvánek a bezpečnostní/auditní dohled.

3) Typy údajů a subjekty

  • subjekty: manažeři, zaměstnanci, administrátoři klientských organizací,
  • údaje: jméno, e-mail, organizace, role, průběh školení, výsledky testů, certifikáty, auditní a bezpečnostní události,
  • phishing telemetry: event type, čas, pseudonymizovaná IP hash, user-agent, request ID.

4) Povinnosti zpracovatele

  • zpracovávat údaje pouze dle pokynů správce,
  • zajistit důvěrnost osob oprávněných ke zpracování,
  • uplatňovat přiměřená technická a organizační opatření,
  • vést auditní stopu klíčových operací,
  • poskytovat správci přiměřenou součinnost.

5) Subzpracovatelé

Subzpracovatelé se používají pouze v rozsahu nutném pro provoz služby (např. doručování e-mailů přes Resend při zapnutém ostrém odesílání a provozní cloud infrastruktura podle nasazení). Přehled je veden na stránce Subzpracovatelé.

6) Bezpečnostní opatření

  • role-based přístup a organizační separace dat,
  • session cookie s podpisem + CSRF ochrana write endpointů,
  • audit a bezpečnostní logy s kontrolou integrity,
  • rate limiting a ochrana proti zneužití veřejných endpointů,
  • hashované tokeny přístupu/resetu a pravidla expirace tokenů,
  • retence auditních a outbox dat podle konfigurace prostředí,
  • transportní ochrana (TLS) a produkční provozní hardening konfigurace.

7) Incidenty a práva subjektů

Při bezpečnostním incidentu poskytuje SecureUp správci součinnost v rozsahu nutném pro vyhodnocení dopadu, nápravu a případné oznamovací povinnosti. Při uplatnění práv subjektů údajů je primárním kontaktem správce (klientská organizace); zpracovatel poskytuje technickou podporu a exporty dle smlouvy.

8) Ukončení služby, výmaz/vrácení dat a auditní součinnost

Po ukončení služby se data řeší dle smluvního ujednání (vrácení, export, výmaz) a zákonných povinností. Retenční mechanismy aplikace redigují citlivý outbox obsah a omezují dlouhodobé uchování auditních dat podle nastavení správce/provozovatele.