Biztonság · 2026

A pénzed és az adataid védve.

Komolyan vesszük a biztonságot — és nem csak a marketing-anyagokban. Ezen az oldalon végigmagyarázzuk, mit teszünk azért, hogy a pénzed és a személyes adatod a helyén maradjon, és mit nem teszünk soha.

Felelős hibabejelentés A 4 réteg
PSD2
PSD2
EU irányelv
GDPR
GDPR
Adatvédelem
ISO
27001
ISO 27001
Folyamatban
AES
256
AES-256
Titkosítás
TLS
1.3
TLS 1.3
Átvitel
BERLIN
GROUP
Berlin Group
Open banking
A 4 réteg

Négy védőfal a pénzed
és az adataid körül.

Nem hiszünk a security-by-marketing-ben, ezért megmutatjuk, hogyan működik. Minden réteg külön védi a pénzedet — és együtt is.

01
🔐
Hozzáférés

A te telefonod, a te ujjlenyomatod. Sem a Pénzügyes, sem senki más nem fér hozzá biometriai adathoz — az kizárólag a készülékeden, a Secure Enclave / TrustZone alatt él.

  • Face ID, Touch ID vagy 6 számjegyű PIN
  • Biometriai adat sosem kerül a szervereinkre
  • 5 hibás próbálkozás után 60 másodperces lockout
02
📡
Átvitel

Minden adat, ami a telefonod és a szervereink között mozog, TLS 1.3-mal van titkosítva. Az iOS és Android natív appokban certificate pinning is fut — még egy MITM támadó sem férhet közbe.

  • TLS 1.3 minden HTTP kapcsolatra
  • Certificate pinning natív appokban
  • HSTS preload, downgrade támadás kizárva
03
🗄️
Tárolás

Az adataid AES-256 titkosítással pihennek a diszken, az EU területén. Frankfurti adatközpont, redundáns biztonsági mentés napi szinten — és minden mentés szintén titkosítva.

  • AES-256 encryption at rest
  • EU adatközpont — Frankfurt (eu-central-1)
  • Napi titkosított backup, 30 napos megőrzés
04
🛡️
Műveletek

Push értesítést kapsz minden tranzakcióról és érzékeny műveletről. Anomália detektálás figyeli, ha valami furcsa történik — és a session 5 perc inaktivitás után automatikusan zárul.

  • Push notification minden tranzakcióhoz
  • ML-alapú anomália detektálás
  • Auto session lock 5 perc inaktivitás után
Biztonsági architektúra

Te állsz a középpontban.

A védelmi rétegek koncentrikusan körülveszik az adataidat. Minden gyűrű egy külön védőfal — egy támadónak mind a négyet át kellene törnie ahhoz, hogy hozzáférjen.

EU adatközpont · Frankfurt
AES-256 tárolás
TLS 1.3 + cert pinning
Face ID / PIN
👤
Te
EU adatközpont · Frankfurt
AES-256 tárolás
TLS 1.3 + cert pinning
Face ID / PIN
👤 Te
Az ígéreteink

Amit nem teszünk.

A biztonság nem csak abból áll, hogy mit csinálunk. Hanem abból is, hogy mit nem. Ezek a vörös vonalaink — sosem lépjük át őket.

  • Nem adjuk el az adataidat. Soha. Nincs is rá üzleti modellünk — az appot az előfizetőink fizetik, nem a hirdetők.
  • Nem használunk reklámcélú trackereket. Sem Facebook Pixel, sem Google Ads SDK, sem hasonló. Csak saját, anonimizált események — és azokat is a telefonodon aggregáljuk először.
  • Nem küldünk push reklámot. A push értesítések csak biztonsági események, fizetési emlékeztetők és napi check-in. Promóció soha.
  • Nem tárolunk plain text jelszavakat. bcrypt + per-user salt. Még ha valahogy hozzá is férnének az adatbázishoz, a jelszavakat akkor sem tudják visszafejteni.
  • Nem nyitunk hozzáférést a banki adataidhoz harmadik félnek. Kivéve, ha te kérted (pl. könyvelőd), és akkor is csak az általad pontosan megadott engedélyek mértékéig, visszavonható módon.
Felelős hibabejelentés

Találtál sebezhetőséget?

Ha rátaláltál egy biztonsági résre, kérjük, jelentsd nekünk felelősen — cserébe gyorsan reagálunk, kreditálunk a hall of fame-en, és komoly hibákért fizetünk.

Hogyan jelentsd?

Írj egy részletes leírást: lépések a reprodukáláshoz, érintett endpoint vagy képernyő, várt és kapott viselkedés. PoC kód vagy screenshot bónusz.

✉ security@penzugyes.app
PGP fingerprint A1B2 C3D4 E5F6 7890 1234
5678 90AB CDEF FEDC BA98

A szabályaink

  • 24 órán belül visszaigazolunk minden bejelentést.
  • Kérjük, a javítás megjelenéséig (max 90 nap) ne hozd nyilvánosságra.
  • Hall of fame: nyilvános köszönőfal a kutatóknak.
  • Pénzjutalom: 50 000 Ft-tól kritikus hibákért, súlyosság szerint skálázva.
  • Nincs jogi következmény, ha jóhiszeműen tesztelsz a saját fiókodon.
Auditok & tanúsítványok

Nem csak mi mondjuk —
mások is megnézték.

Külső biztonsági szakértők, automated security testing minden kódváltozás előtt. A nyilvános audit-eredményeink elérhetőek.

📋
Külső biztonsági audit — Decoded Security
2025. szeptember · teljes app- és infrastruktúra-szintű penetration test. Az eredmények és a javítások publikusan elérhetőek a blogunkon.
Eredmény publikálva
⚙️
Folyamatos automated security testing
Snyk, Semgrep, OWASP Dependency-Check minden pull request előtt. SAST + DAST a CI/CD pipeline-ban — biztonsági regresszió nem mehet át.
Folyamatos
🏛️
ISO 27001 tanúsítás folyamatban
2026 második félévében várjuk a hivatalos tanúsítást. A felkészülés során a teljes information security management system-et átdolgoztuk.
Q4 2026 várható
Minden rendszer üzemel Utolsó incidens: 2026. március 12. — 4 perc API késleltetés
99.98%
Uptime · 90 nap
status.penzugyes.app →
Beszéljünk

Kérdés vagy aggály?

Ha bármi nem világos, vagy egyszerűen csak szeretnél átbeszélni egy biztonsági kérdést — írj nekünk. Komolyan vesszük, és válaszolunk.

security@penzugyes.app Kapcsolat