Zabezpečíme vaše weby, API a infra proti běžným útokům i sofistikovaným hrozbám. Od auditů a penetračního testování přes hardening Next.js/WordPress/API až po DevSecOps v CI/CD, monitoring a incident response. V souladu s OWASP ASVS/API Top 10, GDPR, a při potřebě i s NIS2/ISO 27001.
Komplexní řešení bezpečnosti
S prioritami oprav a ukázkami fixů (quick-wins → strategická opatření)
Pro web, API, WordPress a infra (WAF, hlavičky, TLS, IAM)
Automatická kontrola kódu a závislostí v CI/CD, SBOM a podpis artefaktů
Detekce incidentů, audit logy, playbooky a MTTR zkrácený na minimum
GDPR/NIS2 doporučení, klasifikace dat a retenční politiky
Komplexní bezpečnostní řešení
Audit podle OWASP ASVS a API Top 10, threat modeling, manuální testy (authn/z, session, input validation), DAST/SAST
Aktualizace/jádro/plug-iny, minimální set pluginů, 2FA, omezení /wp-admin, XML-RPC off, bezpečné konfigurace
CSP/HSTS/COOP/COEP/CORP, SameSite cookies, CSRF ochrana, validační schémata (Zod/Yup), rate-limit
OAuth2/OIDC, principle of least privilege, scope-based tokens, rotace klíčů, mTLS, kvóty/rate-limit
WAF/Rate Limiting (Cloudflare/AWS), DDoS ochrana, bezpečné TLS, tajemství v KMS/Vault, izolace prostředí
SBOM (CycloneDX), podpis artefaktů (cosign), Dependency/Container scanning (Renovate/Trivy)
Centralizované logy, OpenTelemetry traces, alerty (Slack/Teams), Incident Response plan (SEV-1..4)
White/grey-box testing a retest po opravách
Osvědčené postupy pro maximální bezpečnost
SSO/MFA, krátce žijící tokeny, rotace refresh tokenů, server-side session store; horizontální i vertikální kontrola přístupů
HttpOnly, Secure, SameSite=Lax/Strict, generování nového session ID po přihlášení
Striktně definované zdroje, zákaz unsafe-inline (nebo nonce), SRI pro externí skripty
Validační schémata na hranici (API), escaping při renderu, žádný eval/dangerouslySetInnerHTML bez důvodu
Kontrola MIME/rozšíření, antivirus/clamav, izolované úložiště a podpis URL s expirací
Bez PII tajemství, korelace (traceID), retenční lhůty a přístupové politiky
Lockfile, pravidelné update, blokování známých CVE, schvalování nových balíčků
Moderní cipher suites, HSTS, pravidelný audit certifikátů, OCSP stapling
Versioning, šifrování, pravidelné restore testy, RPO/RTO cíle
Specifická opatření pro různé technologie
RSC/SSR/ISR bezpečné defaulty, sanitizace a typy; Route Handlers s rate-limitem a CSRF pro mutace. Headers: CSP, HSTS, Referrer-Policy, Permissions-Policy, X-Frame-Options/Frame-Ancestors. Auth: httpOnly cookies, rotace tokenů, server-side guardy a audit logy.
Minimální počet plug-inů, auto-update security patches, 2FA, disable file-edit, limit login attempts, reCAPTCHA/honeypot, separátní DB user s minimálními právy, pravidelné zálohy a sken. WAF/CDN (Cloudflare/Akamai), cache bez úniku privátních dat, správná práva na FS.
Schema validation (JOI/Zod), rate-limit/kvóty a circuit-breaker. AuthZ na úrovni resource (ABAC/RBAC), logování admin akcí, idempotentní endpointy. Bezpečné chyby (žádné stack traces), jednotné kódy a korelační ID.
Automatizovaná bezpečnost v procesu nasazování
Na PR (CodeQL/Gitleaks), Dependency scan (OSV/Trivy)
A podpis artefaktů (cosign), SBOM v artefaktu
Proti preview deploymentu, Lighthouse CI + a11y (axe) jako quality gate
Canary/blue-green, database migrace s rollback plánem
Proaktivní sledování a rychlá reakce
Server-Timing, panely (uptime, p95 latence, chybovost, auth failures)
Na podezřelé chování (neočekávané 5xx, login brute-force, WAF hits)
Kdo/co/kdy (SEV-1..4), komunikace, důkazní stopa, notifikace dotčených (při GDPR incidentu)
Systematický přístup k zabezpečení
Rozsah, rizika, právní požadavky, přístupy
Kritické toky, data, aktéři; návrh opatření
Implementace norem, CI/CD kontroly, WAF/headers/IAM
DAST/SAST, manuál, retest a akceptace
Dashboard, alerty, runbooky a trénink týmu
Komplexní dokumentace a nástroje
S prioritami (P1–P3), návody na fixy a odhad dopadu
Bezpečnostní hlavičky, WAF/Rate-limit, TLS, CSP, WordPress/Next.js nastavení
YAML + SBOM/cosign integrace
Incident Response, zálohy/DR, správa tajemství, rotace klíčů
A plán pravidelných revizí
Měřitelné cíle bezpečnosti
Čas detekce a obnovy při incidentu
Čas aplikace záplat (kritické CVE do 7 dní)
0 v produkci
A rate-limit hit-rate bez dopadu na legitimní uživatele
Počet/závažnost nálezů po retestu
Přesně podle rozsahu a compliance požadavků
Základní bezpečnostní audit
Komplexní zabezpečení
Průběžná starostlivost
Finální cena závisí na rozsahu, platformě a compliance požadavcích
Reálné výsledky našich projektů
WAF + hardening + 2FA + cache bezpečnost → žádné kritické incidenty, stabilní provozní režim
OAuth2 scopes, rate-limit, schema validace → p95 chybovost −47 %, žádné zneužití kvót
CSP/HSTS, cosign + SBOM, preview DAST → bez nálezů P1 při opakovaném auditu
Často kladené otázky o bezpečnosti
Ne vždy. Umíme přizpůsobit opatření a dokumentaci tak, aby byly "audit-friendly" a škálovatelné směrem k ISO/NIS2.
Pošlete URL/repo a požadavky – připravíme audit a hardening plán.
Komplementární služby pro bezpečnostní projekty