Dokumentacija · ·
en English (UK) en el Ελληνικά el de Deutsch de fr Français fr es Español es it Italiano it pt Português pt nl Nederlands nl pl Polski pl sv Svenska sv da Dansk da fi Suomi fi cs Čeština cs sk Slovenčina sk hu Magyar hu ro Română ro bg Български bg hr Hrvatski hr sl Slovenščina sl lt Lietuvių lt lv Latviešu lv et Eesti et mt Malti mt ga Gaeilge ga
RadCMS
Zaženi brezplačno preizkušnjo
Varnost

Varnost, preprosto

Brez buzzwordov. Tu je, kar počnemo — in česar ne trdimo — da bi tvoji sajti, stranke in prihodki ostali varni.

Šifriranje v prenosu

Vsaka povezava uporablja TLS 1.3. HSTS preloaded. Zavračamo TLS 1.0 / 1.1 in šibke cipher suite. Brez izjem za legacy kliente.

Šifriranje v mirovanju

Diskovni volumi baze in S3 vedra so šifrirani z AES-256. Backupi so šifrirani, preden zapustijo produkcijsko omrežje.

2-Factor Authentication

TOTP 2FA je vključen v vsakem planu, z opcijskim email-OTP fallbackom. 8 enkratnih recovery kod na uporabnika. Za admine je obvezen.

Hosting samo v EU

Primarna regija: Frankfurt. Sekundarna: Stockholm. Brez prenosa podatkov izven EGP brez dokumentirane Standard Contractual Clause.

Izolacija tenantov

Vsak customer sajt teče v lastnem DB scopu. Vtičniki tečejo v sandboxu s profilom disable_functions + open_basedir — tenant ne vpliva na drugega.

Rate limiting + audit log

Per-IP rate limiti na vsakem javnem obrazcu. Vsaka admin akcija je zabeležena v activity logu s subjektom, akterjem, IP-jem in polnim diffom spremenjenih polj.

Prakse, ki jih spoštujemo

Letni zunanji pen-test

Neodvisno EU podjetje. Kritični izsledki so odpravljeni, preden je poročilo podpisano.

SAST v CI

Vsak PR požene statično analizo (Psalm + Larastan). PR-ji se ne morejo merge-ati z varnostno resnostjo > medium.

Spremljanje odvisnosti

Composer + npm odvisnosti pregledane dnevno. Kritični CVE sproži patch release isti dan.

Upravljanje secret-ov

Brez secret-ov v repu. Produkcijski secret-i živijo v HashiCorp Vault s kvartalno rotacijo.

Backupi + restore drili

Dnevni šifrirani snapshoti, hranjeni 30 dni. Polni restore dril izvajamo enkrat na kvartal.

Odziv na incidente

Dokumentiran runbook. Severity 1 incidenti dobijo javni post-mortem v 14 dneh na /blog.

Podpisani webhooki

Odhodni webhooki podpisani s HMAC-SHA256. Stranke preverjajo per-request za preprečitev ponaredka.

Hashiranje gesel

bcrypt s costom 12 (konfigurabilno). Nobeno geslo ne zapusti meje requesta nehashirano.

Odgovorno razkritje

Si našel ranljivost? Pošlji email na security@radcms.io s koraki za reprodukcijo. Za občutljive izsledke šifriraj z našim PGP ključem.

Naša zaveza

  • Potrditev prejema v 48 urah.
  • Triažna odločitev v 5 delovnih dneh (in scope / out of scope / duplicate).
  • Tekoče te obveščamo, dokler ni težava odpravljena.
  • Javno te omenimo (če želiš), ko popravek izide.
  • Bounty za veljavne kritične/visoke izsledke (case-by-case, trenutno do €5.000).

Prosimo, ne testiraj proti podatkom strank, ne poganjaj avtomatskih skenerjev z velikim volumnom in nam pred javnim razkritjem daj razumno priložnost za odpravo.

GDPR

Skladno z EU 2016/679

Preberi več →
ISO 27001

Audit v teku · cilj 2026

SOC 2 Type II

Na voljo za Enterprise plane

Ta spletna stran uporablja piškotke

Uporabljamo piškotke za zanesljivo dostavo strani, prilagoditev vsebine, analitiko in podporo marketingu. Preklopi kategorije spodaj, da izbereš, kaj sprejmeš.

Politika piškotkov