Technický popis pro IT
Detailní informace o architektuře, bezpečnosti a provozu ProfiBrew. Určeno pro IT odpovědné u zákazníka a partnery.
Shrnutí
ProfiBrew je moderní cloudová SaaS aplikace postavená nad Next.js + PostgreSQL + Supabase. Hostujeme ve West EU (Irsko), data jsou izolována na úrovni databáze (RLS), veškerá komunikace probíhá přes HTTPS/TLS. Automatické denní zálohy, automatické bezpečnostní aktualizace, žádná instalace u zákazníka.
1. Aplikační vrstva
Next.js 14 (App Router) — full-stack framework od Vercel, postavený nad Reactem. TypeScript ve striktním režimu — typová bezpečnost na celém stacku snižuje výskyt runtime chyb. UI: shadcn/ui + Tailwind CSS, lokalizace next-intl (cs/en). Validace všech vstupů přes Zod.
2. Datová vrstva
PostgreSQL provozovaný v rámci Supabase — průmyslový standard pro podnikové systémy, ACID, široká ekosystémová podpora. Drizzle ORM — typově bezpečný přístup, žádné SQL injection ze strany aplikace. Migrace verzovány v Gitu, automaticky aplikovány v CI/CD.
3. Multi-tenant izolace
Tři vrstvy: (1) Databáze — Row Level Security (RLS) na úrovni PostgreSQL, povinná politika u každé tenant-scope tabulky. Selhání aplikace nemůže vést k cross-tenant úniku. (2) API — middleware na každém endpointu ověřuje autentizaci, RBAC a přístup k modulu (subscription gating). (3) Frontend — tenant kontext v React contextu, žádné citlivé identifikátory v URL nebo localStorage.
4. Autentizace a autorizace
Supabase Auth — JWT, OAuth, magic links. RBAC: 5 systémových rolí (owner, admin, brewer, sales, viewer) + granulární matice oprávnění (modul × operace × agenda). Module Access Control: 4 vrstvy (middleware, layout, UI, API) — nelze obejít přímým API voláním. 2FA TOTP — pro superadmin vynuceno, pro ostatní volitelné.
5. Hosting a infrastruktura
Aplikace: Vercel — globální edge síť, automatická škálovatelnost, HTTPS s automatickou rotací certifikátů. Databáze: Supabase nad AWS, lokace West EU (Irsko). CI/CD: GitHub Actions — automatizované testy, migrace a nasazení. Tři striktně oddělená prostředí: lokální vývoj, staging, produkce.
6. Zálohování a obnova
Automatické denní zálohy databáze na úrovni infrastruktury. Verzované migrace — schéma databáze plně auditovatelné.
7. Soulad s GDPR
Veškerá data v evropských datacentrech (West EU – Irsko). Smluvní zpracování osobních údajů (DPA) se subdodavateli (Vercel, Supabase). Mechanismus pro export dat (CSV/Excel) i pro výmaz tenant dat na vyžádání.
8. Šifrování a transport
Transport: HTTPS/TLS, žádný nešifrovaný provoz. At-rest: databáze i zálohy šifrovány na úrovni infrastruktury (Supabase / AWS). Citlivé tokeny (CRON secret, API klíče) v Environment Variables, nikdy v repozitáři.
9. Monitoring a auditovatelnost
Strukturované logy pro API volání. Auditní stopa významných operací v databázi (tenant_activity_log), viditelná pro tenanty. Error tracking pro proaktivní detekci a řešení provozních problémů.
10. Provozní model
Žádná instalace u zákazníka. Nulová administrace na straně pivovaru. Aktualizace bez výpadků — Vercel deployment je atomický, nasazení neviditelné pro uživatele. SLA odvozené od garancí Vercel a Supabase.