Ugrás a fő tartalomhoz

Adat és biztonsági GYIK

Biztonságosak az adataim?

Igen! Vállalati szintű biztonság:

Titkosítás:

 Nyugalmi állapotban: AES-256 titkosítás
 Átvitel közben: TLS 1.3 (minimum TLS 1.2)
 Adatbázis: Titkosított MongoDB
 Biztonsági mentések: Titkosított S3 tároló
 Fájl feltöltések: Titkosított (VÁLLALATI)

Infrastruktúra:

 Hetzner tárhely (Németország, EU régió)
 Saját MongoDB (Docker konténer)
 CDN: Vercel (globális, EU edge szerverek)
 Tűzfal védelem
 Rendszeres biztonsági auditok
 Behatolás tesztelés (éves)

Hozzáférés-szabályozás:

 Erős jelszó követelmények
 Kétfaktoros hitelesítés (2FA) — tartalék kódok bcrypt hashként tárolva
 Meghívó tokenek: SHA-256 hashként tárolva
 Audit napló user agent: csak biztonsági/auth eseményeknél rögzítve (GDPR adatminimalizálás)
 Admin naplók: operátor e-mail SHA-256 hashként tárolva
 Számlázási személyes adatok (kapcsolattartó neve, e-mail, telefon, ÁFA/adószám) kizárva az általános lekérdezésekből (adatbázis szintű select: false)
 SSO/SAML (VÁLLALATI) (Hamarosan)
 IP engedélyezési lista (VÁLLALATI)
 Munkamenet kezelés
 Automatikus kijelentkezés (konfigurálható)

További részletek: Biztonsági beállítások →

Hol tárolódnak az adataim?

Adatközpontok:

Elsődleges régió: Európa (Németország)

Miért Európa?
 GDPR megfelelőség
 EU adattárolás (Hetzner)
 Alacsony késleltetés európai felhasználóknak
 Adatvédelem-barát joghatóság

Infrastruktúra:

• Tárhely: Hetzner Online GmbH (Németország)
• Adatbázis: Saját MongoDB (EU)
• CDN: Vercel (globális EU edge szerverekkel)
• Email: Tarhely.eu (Magyarország, EU)

Minden infrastruktúra:
 EU-ban található (adattárolás)
 GDPR-kompatibilis DPA aláírva
 Rendszeres biztonsági auditok

Biztonsági mentések:

 Napi automatikus biztonsági mentések
 30 napos megőrzés (PRO)
 90 napos megőrzés (VÁLLALATI)
 Geo-redundáns tárolás (3 régió)
 Nyugalmi állapotban titkosítva
 Rendszeres visszaállítás tesztelés

GDPR megfelelő a CADENSA?

Igen! Teljes mértékben GDPR megfelelő:

Jogaid:

 Hozzáférési jog
 → Adataid bármikor exportálása
 → Beállítások → Profil → Adatok exportálása

 Helyesbítési jog
 → Adataid szerkesztése az alkalmazásban
 → Profil, idő bejegyzések frissítése

 Törléshez való jog ("Elfeledtetéshez való jog")
 → Fiók végleges törlése
 → Beállítások → Profil → Fiók törlése

 Adathordozhatósághoz való jog
 → Exportálás JSON/CSV formátumokban
 → Vidd magaddal az adataidat bárhova

 Tiltakozáshoz való jog
 → Marketing e-mailekről leiratkozás
 → Értesítési beállítások kezelése

Kötelezettségeink:

 Adatfeldolgozási Megállapodás (DPA) elérhető
 Privacy by design és alapértelmezettség
 Adatminimalizálás (csak szükséges adatok gyűjtése)
 Hozzájáruláson alapuló feldolgozás
 Jogsértés bejelentése (72 órán belül)
 EU adattárolás (Frankfurt)
 Rendszeres megfelelőségi auditok

GDPR funkciók:

Beállítások → Adatvédelem:
• Általunk gyűjtött adatok megtekintése
• Minden adatod exportálása
• Fiókod törlése
• Cookie beállítások kezelése
• Adatfeldolgozók áttekintése
• DPA letöltése

Cookie kezelés:

  • Részletes süti hozzájárulás (Szükséges, Funkcionális, Analitikai, Marketing)
  • Könnyű leiratkozás bármikor a Süti Beállításokon keresztül
  • Átlátható süti szabályzat teljes körű tájékoztatással
  • Automatikus törlés amikor kategóriák letiltva
  • Süti Beállítások Dokumentáció →

DPA kérése: support@cadensa.io

Milyen adatokat gyűjtenek?

