Blog

Témata:
1. 2. 2025
Bezpečnost Kryptografie
Analýza SASL, čtvrtý díl

Analýza SASL, část čtvrtá

Tento díl se bude věnovat pokračování rozboru technologií založených na ověřování ve spolupráci více stran. Součástí bude hlavně rozbor OAUTH2 a technologií na něm založených. Dále bude uveden rozbor SAML. Rozbor technologického předchůdce OAUTH10A je v předchozím článku, který je možné najít na Analýza SASL, třetí díl.

OAUTH2

Druhá generace autentizačního mechanismu má za úkol zajistit rozšíření možností v případě delegování oprávnění. Opět přistupuje k tématu stejným způsobem, pomocí textových nebo JWT tokenů, přenášených pomocí HTTPS (HTTP protokol v SSL/TLS tunelu) jako jediné ochranné vrstvy. Jiná ochrana uživatelských údajů není pro textové tokeny a přenášené autentizační informace k dispozici. Žádost o token navíc nemusí požadovat aplikace, ale může se jednat o další autorizační doménu (delegace oprávnění). Tak je možné oprávnění předávat mezi jednotlivými federovanými doménami. Tento způsob výměny informací je standardizován, tedy je možné delegovat oprávnění na jinou doménu. Zároveň je standardizován způsob správy různých domén. To je významný provozní rozdíl oproti OAUTH1. Z hlediska bezpečnosti jsou rozdíly výrazně menší, změnou je pouze podpora JWT tokenů, které mají vestavěnou podporu pro ochranu důvěrnosti a integrity.
Na začátku se uživatel musí autentizovat a registrovat dané aplikace. Přihlašování probíhá jednoduchým způsobem, kdy uživatel zadá heslo, server uvedené heslo zpracuje a porovná s uloženými daty (uloženými např. pomocí funkce Argon2). Na obrázku je autentizační a autorizační systém spojen do jednoho. Ve všech schématech se používá pouze termín autorizační server, protože OAUTHx řeší přidělování oprávnění. Autentizace se provádí zprostředkovaně přes jiné mechanismy. Při dalších aktivitách je už nutné pouze přihlášení, na základě typu poskytnutého oprávnění systém vybírá mezi následujícími možnými metodami:
Authorization Code Grant: Uživatel pošle autentizační požadavek. Autorizační server zajistí přihlášení pomocí autentizačního serveru a následně vrátí URL a Auth Code. Uživatel uvedené požadavky předá aplikaci, která Auth Code předává autorizačnímu serveru. Po ověření získá dva tokeny, Access Token a Refresh token. Refresh token může používat pro prodloužení přístupu k datům pomocí autorizačního serveru, Access Token zasílá na systém s daty (server). Ten na základě Access Tokenu dovoluje přístup ke zvoleným údajům.
Client Credentials Grant: Uživatel pošle autentizační požadavek. Autorizační server zajistí přihlášení pomocí autentizačního serveru a následně vrátí URL a Access Token. Uživatel uvedené požadavky předá aplikaci, které se spojí s autorizačním systémem a zajistí si tak autorizaci přístupu k datům.
Device Autorization Grant: Uživatel pošle autentizační požadavek. Autorizační server zajistí přihlášení pomocí autentizačního serveru a následně vrátí URL a Device Code. Uživatel uvedené požadavky předá zařízení, které se spojí s autorizačním systémem a zajistí si tak autorizaci přístupu k datům.
Implicit Grant: Uživatel pošle autentizační požadavek. Autorizační server zajistí přihlášení pomocí autentizačního serveru a následně vrátí Access Token. Uživatel uvedené požadavky předá aplikaci, která se již dále neověřuje a tento token použije pro zajištění svého přístupu systému s daty (server). Uvedená metoda se používá jako jistá forma zjednodušeného řešení a je vhodné použít metody jiné.
Resource Owner Password Grant: Uživatel pošle autentizační požadavek. Autorizační server zajistí přihlášení pomocí autentizačního serveru a následně vrátí URL a Device Code. Uživatel uvedené požadavky předá aplikaci, které se spojí s autorizačním systémem a zajistí si tak autorizaci přístupu k datům.
Uvedené metody se liší pouze tokem zpráv a oprávněními přístupu k citlivým údajům (například heslům). Token může být v textovém formátu nebo ve formátu JWT (JSON Web Token). V textovém režimu zůstává využití kryptografie pouze na úrovni transportního kanálu. V případě JWT je možné token digitálně podepsat.
Zpracování tokenů:
Pro Access Token / Bearer Token a pro Refresh Token: V případě JWT je pro symetrický podpis použito HMAC-SHA256, pro asymetrické RSA/RSASSA-PKCS1-v1_5 nebo ECDSA. Pro šifrování obsahu je v případě JWT doporučeno použití AES-GCM. V případě textového tvaru tokenu se šifrování nepoužívá.
Pro Authorization Code: kryptografická ochrana není použita, obsah je generován pomocí bezpečného generátoru náhodnosti. Pro šifrování obsahu je doporučeno v případě JWT použití AES-GCM.

