Biztonság és Megfelelőség

Verzió: 1.0Hatálybalépés: 2026. február 1.

Utoljára frissítve: 2026. február 1.

Cadensa elkötelezett az adatok biztonságának és a nemzetközi biztonsági szabványoknak való megfelelésnek. Ez az oldal részletesen bemutatja technikai biztonsági intézkedéseinket, compliance certifikációinkat és incidenskezelési folyamatainkat.

Megbízhatóság és megfelelőség

EU Hosting

Adatok kizárólag az EU-ban

GDPR megfelelő

EU 2016/679 · teljes körű

Hetzner

Online GmbH

Németország, EU

ISO 27001 · EU adatközpont

🔒 Biztonsági áttekintés

Cadensa vállalati szintű biztonságot nyújt minden szolgáltatási szinten. Az adataid védelme a legmagasabb prioritásunk.

🛡️ Titkosítás
AES-256 tároláskor, TLS 1.3 átvitelkor

🏢 Infrastruktúra
Hetzner (Németország EU), napi mentések

✅ Megfelelőség
GDPR, SOC 2 (roadmap Q2 2026)

1. Adattitkosítás

Titkosítás tároláskor (Encryption at Rest)

Minden adat AES-256 titkosítással van tárolva az adatbázisban és a backup rendszerekben.

• AES-256-GCM: Iparági szabvány titkosítási algoritmus
• Titkosított adatbázis: MongoDB titkosított volume-okkal
• Titkosított mentések: Napi automatikus mentések titkosított tárolással
• Kulcskezelés: Biztonságos kulcstároló (secrets management)

Titkosítás átvitelkor (Encryption in Transit)

Minden hálózati kommunikáció TLS 1.3 titkosítással van védve.

• TLS 1.3: Legújabb TLS protokoll verzió
• HTTPS: Minden webes kommunikáció HTTPS-en keresztül
• WebSocket: Titkosított real-time kapcsolatok (WSS)
• Harmadik féltől származó API-k: Stripe (mind TLS 1.2+)

Jelszóvédelem

Jelszavak bcrypt hash algoritmussal vannak tárolva (12 rounds).

• Bcrypt (12 rounds): Biztonságos hash algoritmus salt-tal
• Jelszó követelmények: Min. 8 karakter, nagy/kisbetű, szám, speciális karakter
• Erősség ellenőrzés: Real-time jelszóerősség mutató

2. Hozzáférés-szabályozás

Szerepkör-alapú hozzáférés (RBAC)

Részletes jogosultságkezelés szerepkörök és engedélyek alapján.

• Szerepkörök: OWNER, ADMIN, MANAGER, MEMBER, VIEWER
• Engedélyek: Részletes engedélyek minden erőforrásra (projektek, feladatok, időbejegyzések, jelentések, számlázás)
• Workspace szintű jogosultságok: Minden workspace külön jogosultságokkal

Kétfaktoros hitelesítés (2FA)

Opcionális 2FA az összes szolgáltatási szinten (TOTP-alapú).

• TOTP (RFC 6238): Google Authenticator, Authy, 1Password kompatibilis
• Backup kódok: 10 egyszeri használatos kód
• Kényszerített 2FA: ENTERPRISE tier opcióként

Session kezelés

Biztonságos session kezelés JWT token-ekkel és device tracking-gel.

• JWT tokens: 7 napos érvényesség
• Device tracking: Aktív session-ök listázása és leválasztása
• Automatikus kijelentkezés: Inaktivitás esetén
• Login history: Sikeres és sikertelen bejelentkezések nyilvántartása

SSO és SAML (ENTERPRISE)

Single Sign-On integráció ENTERPRISE tier ügyfeleknek.

• SAML 2.0: Kompatibilis Okta, Azure AD, Google Workspace-szel
• LDAP: Active Directory integráció
• Központosított hozzáférés: Egyetlen bejelentkezés több alkalmazáshoz

IP Allowlisting (ENTERPRISE)

Hozzáférés korlátozása meghatározott IP címekre.

• Csak engedélyezett IP címekről történő hozzáférés
• CIDR notation támogatás
• Workspace szintű IP korlátozás

3. Infrastruktúra biztonság

Hosting és adatközpont

Hetzner Online GmbH (Németország, EU) dedicated servereken.

• Hely: Németország (EU), GDPR megfelelő
• ISO 27001: Hetzner datacenter tanúsítvánnyal
• Fizikai biztonság: 24/7 monitorozás, biometrikus hozzáférés
• Áramellátás: Redundáns UPS és generátorok

Biztonsági mentések

Napi automatikus mentések titkosított, georedundáns S3 tárolással és 90 napos megőrzéssel.

• Gyakoriság: Napi teljes mentés (éjjel 2:00 CET)
• Megőrzés: 90 nap (ENTERPRISE: 1 év)
• Titkosítás: AES-256-GCM szimmetrikus titkosítás feltöltés előtt
• Tárolás: Wasabi S3 (eu-central-2, Frankfurt) — GDPR-kompatibilis, EU adatközpont
• Integritás: SHA-256 ellenőrzőösszeg minden backup fájlhoz
• Visszaállítási idő: RTO < 4 óra, RPO < 24 óra

Szerver hardening

Rendszeres biztonsági frissítések és server hardening.