Általunk gyűjtött adatok:

Fiók adatok:

 E-mail cím (bejelentkezéshez szükséges)
 Név (keresztnév, vezetéknév)
 Jelszó (titkosítva, soha nem tárolva egyszerű szövegként)
 Profilkép (opcionális)
 Munkakör, részleg (opcionális)
 Telefonszám (opcionális, 2FA-hoz)

Használati adatok:

 Idő bejegyzések (dátum, projekt, időtartam, leírás)
 Projektek és feladatok (nevek, költségkeretek, beállítások)
 Munkaterület beállítások
 Generált jelentések
 Bejelentkezési előzmények (IP, eszköz, helyszín)
 Számlázási információk (fizetési mód, számlák)

Technikai adatok:

 Böngésző típusa és verziója
 Eszköz típusa (asztal/mobil)
 Operációs rendszer
 IP cím (biztonsági célból)
 Cookie-k (munkamenet, beállítások)

NEM gyűjtött adatok:

 Böngészési előzmények a CADENSA-n kívül
 Billentyűleütések vagy képernyőképek
 Személyes fájlok az eszközödön
 Más alkalmazások adatai
 Szükségtelen személyes információk

Adataid megtekintése:

Beállítások → Adatvédelem → Gyűjtött adatok megtekintése
• Pontosan látod, mit tárolunk
• Bármikor exportálás (JSON/CSV)
• Végleges törlés

Törölhetem a fiókom és az adataimat?

Igen! Végleges törlés elérhető:

Fiók törlési folyamat:

1. Beállítások → Profil → Fiók törlése
2. Először exportáld az adataidat (ajánlott)
3. Add meg a jelszót a megerősítéshez
4. Írd be a "DELETE" szót a megerősítéshez
5. Kattints a "Fiók végleges törlése" gombra
6. 7 napos türelmi idő kezdődik

Türelmi idő (7 nap):

1-6. nap:
• Fiók kikapcsolva (nem tudsz bejelentkezni)
• Adatok megőrizve
• Törlés lemondása lehetséges
• E-mail küldve újraaktiválási linkkel

7. nap:
• Végleges törlés
• Minden adat eltávolítva az éles rendszerből
• Biztonsági mentések törlése 30 napon belül
• Visszafordíthatatlan

Mi törlődik:

 Fiókod és profilod
 Minden idő bejegyzés
 Személyes projektek
 Munkaterület tagságok
 Beállítások és preferenciák
 Bejelentkezési előzmények
 Feltöltött fájlok

Mi marad meg (jogi követelmény):

90 napig megőrizve (jogi megfelelőség):
• Számla előzmények (könyvelési törvény)
• Fizetési rekordok (adótörvény)
• Audit naplók (biztonsági követelmény)

90 nap után: Teljesen törölve

Munkaterület tulajdonlás:

Ha te vagy a munkaterület tulajdonos:
1. Először át kell adnod a tulajdonjogot
 → Beállítások → Munkaterület → Átvitel
2. Vagy teljesen törölni a munkaterületet
3. Utána törölheted a személyes fiókot

Ki férhet hozzá az adataimhoz?