Channel Binding: Ne
Realms: Ano
Kryptoprimitiva: Výběhové (RSA), aktuální (SHA256, ECDSA)
Počet stran při autentizaci: 3 až 4
PQC/QRC: Ne
ZKP: Ne
Podpora crypt interface: Za určitých podmínek
Tokenizace: Ano
Jedinečnost: Ano
Ochrana credentials: TLS
Ochrana proti Replay: Ano
Ochrana proti Relay: Ano
Ochrana proti Hijack: Ano
Ochrana proti Forge: Ano
Podpora MFA: Ano
Ochrana integrity: TLS, pro JWT interní
Typ šifrování: TLS, pro JWT navíc interní

OAUTH2 Protokol

OAUTHBEARER

Jedná se o OAUTHBEARER → Ověřování serveru vůči OAUTH2 serveru. Využívá textový nebo JWT token (JSON Web Token). Tento mechanismus je spojený s OAuth 2.0 a poskytuje oprávnění díky využití tzv. Bearer Tokenu, jinak Access Tokenu. Uvedený token je jedinečný identifikátor a je předložen klientem jako důkaz pro ověření přístupových práv. Token je přenášen pomocí HTTPS, protože neobsahuje žádnou vnitřní ochranu proti odposlechu nebo zneužití. Stejně jako OAUTH2 tokeny může být ve formátu prostého textu, případně JWT. Vazby na OAUTH2 je možné shrnout jako:
- OAUTHBEARER byl navržen pro práci s přístupovými tokeny (Access Tokens) vygenerovanými v rámci protokolu OAuth 2.0.
- Po ověření je možné přes OAuth 2.0 získat Bearer Token pomocí různých grant typů (Authorization Code Grant, Client Credentials Grant, Device Authorization Grant, Implicit Grant nebo Resource Owner Password Grant). Jakmile je token k dispozici, je použit pro ověření proti serveru poskytujícímu data.

Channel Binding: Ne
Realms: Ano
Kryptoprimitiva: Výběhové (RSA), aktuální (SHA256, ECDSA)
Počet stran při autentizaci: 3
PQC/QRC: Ne
ZKP: Ne
Podpora crypt interface: Za určitých podmínek
Tokenizace: Ano
Jedinečnost: Ano
Ochrana credentials: TLS
Ochrana proti Replay: Ano
Ochrana proti Relay: Ano
Ochrana proti Hijack: Ano
Ochrana proti Forge: Ano
Podpora MFA: Ano
Ochrana integrity: TLS, pro JWT interní
Typ šifrování: TLS, pro JWT navíc interní

OAUTH2 Protokol

XOAUTH2

Stejně jako XOAUTH je rozšířením OAUTH technologie pro poštovní servery, protokol XOAUTH2 je specifickým rozšířením OAUTH2. Jedná se o variantu protokolu, vlastní komunikace zůstává prakticky nezměněna. Nahrubo lze technologický vývoj popsat jako OAUTH → OAUTH2 → XOAUTH2. I v tomto případě je protokol XOAUTH2 použit pro ověřování u poštovních serverů, tedy pro protokoly SMTP, IMAP4 a POP3. V tomto případě je možné brát aplikační a resource server jako by byly spojeny do jednoho systému.

