Sikkerhedspolitik for Safety Software-applikationen (SaaS)

Applikationssikkerhedspolitik for Safety Software (SaaS)

ID: SE-2026-V1 Updated: 17.12.2025
Print / PDF

1. Formål og omfang

Denne Sikkerhedspolitik fastlægger reglerne for beskyttelse af information og data, der behandles inden for applikationen Safety Software, som stilles til rådighed i modellen Software as a Service (SaaS).
Dokumentet vedrører sikkerheden for brugere, der benytter applikationen, som er tilgængelig på adressen https://safetysoftware.eu, og udgør et supplement til Vilkår og betingelser samt Privatlivspolitikken.

Politikken er af informativ karakter og beskriver de standarder, der anvendes af Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Kraków, Polen, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (herefter: „Administratoren”).


2. Ansvarsmodel

Systemet fungerer i en model med delt ansvar:

  • Administrator (Safety Software): er ansvarlig for sikkerheden i applikationskoden, loginprocesser, autorisation, sessioner, beskyttelse af data på applikationslaget samt for hændelsesrespons.

  • Infrastrukturleverandør (datacenter certificeret i henhold til ISO/IEC 27001): er ansvarlig for fysisk sikkerhed af servere, strømforsyning, netværk, sikkerhedskopier og beskyttelse af infrastrukturen.

  • Kunde: er ansvarlig for sikkerheden af egne enheder, adgangskoder, brugernes identiteter og styring af adgangsrettigheder i sit team.



3. Principper for applikationssikkerhed

  1. Datatransmission sker udelukkende med brug af TLS-kryptering (HTTPS).

  2. Brugersessioner er sikret med flagene Secure, HttpOnly, SameSite=Lax samt præfikset __Host-; efter login foretages rotation af sessionsidentifikatoren.

  3. CSRF-beskyttelse: hver formular indeholder en unik CSRF-token, som verificeres på serversiden.

  4. Beskyttelse mod brute-force: login er omfattet af forsøgslimits og verifikationsforsinkelser.

  5. HTTP-sikkerhedsheadere:

    • Content-Security-Policy (CSP med nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (begrænsning af browser-API).

  6. Dataseparation: multitenant-arkitektur (tenant isolation) forhindrer adgang til data mellem kunder.

  7. Datakryptering: alle data under transmission er krypteret, og autentificeringsdata (adgangskoder) lagres ved brug af kryptografiske hashfunktioner (bcrypt).

  8. Autorisation: hver operation i applikationen foregår i kontekst af brugeren og organisationen; uautoriseret adgang blokeres.

  9. Beskyttelse af CMS-indhold: WYSIWYG-editoren fungerer udelukkende i administrationspanelet; indhold saniteres på serversiden og er omfattet af CSP med nonce.



4. Sikkerhedskopier og forretningskontinuitet

  1. Sikkerhedskopier af data udføres på infrastrukturniveau i overensstemmelse med hostingudbyderens politik (ISO/IEC 27001-certificering).

  2. Administratoren gennemfører periodiske tests af data-gendannelse (restore).

  3. Tiden til gendannelse af tjenester (RTO) og datatab (RPO) fastlægges internt og gennemgås mindst én gang om året.



5. Overvågning og logfiler

  1. Kritiske hændelser registreres: logins, mislykkede adgangsforsøg, dataeksporter, generering af rapporter, ændringer af rettigheder.

  2. Logfiler opbevares på en sikker måde med begrænset adgang for autoriserede administratorer.

  3. Logfiler indeholder ikke fuldstændige personoplysninger eller indholdet af formularer.



6. Håndtering af sårbarheder

  1. Opdateringer af applikationen og afhængigheder implementeres regelmæssigt med prioritet til sikkerhedsrettelser.

  2. Før offentliggørelse af hver ny version af applikationen udføres regressionstests samt kontrol af open source-komponenter.

  3. Opdagede sårbarheder klassificeres efter risiko og udbedres omgående.



7. Leverandører og integrationer

  1. Stripe Payments Europe Ltd samt PayPro S.A. (Przelewy24) håndterer betalinger – kortdata behandles ikke af Safety Software.

  2. Google Analytics / Search Console anvendes udelukkende til statistiske og anonyme formål.

  3. Skrifttyper og frontend-komponenter (Bootstrap, ikoner, fonte) indlæses lokalt fra mappen vendor uden eksterne forbindelser.

  4. Bogføringstjenester leveres af en betroet underleverandør på grundlag af en databehandleraftale.



8. Indberetning af hændelser

Indberetninger vedrørende applikationssikkerhed eller mistanke om hændelser skal sendes til adressen:
office@safetysoftware.eu (emne: SECURITY).
Indberetninger analyseres omgående i henhold til den interne triage-procedure.



9. Overholdelse og jurisdiktion

  • Applikationen og sikkerhedsprocesserne er i overensstemmelse med kravene i GDPR samt principperne i ISO/IEC 27001 på det organisatoriske område.

  • Gældende ret er polsk ret, og værnetinget – de almindelige domstole i Polen.

  • I tilfælde af uoverensstemmelser mellem sprogversionerne, er den polske version afgørende.



10. Ikrafttræden

Denne Sikkerhedspolitik gælder fra og med 1. november 2025
Den aktuelle version af dokumentet er tilgængelig på adressen https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Dataansvarlig og systemejer:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Kraków, Polen
E-mail: office@safetysoftware.eu
Service: https://safetysoftware.eu