Aether365

Čeština

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Čeština

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Bezpečnostní model

Tato stránka popisuje, jak Aether365 chrání vaše data, jaký přístup má k vašemu prostředí Microsoft 365 a jaká architektonická rozhodnutí byla přijata pro bezpečnost dat vašeho tenantu.

Autentizace a přístup

Jak Aether365 přistupuje k vašemu tenantu

Aether365 přistupuje k vašemu Microsoft 365 tenantu jako multi-tenant aplikace registrovaná v Microsoft Entra ID. Když udělíte administrátorský souhlas, ve vašem tenantu je vytvořen service principal. Aether365 se následně autentizuje pomocí vlastních přihlašovacích údajů aplikace (client ID a client secret) - nepoužívá žádné přihlašovací údaje uživatelských účtů.

To znamená:

  • Žádná uživatelská hesla nejsou ukládána
  • Nejsou udělována žádná delegovaná oprávnění
  • Přístup je pouze na úrovni aplikace, není vázán na žádného konkrétního uživatele
  • Přístup můžete kdykoli odvolat odebráním service principal z vašeho tenantu

Oprávnění pouze pro čtení

Všechna oprávnění Microsoft Graph udělená Aether365 jsou aplikační a pouze pro čtení. Úplný seznam je dostupný na aether365.io/security#permissions.

Aether365 nikdy nepožaduje oprávnění pro zápis. Na obrazovce souhlasu Microsoftu se zobrazí pouze oprávnění pro čtení.

Odvolání přístupu

Odvolání přístupu Aether365 k vašemu tenantu:

  1. Otevřete Nastavení > Připojení v dashboard Aether365
  2. Klikněte na Odpojit vedle tenantu
  3. Případně v administrátorském centru Microsoft Entra přejděte na Podnikové aplikace a smažte service principal Aether365

Odpojení odebere připojení z Aether365 a zastaví budoucí skeny. Dříve shromážděná data skenů jsou uchovávána podle standardních zásad uchovávání.

Ochrana dat

Šifrování

VrstvaMetoda
Data při přenosuTLS 1.2+ (HTTPS všude)
Data v kliduŠifrování AES-256 v klidu
Soubory výsledků skenůAES-256 server-side encryption
Tajné údaje (přihlašovací)Šifrovaný trezor tajných údajů (obálkové šifrování)

Jaká data jsou uložena

Aether365 ukládá:

  • Konfigurační snímky - Hodnoty načtené z Microsoft Graph během každého skenu. Jedná se o nezpracované konfigurační hodnoty používané k vyhodnocení každé kontroly.
  • Výsledky skenů - Stav úspěšný, neúspěšný, přeskočený pro každou kontrolu plus skutečné a očekávané hodnoty u neúspěšných kontrol.
  • Metadata tenantu - Microsoft tenant ID vašeho tenantu, e-mail vašeho účtu, úroveň tarifu a časová razítka připojení.
  • Nastavení notifikací - E-mailové adresy a URL webhooků Teams, které jste nakonfigurovali.

Aether365 neukládá:

  • Obsah e-mailů, kalendářová data ani žádný uživatelsky vytvořený obsah
  • Uživatelská hesla ani přihlašovací údaje
  • Tokeny Microsoft Graph (přístupové tokeny jsou dočasné a používají se pouze během skenu)

Rezidence dat

Všechna data jsou uložena výhradně v našem datovém centru v EU (Ireland, Ireland). Žádná data nejsou replikována mimo tento region. Platí pro:

  • Databázi (výsledky skenů, metadata tenantu)
  • Úložiště souborů (soubory výsledků skenů)
  • Trezor tajných údajů (přihlašovací údaje aplikace)

Podrobnosti včetně smlouvy o zpracování údajů viz Rezidence dat a soukromí.

Bezpečnost infrastruktury

Architektura nulové důvěry

Každý požadavek API vyžaduje platný JWT vydaný autentizačním systémem Aether365 po autentizaci přes Microsoft Entra. JWT je validován při každém požadavku:

  • Ověření podpisu RS256 proti JWKS endpointu Aether365
  • Kontrola expirace tokenu
  • Ověření vydavatele a příjemce

Neexistují žádné neautentizované API endpointy kromě /public/config (který vrací pouze nastavení celé platformy, jako je režim údržby).

Izolace tenantů

Každý databázový dotaz obsahuje filtr ID tenantu odvozený z autentizovaného JWT - nikoli z parametrů požadavku. Je architektonicky nemožné dotazovat se na data jiného tenantu přes API.

Skenovací úlohy běží v izolovaných, dočasných výpočetních prostředích. Každá skenovací úloha má:

  • Žádné trvalé úložiště
  • Žádný síťový přístup mezi tenanty
  • Dedikovanou service roli omezenou na minimální požadovaná oprávnění
  • Automatické ukončení po dokončení

Správa tajných údajů

Přihlašovací údaje aplikace (Microsoft Entra client ID a secret) jsou uloženy v šifrovaném trezoru tajných údajů. Jsou:

  • Nikdy ukládány v proměnných prostředí
  • Nikdy zapisovány do logů
  • Načítány za běhu a drženy v paměti pouze po dobu trvání skenu
  • Pravidelně rotovány

Zabezpečení účtu

Autentizace

Aether365 používá Microsoft jako poskytovatele identity. Přihlašujete se svým účtem Microsoft přes OpenID Connect. Žádné samostatné heslo Aether365 neexistuje.

Vícefaktorová autentizace

MFA je vynucováno zásadami podmíněného přístupu vašeho účtu Microsoft. Aether365 přebírá jakékoli požadavky MFA, které váš Microsoft tenant vynucuje.

Správa relací

Přístupové tokeny jsou krátkodobé JWT. Obnovovací tokeny jsou uloženy v místním úložišti prohlížeče a rotovány při použití. Odhlášení okamžitě zneplatní vaši relaci.

Auditní stopa

Každá akce provedená v dashboard nebo API Aether365 je zaznamenána v auditní stopě: kdo akci provedl, kdy a z jaké IP adresy. Viz Auditní stopa.

Odpovědné zveřejňování

Pokud objevíte bezpečnostní problém v Aether365, nahlaste ho prosím na security@aether365.io. Příjem potvrdíme do 24 hodin a kritické problémy se snažíme vyřešit do 72 hodin. V současné době nemáme veřejný program odměn za chyby, ale oznamovatele uvedeme v poznámkách k vydání s jejich souhlasem.

Byla tato stránka užitečná?

© 2026 Aether365. All rights reserved.