Channel Binding: Ne
Realms: Ano
Kryptoprimitiva: Výběhové (RSA), aktuální (SHA256, ECDSA)
Počet stran při autentizaci: 4
PQC/QRC: Ne
ZKP: Ne
Podpora crypt interface: Za určitých podmínek
Tokenizace: Ano
Jedinečnost: Ano
Ochrana credentials: TLS
Ochrana proti Replay: Ano
Ochrana proti Relay: Ano
Ochrana proti Hijack: Ano
Ochrana proti Forge: Ano
Podpora MFA: Ano
Ochrana integrity: TLS, pro JWT interní
Typ šifrování: TLS, pro JWT navíc interní

OAUTH2 Protokol

OPENID20

OpenID je rozšířením autorizačního schématu OAUTH2 o metodu ověření identity a poskytuje službu federovaného autorizačního systému. Podpora bezpečné výměny hesel je opět zoufale slabá. V rámci ověřování podporuje přímo MFA a rate/limit jako formu ochrany před útoky na hesla. Na rozdíl od OAUTH2 již nepodporuje textové tokeny, ale pouze JWT tokeny.
Na začátku se uživatel musí autentizovat a registrovat dané aplikace. Přihlašování probíhá jednoduchým způsobem, kdy uživatel je po žádosti o ověření přesměrován na autentizační server (IDP - Identity Provider), kde zadá heslo, případně využije MFA. Heslo se opět přenáší jako otevřený text, nikoliv chráněným způsobem. IDP Server uvedené heslo a případné další faktory zpracuje a porovná s uloženými daty (hesla uložená např. pomocí funkce Argon2). Následně odešle informace o identitě uživatele. Na rozdíl od OAUTH2 používá už jenom Access Token a Refresh Token, což omezuje možnosti výměny informací na tři základní metody – Authorization Code flow, Hybrid Flow a Implicit flow.
Authorization Code Flow: Po přihlášení je odeslán autorizační kód a stav na autorizační server. Ten vytvoří ID Token, Access Token a Refresh token, které zašle uživateli. Ten poskytuje Access token aplikaci, Refresh token používá pro žádost o nový Access Token. ID token používá k ověření identity žadatele. Tento přístup je podobný Authorization Code Grant a jedná se o preferovanou variantu.
Hybrid Flow je podobný Authorization Code Flow. Na rozdíl od předchozího ale dochází k okamžitému získání Access Tokenu na základě autorizačního kódu, není nutné prokazovat vlastnictví autorizačního kódu. Na jednu stranu to zjednodušuje provoz, na druhou stranu také omezuje možnosti řízení přístupových oprávnění. Z určitého pohledu to je možné vnímat jako bezpečnostní slabinu.
Implicit Flow: Je podobný Implicit Grant. V současnosti není doporučovaný. Při úvodním přihlášení nepoužívá autorizační kód pro získání Access Tokenu, proto zde hrozí vyšší riziko zneužití.
Stejně jako v případě OAUTH2 a OAUTHBEARER mohou být JWT tokeny a jejich obsah chráněny pomocí následujících algoritmů:
Pro Access Token a pro Refresh Token: V případě JWT je pro symetrický podpis použito HMAC-SHA256, pro asymetrické RSA/RSASSA-PKCS1-v1_5 nebo ECDSA. Pro šifrování obsahu je v případě JWT doporučeno použití AES-GCM.
Pro Authorization Code: kryptografická ochrana není použita, obsah je generován pomocí bezpečného generátoru náhodnosti. Pro šifrování obsahu je doporučeno v případě JWT použití AES-GCM.

Channel Binding: Ne
Realms: Ano
Kryptoprimitiva: Výběhové (RSA), aktuální (SHA256, ECDSA)
Počet stran při autentizaci: 3 až 4
PQC/QRC: Ne
ZKP: Ne
Podpora crypt interface: Za určitých podmínek
Tokenizace: Ano
Jedinečnost: Ano
Ochrana credentials: TLS
Ochrana proti Replay: Ano
Ochrana proti Relay: Ano
Ochrana proti Hijack: Ano
Ochrana proti Forge: Ano
Podpora MFA: Ano
Ochrana integrity: TLS, pro JWT interní
Typ šifrování: TLS, pro JWT navíc interní

