Průvodce zabezpečením
Skoč rovnou do konkrétní oblasti, nebo si projdi checklist od začátku.
S čím stavíš?
8 AI nástrojů a jejich bezpečnostní rizika.
Lovable, Cursor, … → ★ Nejčastěji hledanéPrompty pro AI
Starter + 18 cílených promptů.
Copy-paste do Claude / Cursor →Hluboká témata
IDOR, NIS2, GDPR, retence dat.
Co AI sama nevyřeší →Rychlý start checklist
Nejdřív řekni, co stavíš — checklist se přizpůsobí. Pak si odškrtni hotové body. Stav se ukládá lokálně ve tvém prohlížeči.
Co stavíš?
Můžeš vybrat víc archetypů (např. e-shop s blogem). Když nevybereš nic, ukážeme vše.
Tip: „Veřejnoprávní subjekt" je o provozovateli, ne o typu obsahu — i blog obecní knihovny nebo vizitka kraje pod to spadají.
Kombinuj: blog obecní knihovny = blog + veřejnoprávní; e-shop veřejné nemocnice = e-shop + veřejnoprávní.
Provozovatel je veřejnoprávní subjekt — úřad, územní samospráva (obec, kraj), veřejná VŠ, škola, knihovna, divadlo, ČT/ČRo, ČTK, ČNB, doprava zřízená státem/krajem/obcí. Nezáleží na typu obsahu — i blog nebo vizitka. Zákon 99/2019 Sb. (povinná přístupnost + prohlášení), případně NIS2/ZoKB.
Statický prezentační web bez databáze a admin panelu (např. HTML/CSS generované AI, Astro, Hugo). Max kontaktní formulář. Pokud máš CMS (WordPress, Ghost), vyber i 'Blog'.
Publikace článků nebo postů, RSS feed. Pokud máš newsletter, komentáře nebo registrace, vyber je v Doplňkových funkcích.
Objednávky online, platby, ČOI, reklamace, dodací podmínky.
Termíny, sloty, případně platby. Týká se EAA (přístupnost).
Multi-tenant aplikace, uživatelské účty, DB s daty více zákazníků.
Doplňkové funkce / služby
Co dalšího na webu máš? Každá služba zpracovává osobní data jiných lidí — odemkne v checklistu věci, které by ti chyběly (consent, DPA s providerem, retenci…).
Mám admin panel pro správu obsahu (wp-admin, Ghost admin, Django admin, Strapi, vlastní). Týká se i jednoduchého CMS pro editaci textů. Brute-force riziko na login + DB obsahuje hesla/drafty.
Lidé se na webu registrují a přihlašují, mají vlastní účty, případně placené členství. Vyžaduje řízený přístup k záznamům (RLS/IDOR), retenci, práva subjektů.
Návštěvníci přidávají komentáře s identifikací (jméno, e-mail, nebo přes Disqus / Google login). Osobní údaje = GDPR + retence.
Google Analytics, Plausible, Matomo, Hotjar nebo jiný tracking. GA + Hotjar = nutný cookie consent před načtením. Plausible/Matomo bez cookies = volnější režim.
Kontaktní formulář, dotazník, poptávka — cokoliv kde uživatel posílá své osobní údaje. Vyžaduje souhlas / informaci o zpracování + retenci.
Stripe, PayPal, GoPay, Comgate. Vyžaduje obchodní podmínky, DPA s platebním procesorem, retenci dat o platbách (zákon o účetnictví: 5 let).
-
✓Žádný API klíč ani secret v kódu nebo gitu pravděpodobně neřešíš.env je v .gitignore, service_role klíč nikdy ve frontend bundlu. Více →
-
✓Databáze má řízený přístup k záznamům (RLS nebo serverová autorizace) pravděpodobně neřešíšPokud máš DB nebo admin/CMS (Supabase, vlastní Postgres, WordPress, Ghost…) nebo registrace uživatelů: user A nesmí číst data usera B. RLS v Postgres/Supabase, ekvivalent v ORM/middleware. Čistě statický web bez DB → N/A. Více →
-
✓API/admin kontroluje vlastnictví záznamu (IDOR test prošel) pravděpodobně neřešíšPokud máš jakékoliv API nebo admin s ID v URL (/api/orders/42, /admin/post/13) nebo registrace uživatelů: přihlas se jako user A a ověř, že nepřečteš data usera B. Statický web bez API/adminu → N/A. Více →
-
✓Vím, jaká data dávám AI — pokud jiných lidí, mám firemní účet (Team/Enterprise) s DPA pravděpodobně neřešíšOBSAH určuje, jestli to potřebuješ. Dáváš AI cizí jména v blogu, zákaznické e-maily, exportovaná DB, fotky lidí, support tickety, real produkční data? → musíš mít firemní účet s DPA a vypnutým trénováním. Jen vlastní texty / vlastní kód / syntetická data → N/A. Více →
-
✓Rate limiting na citlivých endpointech pravděpodobně neřešíšLogin, password reset, registrace, admin, generování API klíče, kontaktní formuláře — kdekoliv kde se dá brute-forcovat nebo zaspamovat. Více →
-
✓Privacy Policy + funkční Cookie consent (CMP, ne jen lišta) pravděpodobně neřešíšPokud sbíráš jakákoliv osobní data (formulář, newsletter, registrace) nebo používáš tracking (GA, Plausible, FB pixel): PP + consent jsou povinné. _ga/_gid/_fbp se nesmí načíst před souhlasem. Čistě statický web bez cookies/trackingu → N/A. Více →
-
✓Terms of Service / Obchodní podmínky pravděpodobně neřešíšPro e-shop povinné (zákon o ochraně spotřebitele), pro SaaS a placené služby doporučené. Více →
-
✓Přístupnost (WCAG 2.2 AA) + Prohlášení o přístupnosti pravděpodobně neřešíšVeřejnoprávní subjekty: zákon 99/2019 Sb. E-shop, banka, doprava, booking: EAA / 424/2023 Sb. od 28. 6. 2025. Více →
-
✓Retence dat — víš jak dlouho a kdy mažeš osobní údaje pravděpodobně neřešíšGDPR čl. 5(1)(e): jen po nezbytně nutnou dobu. Definuj v interní směrnici a v Privacy Policy. Týká se každé služby která sbírá osobní údaje. Více →
Pozor: Toto je základní orientační checklist, ne právní ani bezpečnostní audit.
Vibescan není právní ani bezpečnostní poradce — odpovědnost za bezpečnost a soulad s předpisy
nese provozovatel webu. Pro konkrétní situaci (GDPR, ZoKB, EAA) konzultuj advokáta nebo
bezpečnostního specialistu. Viz Podmínky použití.
Ověř si, jak na tom jsi
Použil jsi prompty a zabezpečil projekt? Spusť sken a zjisti, jestli ti ještě něco nechybí. Vibescan zkontroluje hlavičky, SSL, DNS a další oblasti během pár sekund.