Hozzáférés-szabályozás:

Csapatod (munkaterületen belül):

Szerepkör-alapú hozzáférés:

Admin:
 Teljes hozzáférés minden adathoz
 Láthatja az összes idő bejegyzést
 Szerkesztheti a munkaterület beállításait
 Kezelheti a felhasználókat

Vezető:
 Láthatja a csapat idő bejegyzéseit
 Kezelheti a hozzárendelt projekteket
 Generálhat csapat jelentéseket
 Nem láthatja a számlázást

Tag:
 Láthatja saját idő bejegyzéseit
 Láthatja a hozzárendelt projekteket
 Nem láthatja mások bejegyzéseit

Megtekintő:
 Csak olvasási hozzáférés
 Láthatja a hozzárendelt projekteket
 Nem követhet időt

CADENSA alkalmazottak:

Támogatási csapat (az engedélyeddel):
 Adatok megtekintése problémák elhárításához
 Csak amikor kapcsolatba lépsz a támogatással
 Hozzáférés naplózva az audit nyomvonalon
 Szigorú titoktartás alatt

Fejlesztők:
 Nincs hozzáférés az éles adatokhoz
 Hozzáférhetnek anonimizált elemzésekhez
 Nem azonosíthatják az egyéni felhasználókat

Harmadik felek:

 Soha nem adjuk el az adataidat
 Nincsenek hirdetési partnerek
 Nincs adatbányászat

Korlátozott megosztás (szolgáltatáshoz szükséges):
• Mollie B.V.: Fizetés feldolgozás (Hollandia, EU)
• Hetzner: Tárhely infrastruktúra
• Tarhely.eu: E-mail kézbesítés
• Minden szigorú DPA-k alatt

Adatmegosztás (VÁLLALATI):

Ügyfél portál funkció (Hamarosan):
• Konkrét projekt jelentések megosztása
• Ügyfelek csak saját projektjüket látják
• Te irányítod
• Bármikor visszavonható

Milyen tanúsítványokkal rendelkeznek?

Biztonsági tanúsítványok:

SOC 2 Type II:

 Tanúsítva 2025 óta
 Éves auditok
 Trust Service Criteria:
 • Biztonság
 • Rendelkezésre állás
 • Bizalmasság
 • Feldolgozási integritás
 • Adatvédelem

Jelentés kérése: <a data-action="support" href="#">support@cadensa.io</a>

GDPR megfelelőség:

 EU adattárolás
 Adatfeldolgozási Megállapodás (DPA)
 Privacy by design
 Törléshez való jog
 Adathordozhatóság
 Jogsértés bejelentési folyamat

ISO 27001 (folyamatban):

Várható: 2026 Q2
• Információbiztonsági menedzsment
• Rendszeres auditok
• Folyamatos fejlesztés

HIPAA megfelelőség (VÁLLALATI kiegészítő):

Elérhető egészségügynek:
• Business Associate Agreement (BAA)
• PHI titkosítás
• Audit naplók
• Hozzáférés-szabályozás
• Jogsértés bejelentés

Kapcsolat: <a data-action="support" href="#">support@cadensa.io</a>

PCI DSS megfelelőség (Mollie által):

 Mollie B.V. fizetés feldolgozás (PCI DSS Level 1 tanúsított)
 Kártyaadatok nem tárolva a CADENSA által
 Biztonságos átirányítás alapú fizetés (kártyaadatok nem érintik a CADENSA szervereit)
 EU-alapú feldolgozó (Hollandia) — fizetéseknél nincs USA adattovábbítás

Mi történik adatszivárgás esetén?

Jogsértés válasz terv:

Észlelés:

24/7 megfigyelés:
• Behatolás észlelési rendszerek
• Napló elemzés (automatizált)
• Biztonsági riasztások
• Anomália észlelés

Válasz (1 órán belül):

1. Érintett rendszerek elszigetelése
2. Jogsértés terjedelmének felmérése
3. Korlátozás és helyreállítás
4. Bizonyítékok megőrzése vizsgálathoz

Értesítés:

72 órán belül (GDPR követelmény):

E-mail az érintett felhasználóknak:
• Milyen adatokhoz fértek hozzá
• Mikor történt a jogsértés
• Mit teszünk ellene
• Milyen lépéseket kell tenned