OAUTH2 Protokol

SAML

Jedná se o otevřený standard zastřešovaný OASIS (Organization for the Advancement of Structured Information Standards). Vlastní SAML jazyk vznikl z AuthXML, ITMP (Information Technology Markup Language), S2ML (Security Services Markup Language), X-TASS (XML Trust Assertion Service Specification). Z hlediska realizace se jedná o XML schéma, umožňující definovat a prokázat několik základních stavů. Je to stav autentizace, autorizace nebo konkrétního atributu. V rámci tohoto protokolu se vyměňují informace na různých úrovních. Pro každou z těchto úrovní je uvedeno pouze pět příkladů. Tento materiál nemá za cíl poskytnout vyčerpávající popis SAML standardu, pouze představu jak pracuje.
Assertions: jedná se o několik typů dokumentů, které obsahují informace důležité pro přihlašování. Jedná se o informace o uživateli a informace vztažené k autentizaci. Většina uvedených informací má omezenou dobu platnosti (Assertion Expiry), omezené využití pro konkrétní Service Providery (Audience restriction) a musí být vždy digitálně podepsány. Vlastní assertion mohou být např. Authentication Assertion (kdy a jak byl uživatel ověřen), Attribute Assertion (parametry uživatele, tedy jméno, skupina, role), Delegation Assertions (delegování oprávnění na jiný subjekt), Subject Confirmation Assertion (způsob ověření uživatele), Session Assertion (jaké jsou parametry a doba trvání relace) a další.
Protocols: jedná se o definici přenosu assertions. Příkladem mohou být Authentication Request Protocol (Service Provider žádá Identity Providera o autentizaci assertions), Artifact Resolution Protocol (umožňuje získání SAML aserce na základě artefaktu), Name Identifier Management Protocol (změna ID uživatele mezi Service Providerem a Identity Providerem), Name Identifier Mapping Protocol (výměna ID uživatele mezi Service Providerem a Identity Providerem), Single Logout Protocol (umožňuje odhlášení ze služeb) a další.
Bindings: definuji požadavky a způsob přenosu. Příkladem HTTP Artifact Binding (používá HTTP pro přenost artefaktů, artefakty obsahují vyjednávání a přenost assertions), HTTP Redirect Binding (používá HTTP přesměrování s parametry v URL), HTTP POST Binding (SAML aserce se posílá jako formulářový POST), PAOS Binding (Reverzní SOAP přes HTTP pro komunikaci mezi klientem a Identity Providerem), SMTP Binding (využívá SMTP pro výměnu zpráv skrze e-mail) a mnoho dalšího.
Profiles: definuje použití assertions za účelem splnění požadavků autentizace a autorizace. Pro ukázku tu jsou Attribute Query Profile (umožňuje SP požádat IdP o další atributy uživatele), Enhanced Client or Proxy (ECP) Profile (umožňuje autentizaci klientem namísto prohlížeče, Mobile SSO Profile (optimalizované pro přihlašování z mobilních zařízení), Single Logout Profile (umožňuje odhlášení uživatele na všech připojených službách), Web Browser SSO Profile (umožňuje uživateli jednou se přihlásit a pak přistupovat k více službám) a spousta dalších.
Security: Definuje různé typy zabezpečení assertions, protokolů a bindings. Jednak se může jednat o ochranu na transportní úrovni vrstva SSL/TLS. Na úrovni zpráv se používá XML encryption, která používá AES-CBC nebo AES-GCM se 128b/256b klíči. Zprávy je možné také digitálně podepsat, k tomu se používá podpis pomocí algoritmu RSA (RSA+SHA256) nebo ECDSA (ECDSA NIST P-256+SHA256).
Vlastní systém používá dvě hlavní metody pro řízení přidělování oprávnění, metodu vynucenou poskytovatelem služby (např. aplikací nebo poskytovatelem služby) a metodu vynucenou poskytovatelem identity.

SP-Initiated SSO (Service Provider Initiated)
- Uživatel požádá o přístup k aplikaci nebo službě (Service Provider)
- Service Provider přesměruje uživatele na Identity Providera s žádostí o autentizaci (SAML AuthnRequest)
- Identity Provider autentizuje uživatele (heslo, MFA, certifikát apod.)
- Identity Provider vytvoří SAML Assertion a přesměruje uživatele zpět na Service Providera
- Service Provider ověří SAML Assertion a přihlásí uživatele
- Aplikace požádá autorizační systém o přístup k datům (OAuth, policy rules)
- Autorizační systém ověří přístup a umožní aplikaci získat data od poskytovatele

IdP-Initiated SSO (Identity Provider Initiated)
- Uživatel se přihlásí k Identity Providerovi přímo
- Identity Provider vytvoří SAML Assertion a přesměruje uživatele na Service Providera
- Service Provider ověří SAML Assertion a přihlásí uživatele
- Aplikace požádá autorizační systém o přístup k datům
- Autorizační systém ověří přístup a umožní aplikaci získat data

SAML dovoluje využít různé typy autentizačních mechanismů. Samozřejmě podporuje metodu PLAIN/LOGIN, která je chráněna pouze pomocí TLS. Dále ověření pomocí digitálních certifikátů RSA nebo ECDSA, Kerberos, smart karty a FIDO2/WebAuthn, případně externí identity poskytované např. pomocí OAuth2, OpenID Connect a další. Mimo vlastní ověření může dojít k poskytnutí ověřovacích informací díky SSO, kde se pro přenost assertion údajů používá jak transportní šifrování, tak šifrování vlastních přenášených assertion (více o šifrování assertion je ve vlastnosti security).

