Nem rövidítés. Nem kompromisszum.
Minden biztonsági elv mögött egy konkrét implementáció és egy felelős ember áll. Nem ISMS-dokumentum, amit a fiókban tartunk — kód, ami minden éjjel lefut.
TLS 1.3 a vonalon, AES-256-GCM mezőszintű a Postgresben. Kulcsrotáció 90 naponta, kulcstároló: AWS KMS (eu-central-1). A kulcshoz sem a mérnöki csapat, sem a founderek nem férnek hozzá.
Minden olvasás, minden módosítás, minden API hívás egyetlen append-only audit logba kerül. A logot csak a SIEM eszköz írhatja, mérnök nem törölhet. PII automatikusan maszkolva.
Szerep-alapú hozzáférés, 40+ permission. A kétfaktoros hitelesítés nem opció — admin felhasználónak kötelező, user-nek is alapértelmezett. WebAuthn támogatás Q3 2026.
Független harmadik féllel (White Hat, Budapest) 12 havonta. A jelentés összefoglalóját publikáljuk, a részleteket az ügyfeleknek NDA alatt megküldjük. A 2025-ös teszt: 0 kritikus, 2 közepes, mindkettő 48 órán belül javítva.
AWS Frankfurt (eu-central-1) elsődleges, Dublin (eu-west-1) másodlagos. Az adat sosem hagyja el az EU-t. A sub-processorok listáját a Privacy oldalon nyilvánosan vezetjük.
Napi teljes mentés, 4 óránként inkrementális, 35 napig megőrzés. Pont-in-time recovery bármely időpontra az elmúlt 7 napban. RTO: 4 óra, RPO: 15 perc. Negyedévente teljes helyreállítási gyakorlat.
Nem dísz. Kötelesség.
| KÓD | STÁTUSZ |
|---|---|
| GDPR | EU 2016/679 — teljes megfelelés, DPO kinevezve, DPIA kész |
| ISO 27001 | Folyamatban — tervezett audit 2026 Q4 |
| PCI DSS SAQ-A | Nem érintett — a kártyaadat sosem érkezik meg hozzánk (Stripe tokenizálás) |
| SOC 2 | Type I kész, Type II folyamatban |
Mi történik, ha valami tényleg elromlik.
1. Riasztás (0–5 perc)
A PagerDuty riaszt az ügyeletes mérnököt. Az incidens súlyosságát a paginator automatikusan minősíti (P0-P3). P0 és P1 esetén a teljes csapat mobilját felhívja, nappal is.
2. Nyugtázás (≤ 15 perc)
Az ügyeletes válaszol a riasztásra, megnyit egy incidens-csatornát, és az érintett ügyfeleket e-mailben értesíti — a status.nortinia.com oldalon automatikusan megjelenik.
3. Lokalizáció (≤ 1 óra)
Három mérnök áll össze: egy a tűzoltó, egy a kommunikáló, egy a rögzítő. Minden lépést egy közös Notion dokumentumba írunk real-time, hogy a post-mortem írása ne másnapi rekonstrukció legyen.
4. Helyreállítás (≤ 4 óra RTO)
Rollback, hotfix, vagy ha szükséges, visszaállítás a mentésből. Az RPO 15 perc — 15 percnél több adat sosem veszhet el.
5. Post-mortem (≤ 72 óra)
Publikus, részletes, nevesített. Nincs „tanulság”-nyelv, nincs PR-tálalás. Amit elrontottunk, azt leírjuk. A post-mortem linkje az ügyfél e-mailjében megjelenik.
Találtál valamit? Írj.
Ha sebezhetőséget találsz, küldd el PGP-titkosítva a security@nortinia.com címre. 24 órán belül válaszolunk, 7 napon belül javítunk, és ha szeretnéd, a Security Hall of Fame oldalunkon megköszönjük.