E-mail tartalmazza:
• Jogsértés részleteit
• Érintett fiókokat
• Ajánlott intézkedéseket
• Támogatási kapcsolatot
• Ingyenes hitelmonitorozás (ha alkalmazható)

Helyreállítás:

1. Sebezhetőség javítása
2. Fokozott megfigyelés
3. Jelszó visszaállítás (ha szükséges)
4. 2FA kényszerítés
5. Biztonsági audit
6. Nyilvános közzététel (ha szükséges)

Eddig:

 Nulla adatszivárgás
 Nincs jogosulatlan hozzáférési esemény
 Nincs adatvesztési esemény
 Erős biztonsági múlt

Mennyi ideig őrzik meg az adataimat?

Adatmegőrzés:

Aktív fiókok:

INGYENES csomag:
• Utolsó 30 nap: Teljes hozzáférés
• Régebbi adatok: Csak olvasható
• Örökre: Nem törlődik, hacsak nem kéred

PRO csomag:
• Utolsó 1 év: Teljes hozzáférés
• Régebbi adatok: Csak olvasható
• Örökre: Nem törlődik, hacsak nem kéred

VÁLLALATI:
• Minden adat: Örökre (hacsak nem törlöd)
• Egyéni megőrzési szabályzatok elérhetők

Törölt fiókok:

0. nap: Fiók törölve
• 7 napos türelmi idő
• Adatok megőrizve
• Újraaktiválható

7. nap: Végleges törlés
• Éles adatok törölve
• Biztonsági mentésekben megjelenik 30 napig

37. nap: Teljes törlés
• Minden biztonsági mentés törölve
• Teljesen helyreállíthatatlan

Számlázási adatok:

Jogi megfelelőség miatt megőrizve:
• Számlák: 7 év (könyvelési törvény)
• Fizetési rekordok: 7 év (adótörvény)
• ÁFA rekordok: 10 év (EU törvény)

Még a fiók törlése után is

VIES ellenőrzési pillanatképek (GDPR 5. cikk (1) e) pont):

EU ÁFA-ellenőrzés eredményei (cégnév, cím a VIES-ből):
• 180 nappal az ellenőrzés dátuma után törlődnek
• Heti cleanup job törli automatikusan
• Az ellenőrzés dátuma és érvényességi állapot megmarad (nem tartalmaz személyes adatot)

Audit naplók (VÁLLALATI):

Megőrzési lehetőségek:
• 90 nap (alapértelmezett)
• 1 év (kiterjesztett)
• 7 év (megfelelőség)
• Örökre (egyedi)

Biztonsági mentések:

• Napi biztonsági mentések: 30 nap (PRO)
• Heti biztonsági mentések: 90 nap (VÁLLALATI)
• Havi biztonsági mentések: 1 év (VÁLLALATI egyedi)

Kérhetek biztonsági audit jelentést?

Igen! VÁLLALATI ügyfeleknek elérhető:

Elérhető jelentések:

 SOC 2 Type II jelentés
 • Éves audit
 • Trust Service Criteria
 • Független harmadik fél
 • NDA szükséges

 Behatolás teszt összefoglaló
 • Éves tesztelés
 • Vezetői összefoglaló (sebezhetőségek nem közölve)
 • Helyreállítási állapot

 Biztonsági kérdőív válaszok
 • Szabványos beszállító értékelés
 • Igényeidre szabható

 Adatfeldolgozási Megállapodás (DPA)
 • GDPR megfelelő
 • Minden ügyfél számára elérhető

 ISO 27001 tanúsítvány (2026 Q2)
 • Miután tanúsítva
 • Nyilvános dokumentum

Hogyan kérd:

1. E-mail: <a data-action="security" href="#">security@cadensa.io</a>
2. Mellékelj:
 • Cégnév
 • Te szerepköröd
 • Szükséges dokumentum
 • Cél (beszállító értékelés, audit, stb.)
3. NDA szükséges SOC 2-höz
4. Fogadás 2-3 munkanapon belül

Használtok harmadik féltől származó szolgáltatásokat?