Channel Binding: Ne
Realms: Ano
Kryptoprimitiva: Výběhové (RSA), aktuální (SHA256, ECDSA)
Počet stran při autentizaci: 3 až 5
PQC/QRC: Ne
ZKP: Ne
Podpora crypt interface: Za určitých podmínek
Tokenizace: Ano
Jedinečnost: Ano
Ochrana credentials: TLS
Ochrana proti Replay: Ano
Ochrana proti Relay: Ano
Ochrana proti Hijack: Ano
Ochrana proti Forge: Ano
Podpora MFA: Ano
Ochrana integrity: TLS, pro JWT interní
Typ šifrování: TLS, pro JWT navíc interní

SAML SP-Initiated

Závěr

Tento díl dokončil přehled používaných mechanismů. Na základě poskytnutých informací je zřejmé, že některé mechanismy není vhodné používat, u jiných je nutné si dát extrémní pozor na nastavení a konfiguraci jak prostředí, tak použitých ochranných vrstev. Přes všechny ochrany je nejčastější metodou pro ověření uživatelů zasílání těchto informací v plaintextu (metoda PLAIN nebo LOGIN), kde jedinou ochranou je TLS vrstva. V takovém případě je ale pro odpovídající ochranu vyžadováno mTLS (Mutual TLS, tedy oboustranné ověření certifikátů v rámci TLS). V jiném případě jakákoliv SSL inspekce dovolí útočníkovi přistupovat k autentizačním údajům. Bohužel jakákoliv forma MFA proti uvedeným typům útoků nebrání.
V dalším díle SASL dil pátý budou rozebírány používané knihovny a bude uvedena kritika a hodnocení jednotlivých schémat, upřesněna rizika a doporučeno jak se uvedeným problémům bránit.

Reference:

  1. A Set of Simple Authentication and Security Layer (SASL) Mechanisms for OAuth
    Zdroj: https://www.rfc-editor.org/
  2. The OAuth 2.0 Authorization Framework: Bearer Token Usage
    Zdroj: https://www.rfc-editor.org/
  3. The OAuth 2.0 Authorization Framework
    Zdroj: https://www.rfc-editor.org/
  4. OAuth 2.0 Token Exchange
    Zdroj: https://www.rfc-editor.org/
  5. JSON Web Token (JWT)
    Zdroj: https://www.rfc-editor.org/
  6. JSON Web Signature (JWS)
    Zdroj: https://www.rfc-editor.org/
  7. JSON Web Encryption (JWE)
    Zdroj: https://www.rfc-editor.org/
  8. The SASL XOAUTH2 Mechanism
    Zdroj: https://developers.google.com/
  9. What is OpenID Connect and How OpenID Connect Works.
    Zdroj: https://openid.net/
  10. OpenID Specification.
    Zdroj: https://openid.net/
  11. OpenID Authentication 2.0 - Final.
    Zdroj: https://openid.net/
  12. SAML Specifications.
    Zdroj: https://saml.xml.org/
  13. Security Assertion Markup Language (SAML) V2.0 Technical Overview.
    Zdroj: https://www.oasis-open.org/

Autor článku:

Jan Dušátko
Jan Dušátko

Jan Dušátko se počítačům a počítačové bezpečnosti věnuje již skoro čtvrt století. V oblasti kryptografie spolupracoval s předními odborníky např. s Vlastimilem Klímou, či Tomášem Rosou. V tuto chvíli pracuje jako bezpečnostní konzultant, jeho hlavní náplní jsou témata související s kryptografií, bezpečností, e-mailovou komunikací a linuxovými systémy.

Podobné články

Sdílení souborů protokolem SMB a kryptografie
16. 9. 2024
Sdílení souborů protokolem SMB a kryptografie
Sdílení souborů protokolem NFS a kryptografie
17. 9. 2024
Sdílení souborů protokolem NFS a kryptografie
Algoritmy odolné kvantovým počítačům
27. 9. 2024
Algoritmy odolné kvantovým počítačům
Ukládání hesel pomocí Crypt interface
8. 10. 2024
Ukládání hesel pomocí Crypt interface
logo

Vaše výuková platforma pro kryptografii
a bezpečnost.

