Tvá data, tvá pravidla

public

Hosting v EU (Hetzner DE)

Server běží v Hetzner datacentru v Německu — pod jurisdikcí EU a GDPR. Žádný US Cloud Act, žádné nestátní subpoeny. Tvoje data nikdy neopustí evropský právní rámec.

Konkrétně: Hetzner Online GmbH, Falkenstein/Vogtland, ISO 27001 certifikováno.

lock

HTTPS / TLS přenos

Veškerá komunikace mezi prohlížečem a serverem jde přes HTTPS s TLS 1.2 a TLS 1.3 (Let's Encrypt cert, auto-renew). Starší a rizikové protokoly (SSL, TLS 1.0/1.1) jsou zakázané. Server posílá HSTS hlavičku s platností 1 roku — prohlížeč si zapamatuje a v budoucnu se na Treziqo připojí JEN přes HTTPS, i kdyby někdo zkusil HTTP downgrade.

HTTPS konfigurace ohodnocena A+ od veřejného Qualys SSL Labs testu (viz panel níže).

vpn_key

Hashovaná hesla + 2FA

Hesla v DB nikdy v plain textu — bcrypt hashing s každou registrací (slow-by-design, brání masivnímu offline brute-force). Můžeš si zapnout dvoufaktorové ověření (TOTP) v /settings — kompatibilní s Google Authenticator, Authy, 1Password.

Při změně hesla se invaliduje session na ostatních zařízeních (AuthenticateSession middleware) — eventual force-logout po úniku.

enhanced_encryption

Šifrování citlivých dat

Citlivá serverová konfigurace (např. SMTP heslo pro mail relay) je v DB field-level zašifrovaná AES-256 přes APP_KEY. Poznámky u transakcí si můžeš sám/sama zašifrovat v /settings → Bezpečnost — pak je nepřečte ani člověk s read access na DB dump. Trade-off: vypneš tím fulltext vyhledávání v textu poznámky (částka, datum, kategorie a účet zůstávají hledatelné).

Šifrování poznámek je volitelné — výchozí stav po registraci je vypnuto, takže ti funguje fulltext vyhledávání. Zapnutí (kdykoli) ti vezme search v poznámkách výměnou za odolnost vůči DB úniku.

backup

Denní zálohy

Databáze se zálohuje denně přes Laravel Forge — snapshot do oddělené storage pro rychlé obnovení po hardware výpadku, omylu nebo migraci. Záloh držíme posledních 14 dní.

Zálohy nikdy neopouštějí EU; přístup má jen autor projektu.

verified_user

Pravidelné security audity

CI workflow běží každý push do main — gitleaks scan na zapomenuté API klíče v gitu, composer audit + npm audit na CVE v dependencies, Larastan level 5 na statickou analýzu kódu, Pest test suite (340+ testů). Týdně Dependabot otevře PR na zastaralé balíčky.

Cíl: žádný incident nesmí být chycen až po deployi na produkci.

block

Žádný tracking, žádné reklamy

Žádný Google Analytics. Žádný Facebook Pixel. Žádné cookies pro 3. strany. Tvoje výdaje nikdy neuvidí Meta ani jiný ad-tech. V cookies banneru najdeš jen technicky nezbytné — žádný „accept-all" theatre.

Když chceš ověřit: otevři DevTools → Network → vidíš jen treziqo.com a paypal.com (subscribe flow).

how_to_reg

Tvoje data, tvůj export, tvoje smazání

Kdykoliv si v /settings stáhneš ZIP se vším co o tobě máme — JSON soubory s účty, transakcemi, kategoriemi, rozpočty, platbami. Stejně tak kdykoliv smažeš účet jedním klikem (s warmupem) a všechno je pryč. Žádné „dejte vědět 30 dní předem", žádný retention u nás.

Žádný aspekt našeho byznysu nezávisí na tom, abychom data drželi proti tvé vůli — Treziqo se platí předplatným, ne lock-inem.

support_agent

Responsible disclosure

Našel jsi bezpečnostní díru? Napiš na security@treziqo.com s detaily a jak ji reprodukovat. Slíbím odpověď do 72 hodin a férový přístup — žádné právní hrozby ohledně oznámení v dobré víře. Známé incidenty publikujeme.

Cílem je sítě cooperace, ne adversarial vztah s researchery.