Igen, csak megbízható partnerek:

Infrastruktúra:

Hetzner Online GmbH
• Cél: Szerver tárhely, MongoDB adatbázis
• Régió: EU (Németország)
• DPA: Igen
• Tanúsítvány: ISO 27001, TÜV-auditált DPA

Vercel
• Cél: CDN, landing oldal tárhely
• Globális: EU edge szerverek
• DPA: Igen
• Tanúsítvány: SOC 2, ISO 27001

Tárhely (számla archiválás):

Wasabi Technologies, LLC
• Cél: Előfizetési számla PDF archiválás
• Régió: EU (eu-central-2 / Frankfurt, Németország)
• Mód: WORM Object Lock COMPLIANCE — 8 év változtathatatlan megőrzés
• Megfelelés: 2000. évi C. tv. (számviteli tv.) 169.§ — 8 év kötelező
• DPA: Igen (wasabi.com/legal/data-processing-addendum)
• Adat: Csak számla PDF-ek (semmilyen működési felhasználói adat)

Számlázás és NAV adatszolgáltatás:

Billingo Technologies Zrt.
• Cél: Elektronikus számla kiállítás + NAV Online Számla 3.0 adatszolgáltatás
• Régió: EU (Magyarország)
• DPA: Igen (billingo.hu/adatvedelem)
• Továbbított adatok: vevő neve, számlázási címe, adószám/EU VAT,
  email cím, számla tételek és összegek
• Megőrzés: 8 év (a számviteli tv. 169.§ szerint kötelező)
• Al-adatfeldolgozók: NAV (Nemzeti Adó- és Vámhivatal —
  törvény által előírt, kötelező adatszolgáltatás)

Fizetések:

Mollie B.V.
• Cél: Fizetés feldolgozás, előfizetések kezelése
• Régió: Hollandia (EU) — Amszterdam
• Biztonság: PCI DSS Level 1 tanúsított
• DPA: Igen (automatikus regisztrációval — GDPR Art. 28, EU feldolgozó)
• Adat: Csak megbízás-referencia (kártyaadatok nem érintik a CADENSA szervereit)
• Fizetéseknél nincs USA adattovábbítás

Kommunikáció:

Tarhely.eu (EZIT Kft.)
• Cél: SMTP e-mail kézbesítés
• Régió: EU (Magyarország)
• DPA: Igen (GDPR megfelelő)
• Adat: Csak e-mail címek

Analitika és visszajelzés:

Plausible Analytics (plausible.io)
• Cél: Adatvédelem-barát weboldal analitika (oldallátogatások)
• Régió: EU (Észtország — Plausible OÜ)
• Jogalap: Nem szükséges hozzájárulás — cookie-mentes, nincs személyes adat
• Adat: Csak összesített oldalmegtekintések; nincs felhasználókövetés
• DPA: Nem szükséges (nincs személyes adatfeldolgozás)

Formbricks (saját szerver: surveys.cadensa.io)
• Cél: NPS felmérések és in-app visszajelzések
• Régió: EU — Hetzner Németország (saját üzemeltetés, nincs US adattovábbítás)
• Jogalap: Hozzájárulás (opcionális analytics kategória)
• Csak a hozzájárulás megadása után töltődik be
• DPA: Nem szükséges (saját üzemeltetés, nincs harmadik fél adatfeldolgozó)

Megfigyelés:

Sentry
• Cél: Hibakövetés
• Adat: Anonimizált hibanaplók
• Nincs személyes adat
• DPA: Igen

Minden partner:

 GDPR megfelelő
 Adatfeldolgozási Megállapodások (DPA)
 EU adattárolás (ahol lehetséges)
 Rendszeres biztonsági áttekintések
 Letiltható (néhány funkció érintett)

Következő lépések

Adatvédelmi kérdések?

Válaszidő: 48 óra adatvédelmi kérésekre