Soukromí a data
Všechna data jsou zpracovávána výhradně lokálně v prohlížeči. PDF export odesílá data na server pouze pro generování PDF - data se neukládají a jsou okamžitě smazána po vygenerování. Nejsou ukládána do databáze ani nikde jinde.
- Výpočty a vizualizace běží v prohlížeči (client‑side). Všechny finanční ukazatele, grafy a analýzy se počítají přímo ve vašem prohlížeči.
- PDF export odesílá data na server pouze pro generování PDF pomocí Dompdf (PHP). Data se neukládají do databáze ani souborového systému - všechna data jsou zpracována pouze v paměti a okamžitě smazána po vygenerování PDF. Explicitní dokumentace v kódu (export.php) potvrzuje, že skript nepoužívá databázi ani souborový systém.
- Na server se neposílají žádná data kromě PDF exportu - ani účetní vstupy, ani výsledky analýzy nejsou odesílány, pokud nevyužijete PDF export.
- Žádná data se neukládají - ani lokálně na serveru, ani v databázi, ani v cookies (pouze localStorage pro téma a cache ARES dat).
- Subresource Integrity (SRI) - všechny CDN skripty (Chart.js, html2pdf.js) mají integrity atributy pro ochranu před supply chain útoky. Prohlížeč odmítne načíst upravené soubory.
- Nepoužíváme trackery ani analytiku třetích stran (kromě anonymizované Matomo analýzy návštěvnosti bez cookies).
- Ochrana při klikání na externí odkazy externí odkazy (např. justice.cz, kde se předává IČO do URL adresy) jsou označeny atributem data-matomo-disallow, takže Matomo analytika nesleduje, kam uživatelé odcházejí. Zajišťuje to větší soukromí, protože se nesleduje, na které konkrétní firmy v rejstříku se uživatelé dívali.
Bezpečnostní opatření (verze 17)
- Subresource Integrity (SRI): Všechny externí CDN skripty mají integrity atributy s SHA-384 kontrolními součty. Prohlížeč automaticky odmítne načíst upravené soubory.
- Explicitní dokumentace v kódu: export.php obsahuje komentáře potvrzující, že skript nepoužívá databázi ani souborový systém - všechna data jsou zpracována pouze v paměti.
- Transparentní informace: Všechny texty v UI jasně informují, že PDF export odesílá data na server pouze pro generování PDF - data se neukládají.
- Stateless backend: PDF export je navržen jako stateless - žádná data se neukládají mezi požadavky.
Transparentnost metodiky vs. proprietární kód
FinSight je freeware - software poskytovaný zdarma pro osobní i komerční využití. Ačkoliv zdrojový kód není veřejně dostupný (z důvodu ochrany know-how a prevence zneužití), všechny výpočty a metodika jsou plně transparentní.
- Transparentní metodika: Všechny finanční ukazatele, vzorce a výpočty jsou detailně popsány v sekci Metodika. Můžete si ověřit každý výpočet a pochopit, jak jsou výsledky získány.
- Frontend kód: JavaScript kód pro výpočty je viditelný v prohlížeči (View Source). Uživatelé si mohou ověřit, jak jsou výpočty implementovány na straně klienta.
- Proprietární implementace: Zdrojový kód (zejména server-side PHP skripty) není veřejně dostupný z důvodu ochrany know-how a prevence white-labelingu nebo komerčního zneužití. Toto je standardní praxe u freeware software.
Odpovědné oznamování
- Prosím hlaste zranitelnosti neveřejně na: info@drajon.cz.
- Nedělejte testy, které by porušovaly zákon nebo soukromí uživatelů.
- Preferovaný čas na opravu: do 90 dní od nahlášení (dle závažnosti).
- Momentálně neprobíhá bounty program; poděkování uvedu v changelogu.
Rozsah
Veřejné stránky a aplikace dostupné na https://www.finsight.cz/.
Nespadá sem hosting, infrastruktura třetích stran nebo e‑mail.