Dokumentācija · ·
en English (UK) en el Ελληνικά el de Deutsch de fr Français fr es Español es it Italiano it pt Português pt nl Nederlands nl pl Polski pl sv Svenska sv da Dansk da fi Suomi fi cs Čeština cs sk Slovenčina sk hu Magyar hu ro Română ro bg Български bg hr Hrvatski hr sl Slovenščina sl lt Lietuvių lt lv Latviešu lv et Eesti et mt Malti mt ga Gaeilge ga
RadCMS
Sākt bezmaksas izmēģinājumu
Drošība

Drošība, vienkārši

Bez modes vārdiem. Lūk, ko mēs darām — un ko mēs neapgalvojam — lai tavas vietnes, klienti un ieņēmumi būtu drošībā.

Šifrēšana pārsūtīšanā

Katrs savienojums izmanto TLS 1.3. HSTS preloaded. Mēs neatļaujam TLS 1.0 / 1.1 un vājas šifrēšanas komplektācijas. Bez izņēmumiem legacy klientiem.

Šifrēšana miera stāvoklī

Datubāzes apjomi un S3 buckets ir AES-256 šifrēti. Rezerves kopijas tiek šifrētas pirms tās atstāj produkcijas tīklu.

2-Factor Authentication

TOTP balstīta 2FA iekļauta katrā plānā ar fakultatīvu email-OTP fallback. 8 vienreiz lietojami atjaunošanas kodi katram lietotājam. Administratoriem tā ir obligāta.

Tikai ES hostings

Galvenais reģions: Frankfurte. Sekundārais: Stokholma. Dati nekad netiek pārsūtīti uz jurisdikcijām ārpus EEZ bez dokumentētas Standard Contractual Clause.

Tenant izolācija

Katra klienta vietne darbojas savā DB scope. Spraudņi izpildās sandbox ar disable_functions + open_basedir profilu — viens tenant nevar ietekmēt otru.

Rate limiting + audit log

Per-IP rate limits katrā publiskā formā. Katra admin darbība tiek ierakstīta activity log ar subjektu, izpildītāju, IP un pilnu mainīto lauku diff.

Prakses, kuras ievērojam

Gada ārējais pen-tests

Neatkarīgs ES bāzēts uzņēmums. Kritiskie atklājumi tiek novērsti pirms atskaites parakstīšanas.

SAST CI

Katrs PR palaiž statisko analīzi (Psalm + Larastan). PRs nevar tikt apvienoti ar drošības severity > medium.

Atkarību monitorings

Composer + npm atkarības skenētas ik dienu. Kritiskie CVE izraisa tās pašas dienas patch izlaidumu.

Secrets pārvaldība

Nav secrets repo. Produkcijas secrets dzīvo HashiCorp Vault ar ceturkšņa rotāciju.

Backups + restore drills

Ikdienas šifrēti snapshots glabāti 30 dienas. Mēs veicam pilnu restore drill reizi ceturksnī.

Incidentu reaģēšana

Dokumentēta runbook. Severity 1 incidentiem ir publisks post-mortem 14 dienu laikā /blog.

Parakstīti webhooki

Izejošie webhooki parakstīti ar HMAC-SHA256. Klienti pārbauda katru pieprasījumu, lai novērstu viltošanu.

Paroļu hashing

bcrypt ar cost 12 (konfigurējams). Neviena parole nekad neatstāj pieprasījuma robežu unhashed.

Atbildīga atklāšana

Atradi ievainojamību? Sūti e-pastu uz security@radcms.io ar reproducēšanas soļiem. Šifrē ar mūsu PGP atslēgu jutīgiem atklājumiem.

Mūsu apņemšanās

  • Apstiprināt tavu ziņojumu 48 stundu laikā.
  • Sniegt triage lēmumu 5 darba dienu laikā (in scope / out of scope / duplicate).
  • Informēt tevi līdz problēma ir atrisināta.
  • Publiski tev pateikt paldies (ja vēlies), kad labojums tiek izlaists.
  • Maksāt bounty par derīgiem kritiskiem/augstiem atklājumiem (case-by-case, šobrīd līdz €5 000).

Lūdzu, netestē uz klientu datiem, nedarbini automatizētus skenerus, kas rada apjomu, un dod mums saprātīgu laiku novērst problēmu pirms publiskās atklāšanas.

GDPR

Atbilst EU 2016/679

Lasīt vairāk →
ISO 27001

Audits procesā · mērķis 2026

SOC 2 Type II

Pieejams Enterprise plāniem

Šī tīmekļa vietne izmanto sīkdatnes

Mēs izmantojam sīkdatnes, lai uzticami piegādātu vietni, personalizētu saturu, sniegtu analītiku un atbalstītu marketingu. Pārslēdz kategorijas zemāk, lai izvēlētos, ko pieņem.

Sīkdatņu politika