Политика за сигурност на приложението Safety Software (SaaS)

Политика за сигурност на приложението Safety Software (SaaS)

ID: SE-2026-V1 Updated: 17.12.2025
Печат / PDF

1. Цел и обхват

Настоящата Политика за сигурност определя правилата за защита на информацията и данните, обработвани в рамките на приложението Safety Software, предоставяно в модела Software as a Service (SaaS).
Документът се отнася до сигурността на потребителите, използващи приложението, достъпно на адрес https://safetysoftware.eu, и представлява допълнение към Общите условия и Политиката за поверителност.

Политиката има информативен характер и описва стандартите, прилагани от Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Kraków, Polska, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (наричан по-долу: „Администратор”).


2. Модел на отговорност

Системата функционира по модел на споделена отговорност:

  • Администратор (Safety Software): отговаря за сигурността на кода на приложението, процесите на вход, оторизацията, сесиите, защитата на данните на приложно ниво, както и за реагиране при инциденти.

  • Доставчик на инфраструктура (център за данни, сертифициран по ISO/IEC 27001): отговаря за физическата сигурност на сървърите, захранването, мрежата, резервните копия и защитата на инфраструктурата.

  • Клиент: отговаря за сигурността на своите устройства, пароли, самоличностите на потребителите и управлението на достъпите в своя екип.



3. Правила за сигурност на приложението

  1. Предаването на данни се извършва изключително с използване на TLS криптиране (HTTPS).

  2. Потребителските сесии са защитени с флагове Secure, HttpOnly, SameSite=Lax и префикс __Host-; след вход се извършва ротация на идентификатора на сесията.

  3. Защита от CSRF: всеки формуляр съдържа уникален CSRF токен, който се проверява от страна на сървъра.

  4. Защита от brute-force: входът е обхванат от ограничения на броя опити и верификационни забавяния.

  5. HTTP заглавки за сигурност:

    • Content-Security-Policy (CSP с nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (ограничение на API на браузъра).

  6. Сепарация на данните: многотенантната архитектура (tenant isolation) предотвратява достъпа до данни между клиенти.

  7. Шифроване на данните: всички данни при предаване са шифровани, а удостоверителните данни (пароли) се съхраняват с използване на криптографски хеш функции (bcrypt).

  8. Оторизация: всяка операция в приложението се извършва в контекста на потребител и организация; неоторизираният достъп се блокира.

  9. Защита на съдържанието в CMS: WYSIWYG редакторът работи единствено в административния панел; съдържанието се санитизира от страна на сървъра и е обхванато от CSP с nonce.



4. Резервни копия и непрекъсваемост на услугата

  1. Резервните копия на данните се изготвят на ниво инфраструктура в съответствие с политиката на доставчика на хостинг (сертификация ISO/IEC 27001).

  2. Администраторът извършва периодични тестове за възстановяване на данни (restore).

  3. Времето за възстановяване на услугите (RTO) и загубата на данни (RPO) се определят вътрешно и подлежат на преглед най-малко веднъж годишно.



5. Мониторинг и логове

  1. Регистрират се критични събития: влизания, неуспешни опити за достъп, експорти на данни, генериране на отчети, промени в права.

  2. Логовете се съхраняват по защитен начин, с ограничен достъп за упълномощени администратори.

  3. Логовете не съдържат пълни лични данни нито съдържание на формуляри.



6. Управление на уязвимости

  1. Актуализациите на приложението и зависимостите се внедряват регулярно с приоритет за корекциите по сигурността.

  2. Преди публикуването на всяка нова версия на приложението се извършват регресионни тестове и контрол на open source компонентите.

  3. Откритите уязвимости се класифицират според риска и се отстраняват незабавно.



7. Доставчици и интеграции

  1. Stripe Payments Europe Ltd и PayPro S.A. (Przelewy24) обслужват плащанията – данните на карти не се обработват от Safety Software.

  2. Google Analytics / Search Console се използват изключително за статистически и анонимни цели.

  3. Шрифтове и frontend компоненти (Bootstrap, икони, шрифтове) се зареждат локално от директория vendor без външни връзки.

  4. Счетоводни услуги се предоставят от доверен подизпълнител въз основа на договор за възлагане на обработване на данни.



8. Докладване на инциденти

Сигнали, свързани със сигурността на приложението или подозрения за инциденти, следва да се изпращат на адрес:
office@safetysoftware.eu (тема: SECURITY).
Сигналите се анализират незабавно съгласно вътрешна процедура за triage.



9. Съответствие и юрисдикция

  • Приложението и процесите по сигурността са в съответствие с изискванията на GDPR, както и с принципите, произтичащи от ISO/IEC 27001 в организационен аспект.

  • Приложимото право е полското право, а компетентният съд – общите съдилища в Полша.

  • В случай на несъответствия между езиковите версии, определяща е полската версия.



10. Влизане в сила

Настоящата Политика за сигурност е в сила от 1 ноември 2025 г.
Актуалната версия на документа е достъпна на адрес https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Администратор на данни и собственик на системата:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Kraków, Polska
Е-mail: office@safetysoftware.eu
Уебсайт: https://safetysoftware.eu