Dokumentation · ·
en English (UK) en el Ελληνικά el de Deutsch de fr Français fr es Español es it Italiano it pt Português pt nl Nederlands nl pl Polski pl sv Svenska sv da Dansk da fi Suomi fi cs Čeština cs sk Slovenčina sk hu Magyar hu ro Română ro bg Български bg hr Hrvatski hr sl Slovenščina sl lt Lietuvių lt lv Latviešu lv et Eesti et mt Malti mt ga Gaeilge ga
RadCMS
Start gratis prøveperiode
Sikkerhed

Sikkerhed, ligetil

Ingen buzzwords. Her er hvad vi gør — og hvad vi ikke påstår — for at holde dine sites, kunder og omsætning sikre.

Kryptering under transport

Hver forbindelse bruger TLS 1.3. HSTS preloaded. Vi afviser TLS 1.0 / 1.1 og svage cipher suites. Ingen undtagelser for legacy-klienter.

Kryptering i hvile

Database-volumener og S3-buckets er AES-256-krypterede. Backups krypteres før de forlader produktionsnetværket.

2-Factor Authentication

TOTP-baseret 2FA er inkluderet på alle planer, med valgfri email-OTP-fallback. 8 engangs-recovery-koder pr. bruger. Admins er forpligtet til at aktivere det.

Hosting kun i EU

Primær region: Frankfurt. Sekundær: Stockholm. Ingen data overføres til ikke-EØS-jurisdiktioner uden en dokumenteret Standard Contractual Clause.

Tenant-isolering

Hvert kunde-site kører i sit eget DB-scope. Plugins eksekverer i en sandbox med disable_functions + open_basedir-profil — én tenant kan ikke påvirke en anden.

Rate limiting + audit-log

Per-IP rate limits på hver offentlig formular. Hver admin-handling registreres i aktivitetsloggen med subject, aktør, IP og fuldt diff over ændrede felter.

Praksis vi følger

Årlig ekstern pen-test

Uafhængigt EU-baseret firma. Kritiske fund udbedres før rapporten godkendes.

SAST i CI

Hver PR kører statisk analyse (Psalm + Larastan). PR'er kan ikke merges med security severity > medium.

Overvågning af dependencies

Composer + npm-dependencies scannes dagligt. Kritiske CVE'er udløser en samme-dag patch-release.

Secrets management

Ingen secrets i repoet. Produktions-secrets ligger i HashiCorp Vault med kvartalsvis rotation.

Backups + restore-drills

Daglige krypterede snapshots gemt i 30 dage. Vi kører fuld restore-drill én gang pr. kvartal.

Incident response

Dokumenteret runbook. Severity 1-incidents får en offentlig post-mortem inden 14 dage på /blog.

Signerede webhooks

Udgående webhooks signeret med HMAC-SHA256. Kunder verificerer pr. request for at forhindre forfalskning.

Password hashing

bcrypt med cost 12 (konfigurerbar). Ingen password forlader request-grænsen uhashet.

Ansvarlig sårbarhedsrapportering

Fundet en sårbarhed? Send en mail til security@radcms.io med reproduktionstrin. Krypter med vores PGP-nøgle for følsomme fund.

Vores forpligtelse

  • Bekræft din rapport inden for 48 timer.
  • Triage-beslutning inden for 5 arbejdsdage (in scope / out of scope / duplikat).
  • Hold dig opdateret indtil problemet er løst.
  • Krediterer dig offentligt (hvis du ønsker det), når rettelsen er udgivet.
  • Betaler en bounty for gyldige kritiske/høje fund (case-by-case, i øjeblikket op til €5.000).

Test ikke på kundedata, kør ikke automatiserede scannere der genererer stort volumen, og giv os rimelig tid til at udbedre før offentlig udmelding.

GDPR

EU 2016/679 compliant

Læs mere →
ISO 27001

Audit i gang · mål 2026

SOC 2 Type II

Tilgængelig for Enterprise-planer

Denne hjemmeside bruger cookies

Vi bruger cookies til at levere sitet pålideligt, personalisere indhold, lave statistik og understøtte marketing. Indstil nedenfor hvad du accepterer.

Cookiepolitik