Documentazione · ·
en English (UK) en el Ελληνικά el de Deutsch de fr Français fr es Español es it Italiano it pt Português pt nl Nederlands nl pl Polski pl sv Svenska sv da Dansk da fi Suomi fi cs Čeština cs sk Slovenčina sk hu Magyar hu ro Română ro bg Български bg hr Hrvatski hr sl Slovenščina sl lt Lietuvių lt lv Latviešu lv et Eesti et mt Malti mt ga Gaeilge ga
RadCMS
Prova gratuita
Sicurezza

Sicurezza, in parole semplici

Niente buzzword. Ecco cosa facciamo — e cosa non rivendichiamo — per tenere al sicuro i tuoi siti, clienti e ricavi.

Crittografia in transito

Ogni connessione usa TLS 1.3. HSTS preloaded. Rifiutiamo TLS 1.0 / 1.1 e cipher suite deboli. Nessuna eccezione per i client legacy.

Crittografia a riposo

I volumi del database e i bucket S3 sono cifrati AES-256. I backup vengono cifrati prima di lasciare la rete di produzione.

Autenticazione a 2 fattori

2FA basato su TOTP incluso in ogni piano, con fallback opzionale via email-OTP. 8 codici di recupero monouso per utente. Obbligatorio per gli admin.

Hosting solo in UE

Regione primaria: Francoforte. Secondaria: Stoccolma. Nessun dato transita verso giurisdizioni extra-SEE senza una Standard Contractual Clause documentata.

Isolamento tenant

Ogni sito cliente gira nel proprio DB scope. I plugin vengono eseguiti in una sandbox con profilo disable_functions + open_basedir — un tenant non può influire su un altro.

Rate limiting + log di audit

Rate limit per IP su ogni form pubblico. Ogni azione admin viene registrata nel log attività con soggetto, attore, IP e diff completo dei campi modificati.

Pratiche che seguiamo

Pen-test esterno annuale

Azienda indipendente con sede UE. I rilievi critici vengono risolti prima che il report sia firmato.

SAST in CI

Ogni PR esegue analisi statica (Psalm + Larastan). Le PR non vengono fuse con severità security > medium.

Monitoraggio dipendenze

Le dipendenze Composer + npm vengono scansionate quotidianamente. I CVE critici scatenano una patch release in giornata.

Gestione dei segreti

Nessun segreto nel repository. I secret di produzione vivono in HashiCorp Vault con rotazione trimestrale.

Backup + drill di ripristino

Snapshot cifrati giornalieri conservati per 30 giorni. Eseguiamo un drill di ripristino completo una volta a trimestre.

Risposta agli incidenti

Runbook documentato. Gli incidenti di severità 1 ricevono un post-mortem pubblico entro 14 giorni su /blog.

Webhook firmati

Webhook in uscita firmati con HMAC-SHA256. I clienti verificano per ogni richiesta per prevenire la falsificazione.

Hashing delle password

bcrypt con costo 12 (configurabile). Nessuna password lascia mai il confine della request in chiaro.

Divulgazione responsabile

Hai trovato una vulnerabilità? Scrivi a security@radcms.io con i passi di riproduzione. Cifra con la nostra chiave PGP per i rilievi sensibili.

Il nostro impegno

  • Confermare la ricezione del tuo report entro 48 ore.
  • Fornire una decisione di triage entro 5 giorni lavorativi (in scope / out of scope / duplicato).
  • Tenerti aggiornato fino alla risoluzione del problema.
  • Riconoscerti pubblicamente (se lo desideri) quando il fix viene rilasciato.
  • Pagare una bounty per i rilievi validi di severità critica/alta (caso per caso, attualmente fino a €5.000).

Per favore, non testare su dati dei clienti, non eseguire scanner automatici che generano volume e concedici tempo ragionevole per la remediation prima della divulgazione pubblica.

GDPR

Conforme al Reg. UE 2016/679

Scopri di più →
ISO 27001

Audit in corso · obiettivo 2026

SOC 2 Type II

Disponibile per piani Enterprise

Questo sito utilizza i cookie

Usiamo i cookie per servire il sito in modo affidabile, personalizzare i contenuti, misurare l'audience e supportare il marketing. Configura sotto cosa accetti.

Cookie policy