Dokumentatsioon · ·
en English (UK) en el Ελληνικά el de Deutsch de fr Français fr es Español es it Italiano it pt Português pt nl Nederlands nl pl Polski pl sv Svenska sv da Dansk da fi Suomi fi cs Čeština cs sk Slovenčina sk hu Magyar hu ro Română ro bg Български bg hr Hrvatski hr sl Slovenščina sl lt Lietuvių lt lv Latviešu lv et Eesti et mt Malti mt ga Gaeilge ga
RadCMS
Alusta tasuta proovi
Turvalisus

Turvalisus, lihtsalt

Ei mingeid moesõnu. Siin on, mida me teeme — ja mida me ei väida — et hoida sinu saidid, kliendid ja tulu turvalisena.

Krüpteerimine edastamise ajal

Iga ühendus kasutab TLS 1.3. HSTS preloaded. Keeldume TLS 1.0 / 1.1 ja nõrkadest šifrikomplektidest. Erandeid pärand-klientidele pole.

Krüpteerimine puhkeolekus

Andmebaasimahud ja S3 ämbrid on AES-256 krüpteeritud. Varukoopiad krüpteeritakse enne, kui need lahkuvad produktsiooni võrgust.

2-faktoriline autentimine

TOTP-põhine 2FA on kaasas igal plaanil, valikulise email-OTP fallback'iga. 8 ühekordset taasteüksuse koodi kasutaja kohta. Administraatorid peavad selle lubama.

Ainult EL hosting

Esmane regioon: Frankfurt. Teisene: Stockholm. Andmeid ei edastata kunagi väljapoole EMP jurisdiktsioone ilma dokumenteeritud standardse lepingutingimuseta.

Tenant isolatsioon

Iga kliendi sait jookseb oma DB skoobis. Pluginad töötavad liivakastis disable_functions + open_basedir profiiliga — üks tenant ei saa mõjutada teist.

Päringute piiramine + audit log

IP-põhised piirangud igal avalikul vormil. Iga admini toiming salvestatakse tegevuste logisse subjekti, tegija, IP ja muudetud väljade täieliku diff'iga.

Praktikad, mida me järgime

Iga-aastane väline pen-test

Sõltumatu EL-põhine ettevõte. Kriitilised leiud parandatakse enne raporti allkirjastamist.

SAST CI-s

Iga PR jooksutab staatilist analüüsi (Psalm + Larastan). PR-id ei saa merge'ida turvariskiga > medium.

Sõltuvuste monitooring

Composer + npm sõltuvused skannitakse iga päev. Kriitilised CVE-d käivitavad sama päeva paigaväljaande.

Saladuste haldus

Repos pole saladusi. Produktsiooni saladused asuvad HashiCorp Vault'is kvartalise rotatsiooniga.

Varukoopiad + taastamise harjutused

Igapäevased krüpteeritud snapshotid 30 päeva. Teeme täieliku taastamise harjutuse kord kvartalis.

Incidendi vastus

Dokumenteeritud runbook. Severity 1 incidentidel on avalik post-mortem 14 päeva jooksul /blog'is.

Allkirjastatud webhookid

Väljaminevad webhookid allkirjastatud HMAC-SHA256-ga. Kliendid kontrollivad päringu kaupa võltsimise vältimiseks.

Paroolide räsimine

bcrypt cost 12 (seadistatav). Ühtegi parooli ei lahku päringu piirilt räsimata kujul.

Vastutustundlik avalikustamine

Leidsid haavatavuse? Saada meil aadressile security@radcms.io reproduktsiooni sammudega. Tundlike leidude jaoks krüpteeri meie PGP võtmega.

Meie pühendumus

  • Kinnitame sinu raporti vastuvõtmise 48 tunni jooksul.
  • Anname triage otsuse 5 tööpäeva jooksul (in scope / out of scope / duplikaat).
  • Hoiame sind kursis kuni probleem on lahendatud.
  • Tunnustame sind avalikult (kui soovid) kui parandus tarnitakse.
  • Maksame preemiat kehtivate kriitiliste/kõrgete leidude eest (juhtumipõhiselt, hetkel kuni €5000).

Palun ära testi klienti andmete vastu, ära käita automaatseid skannereid, mis genereerivad mahtu, ja anna meile mõistlik aeg parandamiseks enne avalikku avalikustamist.

GDPR

EL 2016/679 ühilduv

Loe rohkem →
ISO 27001

Audit pooleli · 2026 sihtmärk

SOC 2 Type II

Saadaval Enterprise plaanidele

See veebileht kasutab küpsiseid

Kasutame küpsiseid lehe usaldusväärseks tarnimiseks, sisu isikupärastamiseks, analüütika andmiseks ja marketingu toetamiseks. Vali allpool, mida aktsepteerid.

Küpsiste poliitika