Dokumentation · ·
en English (UK) en el Ελληνικά el de Deutsch de fr Français fr es Español es it Italiano it pt Português pt nl Nederlands nl pl Polski pl sv Svenska sv da Dansk da fi Suomi fi cs Čeština cs sk Slovenčina sk hu Magyar hu ro Română ro bg Български bg hr Hrvatski hr sl Slovenščina sl lt Lietuvių lt lv Latviešu lv et Eesti et mt Malti mt ga Gaeilge ga
RadCMS
Starta gratis provperiod
Säkerhet

Säkerhet, på rak svenska

Inga modeord. Här är vad vi gör — och vad vi inte påstår — för att hålla dina sajter, kunder och intäkter säkra.

Kryptering under överföring

Varje anslutning använder TLS 1.3. HSTS preloaded. Vi vägrar TLS 1.0 / 1.1 och svaga cipher suites. Inga undantag för gamla klienter.

Kryptering i vila

Databasvolymer och S3-buckets är AES-256-krypterade. Backuper krypteras innan de lämnar produktionsnätverket.

Tvåfaktorsautentisering

TOTP-baserad 2FA ingår i varje plan, med valfri e-post-OTP som fallback. 8 engångskoder per användare. Admins måste aktivera det.

Bara EU-hosting

Primär region: Frankfurt. Sekundär: Stockholm. Ingen data passerar någonsin till icke-EES-jurisdiktioner utan en dokumenterad Standard Contractual Clause.

Tenant-isolering

Varje kundsajt körs i sitt eget DB-scope. Plugins exekverar i en sandbox med disable_functions + open_basedir-profil — en tenant kan inte påverka en annan.

Rate limiting + audit-logg

Per-IP rate-limits på varje publikt formulär. Varje admin-åtgärd registreras i aktivitetsloggen med subjekt, aktör, IP och en full diff av ändrade fält.

Rutiner vi följer

Årligt externt pen-test

Oberoende EU-baserad firma. Kritiska fynd åtgärdas innan rapporten signeras.

SAST i CI

Varje PR kör statisk analys (Psalm + Larastan). PR:er kan inte mergas med säkerhets-severity > medium.

Beroendemonitorering

Composer- + npm-beroenden skannas dagligen. Kritiska CVE:er triggar en patch-release samma dag.

Hantering av hemligheter

Inga hemligheter i repot. Produktionshemligheter lever i HashiCorp Vault med kvartalsvis rotation.

Backuper + restore-övningar

Dagliga krypterade snapshots som behålls i 30 dagar. Vi kör en full restore-övning en gång per kvartal.

Incidenthantering

Dokumenterad runbook. Severity 1-incidenter får en publik post-mortem inom 14 dagar på /blog.

Signerade webhooks

Utgående webhooks signeras med HMAC-SHA256. Kunder verifierar per request för att förhindra förfalskning.

Lösenords-hashning

bcrypt med cost 12 (konfigurerbart). Inget lösenord lämnar någonsin request-gränsen ohashat.

Ansvarsfull rapportering

Hittat en sårbarhet? Mejla security@radcms.io med reproduktionssteg. Kryptera med vår PGP-nyckel för känsliga fynd.

Vårt åtagande

  • Bekräfta din rapport inom 48 timmar.
  • Ge ett triage-beslut inom 5 arbetsdagar (in scope / out of scope / duplicate).
  • Hålla dig uppdaterad tills problemet är löst.
  • Crediter dig publikt (om du vill) när fixen släpps.
  • Betala en bounty för giltiga kritiska/höga fynd (case-by-case, för närvarande upp till €5 000).

Vänligen testa inte mot kunddata, kör inga automatiska skannrar som genererar volym, och ge oss rimlig tid att åtgärda innan publik avslöjning.

GDPR

EU 2016/679-kompatibelt

Läs mer →
ISO 27001

Audit pågår · mål 2026

SOC 2 Type II

Tillgängligt för Enterprise-planer

Den här webbplatsen använder cookies

Vi använder cookies för att leverera sajten tillförlitligt, personalisera innehåll, ge statistik och stödja marketing. Välj nedan vad du accepterar.

Cookiepolicy