Politika bezpečnosti aplikace Safety Software (SaaS)

Zásady bezpečnosti aplikace Safety Software (SaaS)

ID: SE-2026-V1 Updated: 17.12.2025
Tisk / PDF

1. Účel a rozsah

Tyto Zásady bezpečnosti stanovují pravidla ochrany informací a dat zpracovávaných v rámci aplikace Safety Software poskytované v modelu Software as a Service (SaaS).
Dokument se týká bezpečnosti uživatelů využívajících aplikaci dostupnou na adrese https://safetysoftware.eu a představuje doplnění Pravidel a podmínek a Zásad ochrany osobních údajů.

Zásady mají informativní charakter a popisují standardy uplatňované společností Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Krakov, Polsko, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (dále jen „Správce“).


2. Model odpovědnosti

Systém funguje v modelu sdílené odpovědnosti:

  • Správce (Safety Software): odpovídá za bezpečnost kódu aplikace, procesů přihlašování, autorizace, relací, ochranu dat na aplikační vrstvě a za reakci na incidenty.

  • Poskytovatel infrastruktury (datové centrum certifikované podle ISO/IEC 27001): odpovídá za fyzické zabezpečení serverů, napájení, síť, zálohy a ochranu infrastruktury.

  • Zákazník: odpovídá za zabezpečení svých zařízení, hesel, identit uživatelů a správu přístupů ve svém týmu.



3. Zásady bezpečnosti aplikace

  1. Přenos dat probíhá výhradně s použitím šifrování TLS (HTTPS).

  2. Uživatelské relace jsou zabezpečeny příznaky Secure, HttpOnly, SameSite=Lax a prefixem __Host-; po přihlášení dochází k rotaci identifikátoru relace.

  3. Ochrana CSRF: každý formulář obsahuje jedinečný token CSRF ověřovaný na straně serveru.

  4. Ochrana proti brute-force: přihlašování je pokryto limity pokusů a ověřovacími prodlevami.

  5. Bezpečnostní HTTP hlavičky:

    • Content-Security-Policy (CSP s nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (omezení API prohlížeče).

  6. Separace dat: multitenant architektura (tenant isolation) znemožňuje přístup k datům mezi zákazníky.

  7. Šifrování dat: veškerá data v přenosu jsou šifrována a autentizační údaje (hesla) jsou ukládány s použitím kryptografických hashovacích funkcí (bcrypt).

  8. Autorizace: každá operace v aplikaci probíhá v kontextu uživatele a organizace; neautorizovaný přístup je blokován.

  9. Ochrana obsahu CMS: editor WYSIWYG funguje výhradně v administračním panelu; obsah je sanitizován na straně serveru a je pokryt CSP s nonce.



4. Zálohy a kontinuita provozu

  1. Zálohy dat jsou prováděny na úrovni infrastruktury v souladu s politikou poskytovatele hostingu (certifikace ISO/IEC 27001).

  2. Správce provádí periodické testy obnovy dat (restore).

  3. Doba obnovy služeb (RTO) a ztráty dat (RPO) jsou stanovovány interně a podléhají přezkumu nejméně jednou ročně.



5. Monitorování a logy

  1. Zaznamenávají se kritické události: přihlášení, neúspěšné pokusy o přístup, exporty dat, generování reportů, změny oprávnění.

  2. Logy jsou uchovávány bezpečným způsobem s omezeným přístupem pro oprávněné administrátory.

  3. Logy neobsahují úplné osobní údaje ani obsah formulářů.



6. Řízení zranitelností

  1. Aktualizace aplikace a závislostí jsou nasazovány pravidelně s prioritou pro bezpečnostní opravy.

  2. Před publikací každé nové verze aplikace jsou prováděny regresní testy a kontrola open source komponent.

  3. Zjištěné zranitelnosti jsou klasifikovány podle rizika a neprodleně odstraňovány.



7. Dodavatelé a integrace

  1. Stripe Payments Europe Ltd a PayPro S.A. (Przelewy24) obsluhují platby – údaje o kartách nejsou zpracovávány společností Safety Software.

  2. Google Analytics / Search Console jsou využívány výhradně pro statistické a anonymní účely.

  3. Písma a frontendové komponenty (Bootstrap, ikony, fonty) jsou načítány lokálně z katalogu vendor bez externích připojení.

  4. Účetní služby jsou realizovány důvěryhodným subdodavatelem na základě smlouvy o zpracování osobních údajů.



8. Hlášení incidentů

Hlášení týkající se bezpečnosti aplikace nebo podezření na incidenty je třeba zasílat na adresu:
office@safetysoftware.eu (předmět: SECURITY).
Hlášení jsou neprodleně analyzována podle interní triage procedury.



9. Soulad a jurisdikce

  • Aplikace a bezpečnostní procesy jsou v souladu s požadavky GDPR a se zásadami vyplývajícími z ISO/IEC 27001 v organizační oblasti.

  • Rozhodným právem je polské právo a příslušným soudem jsou obecné soudy v Polsku.

  • V případě rozporů mezi jazykovými verzemi je rozhodující polská verze.



10. Vstup v platnost

Tato Bezpečnostní politika je účinná ode dne 1. listopadu 2025
Aktuální verze dokumentu je k dispozici na adrese https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Správce údajů a vlastník systému:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Krakov, Polsko
E-mail: office@safetysoftware.eu
Služba: https://safetysoftware.eu