Dokumentacija · ·
en English (UK) en el Ελληνικά el de Deutsch de fr Français fr es Español es it Italiano it pt Português pt nl Nederlands nl pl Polski pl sv Svenska sv da Dansk da fi Suomi fi cs Čeština cs sk Slovenčina sk hu Magyar hu ro Română ro bg Български bg hr Hrvatski hr sl Slovenščina sl lt Lietuvių lt lv Latviešu lv et Eesti et mt Malti mt ga Gaeilge ga
RadCMS
Pradėti nemokamą bandymą
Saugumas

Saugumas, paprastai

Be buzzword-ų. Štai ką darome — ir ko nesigiriame — kad tavo svetainės, klientai ir pajamos būtų saugūs.

Šifravimas perduodant

Kiekvienas ryšys naudoja TLS 1.3. HSTS preloaded. Atsisakome TLS 1.0 / 1.1 ir silpnų cipher suites. Jokių išimčių senesnėms versijoms.

Šifravimas ramybės būsenoje

Duomenų bazės tomai ir S3 kibirai užšifruoti AES-256. Atsarginės kopijos šifruojamos prieš išeinant iš produkcijos tinklo.

2-Factor Authentication

TOTP pagrindu veikiantis 2FA įtrauktas į kiekvieną planą su pasirinktiniu email-OTP fallback. 8 vienkartiniai atkūrimo kodai vienam vartotojui. Administratoriai privalo jį įjungti.

Tik ES hosting

Pagrindinis regionas: Frankfurtas. Antrinis: Stokholmas. Duomenys niekada netranzitavo į ne EEE jurisdikcijas be dokumentuotos standartinės sutarties sąlygos.

Nuomininkų izoliacija

Kiekviena kliento svetainė veikia savo DB srityje. Įskiepiai vykdomi sandbox aplinkoje su disable_functions + open_basedir profiliu — vienas nuomininkas negali paveikti kito.

Rate limiting + audito žurnalas

Per-IP rate limits kiekvienoje viešoje formoje. Kiekvienas admin veiksmas įrašomas į veiklos žurnalą su subjektu, vykdytoju, IP ir pilnu pakeistų laukų diff.

Mūsų taikomos praktikos

Metinis išorinis pen-testas

Nepriklausoma ES įmonė. Kritiniai radiniai pašalinami prieš ataskaitos pasirašymą.

SAST CI procese

Kiekvienas PR vykdo statinę analizę (Psalm + Larastan). PR negali būti sujungtas su saugumo sunkumu > vidutinis.

Priklausomybių stebėjimas

Composer + npm priklausomybės kasdien skenuojamos. Kritiniai CVE suaktyvina tos pačios dienos pataisos išleidimą.

Slaptažodžių valdymas

Jokių paslapčių repozitorijoje. Produkcijos paslaptys gyvena HashiCorp Vault su ketvirčio rotacija.

Atsarginės kopijos + atkūrimo bandymai

Kasdienės užšifruotos momentinės kopijos saugomos 30 dienų. Pilnas atkūrimo bandymas vyksta kartą per ketvirtį.

Reagavimas į incidentus

Dokumentuotas runbook. Severity 1 incidentai gauna viešą post-mortem per 14 dienų /blog.

Pasirašyti webhookai

Išvykstantys webhookai pasirašyti HMAC-SHA256. Klientai patikrina per užklausą, kad išvengtų klastojimo.

Slaptažodžių hashing

bcrypt su cost 12 (konfigūruojama). Joks slaptažodis nepalieka užklausos ribos neapšaifruotas.

Atsakingas atskleidimas

Radai pažeidžiamumą? Parašyk security@radcms.io su atkūrimo žingsniais. Šifruok mūsų PGP raktu jautriems radiniams.

Mūsų įsipareigojimas

  • Patvirtinti tavo pranešimą per 48 valandas.
  • Pateikti triage sprendimą per 5 darbo dienas (in scope / out of scope / dublikatas).
  • Informuoti tave, kol problema bus išspręsta.
  • Viešai tave įvardinti (jei nori), kai pataisa pristatoma.
  • Mokėti premiją už galiojančius kritinius/aukštus radinius (atskirai vertinama, šiuo metu iki €5 000).

Prašome nedaryti bandymų su klientų duomenimis, nevykdyti automatinių skenerių, kurie generuoja didelį srautą, ir suteikti pakankamai laiko pataisymui prieš viešą atskleidimą.

GDPR

Atitinka ES 2016/679

Skaityti daugiau →
ISO 27001

Auditas vyksta · tikslas 2026

SOC 2 Type II

Prieinama Enterprise planams

Ši svetainė naudoja slapukus

Naudojame slapukus, kad svetainė veiktų patikimai, personalizuotų turinį, teiktų analitiką ir palaikytų marketingą. Pažymėk kategorijas žemiau, kad pasirinktum, ką priimti.

Slapukų politika