Nem rövidítés. Nem kompromisszum.
Minden biztonsági elv mögött egy konkrét implementáció és egy felelős ember áll. Nem ISMS-dokumentum, amit a fiókban tartunk — kód, ami minden éjjel lefut.
TLS 1.3 a vonalon, AES-256-GCM mezőszintű a Postgresben. Kulcsrotáció 90 naponta, kulcstároló: AWS KMS (eu-central-1). A kulcshoz sem a mérnöki csapat, sem a founderek nem férnek hozzá.
TLS 1.3 in transit, AES-256-GCM field-level in Postgres. Key rotation every 90 days, key store: AWS KMS (eu-central-1). Neither engineering nor the founders can access the keys.
Minden olvasás, minden módosítás, minden API hívás egyetlen append-only audit logba kerül. A logot csak a SIEM eszköz írhatja, mérnök nem törölhet. PII automatikusan maszkolva.
Every read, write, and API call goes into a single append-only audit log. Only the SIEM tool can write it, no engineer can delete. PII masked automatically.
Szerep-alapú hozzáférés, 40+ permission. A kétfaktoros hitelesítés nem opció — admin felhasználónak kötelező, user-nek is alapértelmezett. WebAuthn támogatás Q3 2026.
Role-based access control, 40+ permissions. Two-factor authentication is not optional — mandatory for admins, default for users. WebAuthn support in Q3 2026.
Független harmadik féllel (White Hat, Budapest) 12 havonta. A jelentés összefoglalóját publikáljuk, a részleteket az ügyfeleknek NDA alatt megküldjük. A 2025-ös teszt: 0 kritikus, 2 közepes, mindkettő 48 órán belül javítva.
Third-party pentest (White Hat, Budapest) every 12 months. We publish the summary, share details with customers under NDA. 2025 test: 0 critical, 2 medium, both fixed within 48h.
AWS Frankfurt (eu-central-1) elsődleges, Dublin (eu-west-1) másodlagos. Az adat sosem hagyja el az EU-t. A sub-processorok listáját a Privacy oldalon nyilvánosan vezetjük.
AWS Frankfurt (eu-central-1) primary, Dublin (eu-west-1) secondary. Data never leaves the EU. Sub-processor list maintained publicly on the Privacy page.
Napi teljes mentés, 4 óránként inkrementális, 35 napig megőrzés. Pont-in-time recovery bármely időpontra az elmúlt 7 napban. RTO: 4 óra, RPO: 15 perc. Negyedévente teljes helyreállítási gyakorlat.
Daily full backups, 4-hour incremental, 35-day retention. Point-in-time recovery to any moment in the last 7 days. RTO: 4 hours, RPO: 15 minutes. Quarterly full recovery drill.
Nem dísz. Kötelesség.
| KÓD | STÁTUSZ · STATUS |
|---|---|
| GDPR | EU 2016/679 — teljes megfelelés, DPO kinevezve, DPIA kész EU 2016/679 — full compliance, DPO appointed, DPIA ready |
| ISO 27001 | Folyamatban — tervezett audit 2026 Q4 In progress — audit planned Q4 2026 |
| PCI DSS SAQ-A | Nem érintett — a kártyaadat sosem érkezik meg hozzánk (Stripe tokenizálás) Not applicable — card data never reaches us (Stripe tokenization) |
| SOC 2 | Type I kész, Type II folyamatban Type I complete, Type II in progress |
Mi történik, ha valami tényleg elromlik.
1. Riasztás (0–5 perc)
A PagerDuty riaszt az ügyeletes mérnököt. Az incidens súlyosságát a paginator automatikusan minősíti (P0-P3). P0 és P1 esetén a teljes csapat mobilját felhívja, nappal is.
2. Nyugtázás (≤ 15 perc)
Az ügyeletes válaszol a riasztásra, megnyit egy incidens-csatornát, és az érintett ügyfeleket e-mailben értesíti — a status.nortinia.com oldalon automatikusan megjelenik.
3. Lokalizáció (≤ 1 óra)
Három mérnök áll össze: egy a tűzoltó, egy a kommunikáló, egy a rögzítő. Minden lépést egy közös Notion dokumentumba írunk real-time, hogy a post-mortem írása ne másnapi rekonstrukció legyen.
4. Helyreállítás (≤ 4 óra RTO)
Rollback, hotfix, vagy ha szükséges, visszaállítás a mentésből. Az RPO 15 perc — 15 percnél több adat sosem veszhet el.
5. Post-mortem (≤ 72 óra)
Publikus, részletes, nevesített. Nincs “tanulság”-nyelv, nincs PR-tálalás. Amit elrontottunk, azt leírjuk. A post-mortem linkje az ügyfél e-mailjében megjelenik.
Találtál valamit? Írj.
Ha sebezhetőséget találsz, küldd el PGP-titkosítva a security@nortinia.com címre. 24 órán belül válaszolunk, 7 napon belül javítunk, és ha szeretnéd, a Security Hall of Fame oldalunkon megköszönjük.
If you find a vulnerability, send it PGP-encrypted to security@nortinia.com. We respond within 24h, fix within 7 days, and credit you in the Security Hall of Fame if you wish.