Audit proběhl 19. 5. 2026  ·  Paracelsium Security Review
100
Security Score
z 100 bodů
34 bodů po auditu 5/2026

Autentizace

Aktivní Hesla hashována PBKDF2-SHA256 (600 000 iterací)
Aktivní Dvoufaktorové ověření (TOTP — RFC 6238)
Aktivní Rate limiting přihlášení (30 pokusů / min / IP)
Aktivní Session cookie pouze HTTPS + HttpOnly

Šifrování dat

Aktivní TLS 1.3 — šifrovaný přenos (HTTPS)
Aktivní Fernet AES-128 — citlivá pole v databázi (rodná čísla, diagnózy, alergie)
Aktivní Šifrovací klíče mimo databázi (.env, mimo VCS)

Izolace dat (multi-tenancy)

Aktivní Každá organizace vidí pouze svá data (tenant_id filtr)
Auditováno Všechny endpointy zkontrolovány (audit 5/2026, 31 oprav)
Aktivní Super-admin přístup oddělen od běžných uživatelů

Audit a monitoring

Aktivní Audit log všech kritických akcí (přihlášení, editace, mazání)
Aktivní Záznamy jsou append-only (nelze přepsat)
Aktivní Loguje se IP adresa a e-mail uživatele

Zálohy a dostupnost

Aktivní Automatický backup databáze každý den ve 2:00
Aktivní Zálohy ukládány na Google Drive (30denní retention)
Aktivní PostgreSQL 16

OWASP Top 10 — stav pokrytí

A01 Broken Access Control — tenant izolace, autorizace na všech endpointech Ošetřeno
A02 Cryptographic Failures — Fernet at-rest, TLS in-transit, PBKDF2 hesla Ošetřeno
A03 Injection — SQLAlchemy ORM (parametrizované dotazy), žádný raw SQL Ošetřeno
A04 Insecure Design — least-privilege tenant model, role-based přístup Ošetřeno
A05 Security Misconfiguration — HTTPS-only, secure cookies, skrytý debug mód Ošetřeno
A06 Vulnerable Components — pravidelné aktualizace závislostí Monitoring
A07 Auth & Session Failures — rate limiting, 2FA, PBKDF2, secure session Ošetřeno
A08 Software Integrity Failures — audit log, HMAC na Fernet tokeny Ošetřeno
A09 Security Logging Failures — AuditLog tabulka, systemd journal Ošetřeno
A10 SSRF — aplikace nevolají interní síťové endpointy N/A
Dotazy k bezpečnosti: security@paracelsium.cz  ·  Tato stránka je aktualizována po každém bezpečnostním auditu.