Documentación · ·
en English (UK) en el Ελληνικά el de Deutsch de fr Français fr es Español es it Italiano it pt Português pt nl Nederlands nl pl Polski pl sv Svenska sv da Dansk da fi Suomi fi cs Čeština cs sk Slovenčina sk hu Magyar hu ro Română ro bg Български bg hr Hrvatski hr sl Slovenščina sl lt Lietuvių lt lv Latviešu lv et Eesti et mt Malti mt ga Gaeilge ga
RadCMS
Prueba gratuita
Seguridad

Seguridad, sin rodeos

Sin buzzwords. Esto es lo que hacemos — y lo que no afirmamos — para mantener seguros tus sites, clientes e ingresos.

Cifrado en tránsito

Cada conexión usa TLS 1.3. HSTS con preload. Rechazamos TLS 1.0 / 1.1 y suites de cifrado débiles. Sin excepciones para clientes legacy.

Cifrado en reposo

Los volúmenes de base de datos y los buckets S3 están cifrados con AES-256. Los backups se cifran antes de salir de la red de producción.

Autenticación de 2 factores

2FA basada en TOTP incluida en cada plan, con fallback opcional por email-OTP. 8 códigos de recuperación de un solo uso por usuario. Obligatorio para administradores.

Hosting solo en la UE

Región principal: Fráncfort. Secundaria: Estocolmo. Ningún dato transita a jurisdicciones fuera del EEE sin una Cláusula Contractual Tipo documentada.

Aislamiento de tenants

Cada site de cliente corre en su propio scope de BD. Los plugins se ejecutan en un sandbox con perfil disable_functions + open_basedir — un tenant no puede afectar a otro.

Rate limiting + log de auditoría

Rate limits por IP en cada formulario público. Cada acción de admin queda registrada en el log de actividad con sujeto, actor, IP y diff completo de los campos cambiados.

Prácticas que seguimos

Pen-test externo anual

Empresa independiente con sede en la UE. Los hallazgos críticos se corrigen antes de firmar el informe.

SAST en CI

Cada PR ejecuta análisis estático (Psalm + Larastan). Los PR no se mergean si hay severidad de seguridad > media.

Monitorización de dependencias

Dependencias Composer + npm escaneadas a diario. Los CVE críticos disparan un parche el mismo día.

Gestión de secretos

Ningún secreto en el repo. Los secretos de producción viven en HashiCorp Vault con rotación trimestral.

Backups + simulacros de restore

Snapshots cifrados diarios retenidos 30 días. Ejecutamos un simulacro de restore completo cada trimestre.

Respuesta a incidencias

Runbook documentado. Las incidencias de severidad 1 reciben post-mortem público en 14 días en /blog.

Webhooks firmados

Webhooks salientes firmados con HMAC-SHA256. Los clientes verifican por petición para evitar falsificaciones.

Hash de contraseñas

bcrypt con cost 12 (configurable). Ninguna contraseña sale sin hashear del límite de la petición.

Divulgación responsable

¿Has encontrado una vulnerabilidad? Escribe a security@radcms.io con pasos de reproducción. Cifra con nuestra clave PGP los hallazgos sensibles.

Nuestro compromiso

  • Acuse de recibo en 48 horas.
  • Decisión de triaje en 5 días laborables (en alcance / fuera de alcance / duplicado).
  • Te mantenemos informado hasta que el problema esté resuelto.
  • Te damos crédito públicamente (si quieres) cuando salga la corrección.
  • Pagamos recompensa por hallazgos críticos/altos válidos (caso a caso, actualmente hasta €5.000).

No pruebes contra datos de clientes, no ejecutes escáneres automáticos que generen volumen y danos un plazo razonable para remediar antes de la divulgación pública.

RGPD

Conforme a UE 2016/679

Leer más →
ISO 27001

Auditoría en curso · objetivo 2026

SOC 2 Type II

Disponible para planes Enterprise

Este sitio usa cookies

Usamos cookies para servir el sitio de forma fiable, personalizar contenido, medir audiencia y apoyar el marketing. Configura abajo lo que aceptas.

Política de cookies