Jan Dušátko
info@cryptosession.cz
+420 602 427 840

Pod Harfou 938/58
190 00, Praha 9

IČ: 43479766
DIČ: CZ 7208253041

Bankovní spojení:
78-7768770207/0100

© 2025 Cryptosession.cz Design: Lukáš Kejha, Development: Karel Tropp

1. Úvodní ustanovení

1.1. Tyto všeobecné obchodní podmínky jsou, není-li ve smlouvě písemně dohodnuto jinak, nedílnou součástí všech smluv týkajících školení, pořádaných nebo poskytovaných školitelem, Jan Dušátko, IČ 434 797 66, DIČ 7208253041, se sídlem Pod Harfou 938/58, Praha 9, zapsané u Úřadu městské části Praha 9 (dále jen „školitel“).
1.2. Smluvními stranami ve všeobecných obchodních podmínkách jsou míněni školitel a objednatel, kdy objednatel může být zároveň zprostředkovatelem smluvního vztahu.
1.3. Záležitosti, které nejsou upravené těmito obchodními podmínkami, se řeší podle Občanského zákoníků, tj. zákon č. 89/2012 Sb.

2. Vznik smlouvy přihlášením ke kurzu

2.1. Přihláškou se rozumí jednostranný úkon objednatele adresovaný školiteli prostřednictvím datové schránky s identifikací euxesuf, e-mailu na adresu register@cryptosession.cz nebo register@cryptosession.info, internetových stránek cryptosession.cz, cryptosession.info nebo kontaktním telefonem +420 602 427 840.
2.2. Odesláním přihlášky objednatel souhlasí s těmito všeobecnými podmínkami a prohlašuje, že se s nimi seznámil.
2.3. Přihláška se považuje za přijatou momentem potvrzení (stadnardně do 2 pracovních dní) školitelem nebo zprostředkovatelem. Toto potvrzení je zasláno do datové schránky nebo na kontaktní e-mail.
2.4. Standardní doba pro přihlášení je nejpozději 14 pracovních dní před konáním vzdělávací akce, pokud není uvedeno jinak. V případě fyzické nepodnikající osoby musí být objednávka alespoň 28 pracovních dní před konáním vzdělávací akce.
2.5. Na jednu přihláškou lze přihlásit i více než jednoho účastníka.
2.6. Pokud je více než 10 účastníků od jednoho objednatele, je možné se domluvit na školení v místě sídla zprostředkovatele nebo objednatele.
2.7. Přihlášky jsou přijímány a zpracovávány v pořadí, v jakém došly poskytovateli. Poskytovatel neprodleně informuje objednatele o všech skutečnostech. Těmi se míní naplnění kapacity, příliš nízký počet účastníků, nebo jiný závažný důvod, jako je nemoc lektora nebo zásah vyšší moci. Objednateli bude v tomto případě nabídnut nový termín, případně účast na jiné vzdělávací akci. V případě, že objednatel nebude s přesunutím či účastí na jiné nabídnuté vzdělávací akci souhlasit, poskytovatel mu vrátí účastnický poplatek. Nedostatečný účastníků je oznámen objednateli alespoň 14 dní před začátkem plánovaného termínu.
2.8. Smlouva mezi poskytovatelem a objednatelem vzniká odesláním potvrzení poskytovatelem objednateli.
2.9. Smlouvu lze změnit nebo zrušit pouze za splnění zákonných předpokladů a pouze písemně.

3. Zánik smlouvy zrušením přihlášky

3.1. Přihláška může být objednatelem zrušena pomocí e-mailu, nebo pomocí datové schránky.
3.2. Zákazník má právo stornovat svoji přihlášku na kurz 14 dní před konáním kurzu bez jakýchkoliv poplatků. Pokud se jedná o kratší dobu, dochází k následné změně. V intervalu 7-13 dní je účtován administrativní poplatek 10%, storno účasti v kratším intervalu než 7 dní pak poplatek 25%. V případě storna přihlášky nebo objednávky ze strany zákazníka je nabízena možnost účasti zákazníka v náhradním termínu bez dalšího poplatku. Právo na zrušení přihlášky zaniká realizací objednaného školení.
3.3. Při zrušení přihlášky školitelem náleží objednateli plná náhrada za neuskutečněnou akci.
3.4. Objednatel má právo žádat náhradní termín nebo náhradní školení. V takovém případě bude objednatel informován o všech otevřených kurzech. Náhradní termín si nelze vymáhat ani vynucovat, závisí na aktuální dostupnosti kurzu. Pokud má náhradní školení nižší cenu, objednatel doplatí rozdíl. Pokud má náhradní školení nižší cenu, školitel vrátí rozdíl cen školení objednateli.

