Biztonság, egyszerűen
Buzzwords nélkül. Itt van, amit teszünk — és amit nem állítunk —, hogy a site-jaid, ügyfeleid és bevételed biztonságban legyen.
Titkosítás továbbítás közben
Minden kapcsolat TLS 1.3-at használ. HSTS preloaded. Nem fogadjuk el a TLS 1.0 / 1.1-et és a gyenge cipher suite-okat. Legacy klienseknek sincs kivétel.
Titkosítás nyugalmi állapotban
A database volume-ok és S3 bucketek AES-256-tal vannak titkosítva. A backupok titkosítva távoznak a produkciós hálózatról.
2-faktoros hitelesítés
A TOTP-alapú 2FA minden csomagban benne van, opcionális email-OTP fallbackkel. 8 egyszer használatos recovery kód felhasználónként. Adminoknak kötelező bekapcsolni.
Csak EU hosting
Elsődleges régió: Frankfurt. Másodlagos: Stockholm. Soha nincs adattovábbítás EGT-n kívülre dokumentált Standard Contractual Clause nélkül.
Tenant izoláció
Minden customer site saját DB scope-ban fut. A pluginek sandboxban futnak disable_functions + open_basedir profillal — egy tenant nem hat a másikra.
Rate limiting + audit log
Per-IP rate limitek minden publikus űrlapon. Minden admin műveletet rögzítünk az activity logban — alany, szereplő, IP és a változtatott mezők teljes diffjével.
Gyakorlatok, amelyeket követünk
Éves külső pen-teszt
Független EU-s cég. A critical findingokat a riport aláírása előtt javítjuk.
SAST a CI-ben
Minden PR statikus analízist futtat (Psalm + Larastan). Medium fölötti security severityjű PR nem mergelhető.
Függőség-monitoring
A Composer + npm függőségeket naponta szkenneljük. A critical CVE-k aznapi patch release-t indítanak.
Secrets management
Nincs secret a repóban. A produkciós titkok a HashiCorp Vaultban élnek, negyedéves rotációval.
Backupok + restore drillek
Napi titkosított snapshot, 30 napos megőrzés. Negyedévente teljes restore drill.
Incidensreakció
Dokumentált runbook. A Severity 1 incidensek 14 napon belül publikus post-mortemot kapnak a /blog-on.
Aláírt webhookok
A kimenő webhookokat HMAC-SHA256-tal írjuk alá. Az ügyfelek kérésenként ellenőrzik a hamisítás megakadályozása érdekében.
Jelszó-hash
bcrypt cost 12-vel (konfigurálható). Egy jelszó sem hagyja el a request határt hashelés nélkül.
Felelős közzététel
Találtál egy sebezhetőséget? Írj a security@radcms.io címre a reprodukciós lépésekkel. Érzékeny eredményeket titkosíts a PGP kulcsunkkal.
Vállalásunk
- A bejelentésedet 48 órán belül visszaigazoljuk.
- 5 munkanapon belül triázs döntés (in scope / out of scope / duplicate).
- Folyamatos tájékoztatás a probléma megoldásáig.
- Publikus elismerés (ha szeretnéd), amikor a fix megjelenik.
- Bounty az érvényes critical/high találatokért (egyedi elbírálás, jelenleg max €5 000).
Kérjük, ne tesztelj ügyféladatokon, ne futtass automatikus szkennereket nagy volumenben, és adj nekünk észszerű időt a javításra a nyilvános közzététel előtt.
Audit folyamatban · 2026-os cél
Enterprise csomaghoz elérhető