• OS frissítések: Heti automatikus biztonsági patch-ek
• Firewall: Csak szükséges portok nyitva (443, 80)
• Fail2ban: Brute-force védelem
• Minimális felület: Csak szükséges szolgáltatások futnak

Hálózati biztonság

Multi-layer hálózati védelem firewall-okkal és DDoS védelemmel.

• DDoS védelem: Hetzner automatikus DDoS mitigáció
• Rate limiting: API rate limitek minden endpoint-ra
• WAF: Web Application Firewall (Cloudflare Pro)

4. Alkalmazás biztonság

Security Headers

HTTP biztonsági headerek minden válaszban (Helmet middleware).

• Strict-Transport-Security (HSTS): HTTPS kényszerítés 1 évre
• X-Content-Type-Options: MIME sniffing védelem
• X-Frame-Options: Clickjacking védelem
• Content-Security-Policy (CSP): XSS védelem, resource loading szabályok
• X-XSS-Protection: Böngésző XSS szűrő aktiválása

Input validáció

Szigorú input validáció minden API endpoint-on.

• Joi validation: Schema-alapú validáció
• Sanitization: HTML/SQL injection védelem
• Type checking: TypeScript típusbiztonság

Audit naplózás

Részletes audit naplók minden kritikus műveletről.

• Login/logout események (sikeres és sikertelen)
• Adatmódosítások (create, update, delete)
• Szerepkör változások
• Biztonsági események (2FA, password change)
• Megőrzés: 2 év (ENTERPRISE), 90 nap (FREE/PRO)

Dependency scanning

Rendszeres npm audit és függőség frissítések.

• npm audit: Heti automatikus security audit
• Dependabot: Automatikus PR-ek biztonsági frissítésekhez
• Kritikus CVE-k azonnal javítva (< 24 óra)

5. Compliance certifikációk

✅ GDPR (EU 2016/679)

Teljes megfelelőség az EU GDPR szabályozásnak.

• Átlátható adatkezelési tájékoztatás
• Érintetti jogok támogatása (Article 15-22)
• DPA sablon ENTERPRISE ügyfeleknek (Article 28)
• Adatvédelmi incidens bejelentés (< 72 óra)
• Adatok EU-n belül tárolva

🔄 SOC 2 Type II

Roadmap: Q2 2026 (auditálás folyamatban)

• Jelenlegi állapot: SOC 2 audit előkészítés
• Tervezett tanúsítás: 2026 Q2 (6-9 hónapos audit)
• Elérhető ENTERPRISE tier ügyfeleknek

🔄 ISO 27001

Roadmap: 2026 Q3-Q4

• Jelenlegi állapot: Gap analysis befejezve
• Tervezett tanúsítás: 2026 Q4

✅ PCI DSS Level 1

Stripe fizetési feldolgozó (PCI DSS Level 1 certified).

• Kártyaadatok nem érintik a Cadensa szervereket
• Stripe tokenizáció
• 3D Secure (SCA) támogatás

6. Incidens kezelés

Adatvédelmi incidens bejelentési kötelezettség

GDPR Article 33 alapján minden adatvédelmi incidenst 72 órán belül bejelentünk a felügyeleti hatóságnak (NAIH) és az érintett adatkezelőknek.

Incidens válasz csapat

• Elérhetőség: 24/7 on-call csapat
• Válaszidő: < 1 óra (kritikus incidensek)
• Eszkaláció: Automatikus eszkalációs mátrix

Incidens bejelentési folyamat

Észlelés: Automatikus monitoring + felhasználói jelentés
Kategorizálás: Súlyosság meghatározása (S0-S4)
Elszigetelés: Incidens elszigetelése és kárenyhítés
Értesítés: Érintett felek értesítése (< 24 óra)
Kivizsgálás: Root cause analysis
Helyreállítás: Szolgáltatás helyreállítása
Post-mortem: Dokumentálás és tanulságok levonása

Kommunikációs csatornák

• Biztonsági incidensek:
• Adatvédelmi incidensek:
• Status page: status.cadensa.io

7. Sebezhetőség jelentési program

🔒 Responsible Disclosure Policy

Üdvözöljük a biztonsági kutatókat, akik felelősségteljesen jelentik a sebezhetőségeket. Kérjük, küldjék jelentésüket a címre.

Jelentési folyamat

Küldjön részletes jelentést a címre
Várjon a megerősítésre (< 24 óra)
Együttműködés a javítás során
Publikus közzététel egyeztetése

Kizárások (Out of scope)

• Social engineering támadások
• Fizikai támadások
• DDoS
• Spam vagy phishing

Javítási SLA-k

• Kritikus: 24 óra
• Magas: 7 nap
• Közepes: 30 nap
• Alacsony: 90 nap

Bug Bounty Program

Roadmap: 2026 Q3 (HackerOne vagy Bugcrowd platformon)

8. Kapcsolat és kérdések

Biztonsági kérdések:

Adatvédelmi kérdések:

Compliance kérdések:

Válaszidő: 24 óra (munkanapokon)

Axeri Labs Bt. (CADENSA)
2120 Dunakeszi, Brassói utca 7., Hungary
Cégjegyzékszám: 13-06-060656
Adószám: 22531300-2-13