4. Cena a platební podmínky

4.1. Odesláním přihlášky objednatel akceptuje smluvní cenu (dále jen účastnický poplatek) uvedenou u daného kurzu.
4.2. V případě více účastníků přihlášených jednou přihláškou je možná sleva.
4.3. Účastnický poplatek musí být uhrazen na bankovní účet společnosti vedený u Komerční banky č. 78-7768770207/0100. Při platbě je nutné uvést variabilní symbol, který je uveden na faktuře, odeslané objednateli školitelem.
4.4. Účastnický poplatek zahrnuje náklady poskytovatele včetně školicích materiálů. Poskytovatel je plátce DPH.
4.5. Účastnický poplatek je objednatel povinen uhradit do 14 pracovních dní od přijetí faktury, pokud nebylo samostatnou smlouvou uvedeno jinak.
4.6. Pokud se přihlášená osoba neúčastní školení a nedošlo k jiné domluvě, je její neúčast považována za storno příhlášku v intervalu kratším než 7 dní, tj. školiteli náleží odměna ve výši 25% z ceny kurzu. Přeplatek je vrácen do 14 dní na platební účet odesílatele, ze kterého byly prostředky odeslány. Platba na jiné číslo účtu není možná.
4.7. Nejdéle do 5 pracovních dní od začátku školení bude školitelem vystavena faktura, která bude dle dohody odeslána e-mailem nebo datovou schránkou.

5. Podmínky školení

5.1. Školitel je povinnen informovat objednatele 14 dní dopředu o místě a času školení, včetně termínu zahájení a ukončení denního programu.
5.2. Pokud objednatel není studentem kurzu, je povinnen zajistit distribuci těchto informací koncovým účastníkům. Za nesplnění těchto podmínek školitel nenese odpovědnost.
5.2. Standardně školení probíhá v čase od 9:00 do 17:00 na předem určeném místě.
5.3. Školitel může být dle aktuálních podmínek k dispozici od 8:00 do 9:00 a následně od 17:00 do 18:00 pro dotazy účastníků.
5.4. Na konci školení je koncovým uživatelům předán certifikát o absolovování.
5.5. Na konci školení koncoví uživatelé vyhodnocují přístup lektora a mají se vyjádřit k ohodnocení jeho prezentace, způsobu přednesení a ohodnotit významn poskytnutých informací.

6. Reklamace

6.1. Pokud je účastník hrubě nespokojen s průběhem kurzu, je školitel o této informaci vyrozuměn.
6.2. Důvody nespokojenosti jsou ten samý den zapsány do protokolu ve dvou kopiích. Jedna je předána objednateli a jednu má školitel.
6.3. Vyjádření k reklamaci bude podáno e-mailem do dvou týdnů. Následně do jednoho týdne bude domluven způsob řešení.
6.4. Nespokojenost zákazníka může být důvodem k rozvázání další spolupráce, nebo finanční kompenzaci až do výše ceny školení po odečtení nákladů.

7. Autorská práva k poskytnutým materiálům

7.1. Školicí materiály poskytnuté školitelem v rámci konání školení splňují znaky autorského díla dle zákona č. 121/2000 Sb.
7.2. Žádný ze školicích materiálů ani jeho část nesmí být bez předchozího písemného souhlasu školitele jakýmkoli způsobem dále zpracovávána, rozmnožována, rozšiřována nebo využívána k dalším prezentacím nebo školením.

8. Zodpovědnost

8.1. Školitel nepřebírá odpovědnost za nedostatky ve službách kterékoliv třetí strany, kterou využívá při školeních.
8.2. Školitel nepřebírá odpovědnost za zranění, škody a ztráty, vzniklé účastníkům vzdělávacích akcí, nebo které byly účastníky způsobeny. Takové náklady, způsobené uvedenými okolnostmi, ponese výhradně účastník vzdělávací akce.

