Sicherheitsrichtlinie der Anwendung Safety Software (SaaS)

Sicherheitsrichtlinie für die Anwendung Safety Software (SaaS)

ID: SE-2026-V1 Updated: 17.12.2025
Drucken / PDF

1. Zweck und Geltungsbereich

Diese Sicherheitsrichtlinie legt die Grundsätze zum Schutz von Informationen und Daten fest, die im Rahmen der Anwendung Safety Software, die im Modell Software as a Service (SaaS) bereitgestellt wird, verarbeitet werden.
Das Dokument betrifft die Sicherheit der Nutzer, die die unter der Adresse https://safetysoftware.eu verfügbare Anwendung nutzen, und stellt eine Ergänzung zu den Nutzungsbedingungen sowie zur Datenschutzerklärung dar.

Die Richtlinie hat informativen Charakter und beschreibt die von Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Kraków, Polen, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (nachfolgend: „Administrator“) angewandten Standards.


2. Verantwortungsmodell

Das System arbeitet im Modell der geteilten Verantwortung:

  • Administrator (Safety Software): ist verantwortlich für die Sicherheit des Anwendungscodes, der Anmeldeprozesse, der Autorisierung, der Sitzungen, den Datenschutz auf der Anwendungsschicht sowie für die Reaktion auf Incidents.

  • Infrastrukturanbieter (Rechenzentrum ISO/IEC 27001-zertifiziert): ist verantwortlich für die physische Sicherheit der Server, Stromversorgung, Netzwerk, Backups und den Schutz der Infrastruktur.

  • Kunde: ist verantwortlich für die Sicherheit seiner Geräte, Passwörter, Benutzeridentitäten und das Zugriffsmanagement in seinem Team.



3. Grundsätze der Anwendungssicherheit

  1. Datenübertragung erfolgt ausschließlich unter Verwendung der TLS-Verschlüsselung (HTTPS).

  2. Benutzersitzungen sind durch die Flags Secure, HttpOnly, SameSite=Lax sowie durch das Präfix __Host- abgesichert; nach dem Login erfolgt eine Rotation der Sitzungskennung.

  3. CSRF-Schutz: jedes Formular enthält ein eindeutiges CSRF-Token, das serverseitig verifiziert wird.

  4. Schutz vor Brute-Force: die Anmeldung ist durch Versuchslimits und Verifikationsverzögerungen abgesichert.

  5. HTTP-Sicherheits-Header:

    • Content-Security-Policy (CSP mit nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (Einschränkung der Browser-API).

  6. Datentrennung: eine Multi-Tenant-Architektur (tenant isolation) verhindert den Zugriff auf Daten zwischen Kunden.

  7. Datenverschlüsselung: alle Daten in der Übertragung sind verschlüsselt, und Authentifizierungsdaten (Passwörter) werden unter Verwendung kryptografischer Hash-Funktionen (bcrypt) gespeichert.

  8. Autorisierung: jede Operation in der Anwendung erfolgt im Kontext des Benutzers und der Organisation; unautorisierter Zugriff wird blockiert.

  9. Schutz von CMS-Inhalten: der WYSIWYG-Editor arbeitet ausschließlich im Administrationspanel; Inhalte werden serverseitig sanitisiert und durch CSP mit nonce abgesichert.



4. Backups und Betriebskontinuität

  1. Datensicherungen werden auf Infrastrukturebene gemäß der Richtlinie des Hosting-Anbieters (ISO/IEC 27001-Zertifizierung) erstellt.

  2. Der Administrator führt periodische Tests der Datenwiederherstellung (restore) durch.

  3. Die Wiederherstellungszeit der Dienste (RTO) und der Datenverlust (RPO) werden intern festgelegt und mindestens einmal pro Jahr überprüft.



5. Monitoring und Logs

  1. Kritische Ereignisse werden protokolliert: Logins, fehlgeschlagene Zugriffsversuche, Datenexporte, Erstellung von Berichten, Änderungen von Berechtigungen.

  2. Logs werden auf sichere Weise gespeichert, mit eingeschränktem Zugriff für autorisierte Administratoren.

  3. Logs enthalten weder vollständige personenbezogene Daten noch Inhalte von Formularen.



6. Schwachstellenmanagement

  1. Updates der Anwendung und Abhängigkeiten werden regelmäßig implementiert, mit Priorität für Sicherheits-Patches.

  2. Vor der Veröffentlichung jeder neuen Version der Anwendung werden Regressionstests sowie eine Kontrolle von Open-Source-Komponenten durchgeführt.

  3. Erkannte Schwachstellen werden nach Risiko klassifiziert und unverzüglich behoben.



7. Anbieter und Integrationen

  1. Stripe Payments Europe Ltd sowie PayPro S.A. (Przelewy24) wickeln Zahlungen ab – Kartendaten werden nicht von Safety Software verarbeitet.

  2. Google Analytics / Search Console werden ausschließlich zu statistischen und anonymen Zwecken verwendet.

  3. Schriftarten und Frontend-Komponenten (Bootstrap, Icons, Fonts) werden lokal aus dem Verzeichnis vendor ohne externe Verbindungen geladen.

  4. Buchhaltungsleistungen werden durch einen vertrauenswürdigen Unterauftragnehmer auf Grundlage eines Vertrags zur Auftragsverarbeitung erbracht.



8. Meldung von Incidents

Meldungen zur Sicherheit der Anwendung oder Verdachtsmeldungen von Incidents sind an folgende Adresse zu richten:
office@safetysoftware.eu (Betreff: SECURITY).
Meldungen werden unverzüglich gemäß dem internen Triage-Verfahren analysiert.



9. Konformität und Gerichtsbarkeit

  • Die Anwendung und die Sicherheitsprozesse entsprechen den Anforderungen der DSGVO sowie den aus ISO/IEC 27001 resultierenden Grundsätzen im organisatorischen Bereich.

  • Anwendbares Recht ist das polnische Recht, und zuständig sind die ordentlichen Gerichte in Polen.

  • Im Falle von Abweichungen zwischen den Sprachfassungen ist die polnische Fassung maßgeblich.



10. Inkrafttreten

Diese Sicherheitsrichtlinie gilt ab dem 1. November 2025
Die aktuelle Version des Dokuments ist unter folgender Adresse verfügbar: https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Datenverwalter und Systeminhaber:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Kraków, Polen
E-Mail: office@safetysoftware.eu
Service: https://safetysoftware.eu