9. Platnost podmínek

9.1 Tyto všeobecné obchodní podmínky jsou platné a účinné od 1. října 2024.

Informace o sběru a zpravování osobních údajů

Zpracovatel Jan Dušátko (dále jen „Správce“), dle nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „Nařízení“) zpracovává osobní údaje. Dále jsou rozepsané jednotlivé osobní údaje, které jsou součástí zpracování při konkrétních aktivitách u této webové prezentace a v rámci obchodního styku.
Přestože je sběr dat všudypřítomný, provoz tohoto webu si zakládá na právu na soukromí každého uživatele. Z uvedeného důvodu sběr informací o uživatelích probíhá v naprosto nezbytné míře a to jen v případě, kdy se uživatel rozhodne kontaktovat provozovatele. Jakýkoliv další sběr a zpracování dat považujeme za neetický.

Informace o záznamech přístupu na webovou prezentaci

Tento web nesbírá žádné cookies. Stránka nepoužívá ani žádné analytické scripty třetích stran (sociální sítě, cloud provideři). Z těchto důvodů je také nabízena volba pro zobrazení mapy formou odkazu, kde primárním zdrojem je OpenStreet a alternativy pak často používané Mapy společnosti Seznam, a.s., případně Google Maps společnosti Google LLC Inc. Využití jakéhokoliv z těchto zdrojů je zcela na libovůli uživatelů těchto stránek. Správce nenese odpovědnost za sběr dat realizovaný těmito společnostmi, neposkytuje jim data o uživatelích a na sběru dat nespolupracuje.
Logování přístupů probíhá pouze na úrovni systému, důvodem je identifikace případných technických nebo bezpečnostních problémů. Dalšími důvody jsou přehledové statistiky přístupů. V této oblasti se nesbírají ani nesledují žádné konkrétní údaje a všechny záznamy o přístupech jsou po třech měsících mazány.

Informace o kontaktování provozovatele stránek

Formulář pro kontaktování provozovatele stránek (správce) obsahuje následující osobní údaje: jméno, příjmení, e-mail. Tyto údaje jsou určeny jen a pouze pro tuto komunikaci, odpovídající oslovení uživatele a jsou udržovány po dobu nezbytnou k naplnění účelu, maximálně pak po dobu jednoho roku, pokud si uživatel neurčí jinak.

Informace o objednávkovém formuláři

Pro případ zájmu o objednávku formulář obsahuje více údajů, tj. jméno, příjmení, e-mail a kontaktní údaje na organizaci. Tyto údaje jsou určeny jen a pouze pro tuto komunikaci, odpovídající oslovení uživatele a jsou udržovány po dobu jednoho roku, pokud si uživatel neurčí jinak. V případě, kdy na základě této objednávky dojde k uzavření obchodního vztahu, budou nadále správcem udržovány pouze informace vyžadované českými zákony na základě obchodních vztahů (název a adresa společnosti, číslo bankovního účtu, typ kurzu a jeho cena).

Informace o dokumentu o absolovování kurzu

V rámci kurzu je vydán zpracovatelem dokument o absolovování kurzu. Tento dokument obsahuje následující údaje: jméno a příjmení studenta, název a datum absolovování kurzu a jméno zaměstnavatele. Uvedené informace se následně používají pro tvorbu lineárního stromu hashí (nemodifikovatelný záznam). Tato databáze obsahuje pouze informace o poskytnutých jménech a názvech společností, které mohou a a nemusí odpovídat realitě a je udržován zpracovatelem pro případné opětovné vystavení nebo ověření vydání dokumentu.

Práva subjektu osobních údajů

Zákazník nebo návštěvník tohoto webu má možnost požádat o informace o zpracování osobních údajů, právo požadovat přístup k osobním údajům, případně právo požádat o opravu nebo výmaz veškerých dat, které by o něm byly vedeny. V případě výmazu tento požadavek není možné splnit pouze pokud se nejedná o data nezbytně nutná v rámci obchodního styku. Zákazník nebo návštěvník webu má dále právo na vysvětlení týkající se zpracování jeho osobních údajů, pokud tento zjistí nebo se domnívá, že zpracování je prováděno v rozporu s ochranou jeho soukromého a osobního života nebo v rozporu s platnými právními předpisy a právo požadovat odstranění takto vzniklého stavu a zajištění nápravy.
Zákazník/návštěvník tohoto webu dále může požadovat omezení zpracování nebo vznést námitku proti zpracování údajů a má právo kdykoliv písemně svůj souhlas se zpracováním osobních údajů odvolat, aniž by tím byla dotčena zákonnost jejich zpracování předcházející takovému odvolání. Pro tyto účel slouží kontaktní e-mail adresa support@cryptosession.cz
Zákazník/návštěvník má právo podat stížnost proti zpracování osobních údajů u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů.