Πολιτική Ασφάλειας Εφαρμογής Safety Software (SaaS)

Πολιτική Ασφάλειας Εφαρμογής Safety Software (SaaS)

ID: SE-2026-V1 Updated: 17.12.2025
Εκτύπωση / PDF

1. Σκοπός και πεδίο εφαρμογής

Η παρούσα Πολιτική Ασφάλειας καθορίζει τις αρχές προστασίας των πληροφοριών και των δεδομένων που υποβάλλονται σε επεξεργασία στο πλαίσιο της εφαρμογής Safety Software που διατίθεται στο μοντέλο Software as a Service (SaaS).
Το έγγραφο αφορά την ασφάλεια των χρηστών που χρησιμοποιούν την εφαρμογή που είναι διαθέσιμη στη διεύθυνση https://safetysoftware.eu και αποτελεί συμπλήρωμα των Όρων και Προϋποθέσεων καθώς και της Πολιτικής Απορρήτου.

Η Πολιτική έχει ενημερωτικό χαρακτήρα και περιγράφει τα πρότυπα που εφαρμόζει η Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Kraków, Polska, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (εφεξής: «Διαχειριστής»).


2. Μοντέλο ευθύνης

Το σύστημα λειτουργεί στο μοντέλο κοινής ευθύνης:

  • Διαχειριστής (Safety Software): είναι υπεύθυνος για την ασφάλεια του κώδικα της εφαρμογής, των διαδικασιών σύνδεσης, εξουσιοδότησης, των συνεδριών, για την προστασία των δεδομένων στο επίπεδο της εφαρμογής και για την απόκριση σε περιστατικά.

  • Πάροχος υποδομής (κέντρο δεδομένων πιστοποιημένο κατά ISO/IEC 27001): είναι υπεύθυνος για τη φυσική ασφάλεια των διακομιστών, την τροφοδοσία, το δίκτυο, τα αντίγραφα ασφαλείας και την προστασία της υποδομής.

  • Πελάτης: είναι υπεύθυνος για την ασφάλεια των συσκευών του, των κωδικών πρόσβασης, των ταυτοτήτων των χρηστών και για τη διαχείριση των προσβάσεων στην ομάδα του.



3. Αρχές ασφάλειας της εφαρμογής

  1. Η μετάδοση δεδομένων πραγματοποιείται αποκλειστικά με χρήση κρυπτογράφησης TLS (HTTPS).

  2. Οι συνεδρίες χρηστών προστατεύονται με τις σημαίες Secure, HttpOnly, SameSite=Lax καθώς και με το πρόθεμα __Host-· μετά τη σύνδεση πραγματοποιείται περιστροφή του αναγνωριστικού συνεδρίας.

  3. Προστασία CSRF: κάθε φόρμα περιέχει μοναδικό token CSRF που επαληθεύεται στην πλευρά του διακομιστή.

  4. Προστασία από brute-force: η σύνδεση καλύπτεται από όρια προσπαθειών και καθυστερήσεις επαλήθευσης.

  5. Κεφαλίδες ασφάλειας HTTP:

    • Content-Security-Policy (CSP με nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (περιορισμός API του φυλλομετρητή).

  6. Διαχωρισμός δεδομένων: η πολυμισθωτική αρχιτεκτονική (tenant isolation) καθιστά αδύνατη την πρόσβαση σε δεδομένα μεταξύ πελατών.

  7. Κρυπτογράφηση δεδομένων: όλα τα δεδομένα κατά τη μετάδοση είναι κρυπτογραφημένα, ενώ τα δεδομένα αυθεντικοποίησης (κωδικοί πρόσβασης) αποθηκεύονται με χρήση κρυπτογραφικών συναρτήσεων κατακερματισμού (bcrypt).

  8. Εξουσιοδότηση: κάθε λειτουργία στην εφαρμογή πραγματοποιείται στο πλαίσιο χρήστη και οργανισμού· η μη εξουσιοδοτημένη πρόσβαση αποκλείεται.

  9. Προστασία περιεχομένου CMS: ο επεξεργαστής WYSIWYG λειτουργεί αποκλειστικά στον πίνακα διαχείρισης· το περιεχόμενο απολυμαίνεται (sanitized) στην πλευρά του διακομιστή και καλύπτεται από CSP με nonce.



4. Αντίγραφα ασφαλείας και επιχειρησιακή συνέχεια

  1. Τα αντίγραφα ασφαλείας δεδομένων εκτελούνται σε επίπεδο υποδομής σύμφωνα με την πολιτική του παρόχου φιλοξενίας (πιστοποίηση ISO/IEC 27001).

  2. Ο Διαχειριστής διενεργεί περιοδικές δοκιμές επαναφοράς δεδομένων (restore).

  3. Ο χρόνος αποκατάστασης υπηρεσιών (RTO) και η απώλεια δεδομένων (RPO) καθορίζονται εσωτερικά και υπόκεινται σε ανασκόπηση τουλάχιστον μία φορά τον χρόνο.



5. Παρακολούθηση και αρχεία καταγραφής

  1. Καταγράφονται κρίσιμα συμβάντα: συνδέσεις, αποτυχημένες προσπάθειες πρόσβασης, εξαγωγές δεδομένων, δημιουργία αναφορών, αλλαγές δικαιωμάτων.

  2. Τα αρχεία καταγραφής αποθηκεύονται με ασφαλή τρόπο, με περιορισμένη πρόσβαση για εξουσιοδοτημένους διαχειριστές.

  3. Τα αρχεία καταγραφής δεν περιέχουν πλήρη δεδομένα προσωπικού χαρακτήρα ούτε περιεχόμενο φορμών.



6. Διαχείριση ευπαθειών

  1. Οι ενημερώσεις της εφαρμογής και των εξαρτήσεων υλοποιούνται τακτικά, με προτεραιότητα στις διορθώσεις ασφαλείας.

  2. Πριν από τη δημοσίευση κάθε νέας έκδοσης της εφαρμογής, πραγματοποιούνται δοκιμές παλινδρόμησης καθώς και έλεγχος των στοιχείων open source.

  3. Οι εντοπισμένες ευπάθειες ταξινομούνται βάσει κινδύνου και αποκαθίστανται άμεσα.



7. Πάροχοι και ενσωματώσεις

  1. Stripe Payments Europe Ltd καθώς και PayPro S.A. (Przelewy24) χειρίζονται τις πληρωμές – τα δεδομένα καρτών δεν υποβάλλονται σε επεξεργασία από το Safety Software.

  2. Google Analytics / Search Console χρησιμοποιούνται αποκλειστικά για στατιστικούς και ανώνυμους σκοπούς.

  3. Γραμματοσειρές και στοιχεία frontend (Bootstrap, εικονίδια, γραμματοσειρές) φορτώνονται τοπικά από τον κατάλογο vendor χωρίς εξωτερικές συνδέσεις.

  4. Λογιστικές υπηρεσίες παρέχονται από έμπιστο υπεργολάβο βάσει σύμβασης ανάθεσης επεξεργασίας δεδομένων.



8. Αναφορά περιστατικών

Οι αναφορές που αφορούν την ασφάλεια της εφαρμογής ή υποψίες περιστατικών πρέπει να αποστέλλονται στη διεύθυνση:
office@safetysoftware.eu (θέμα: SECURITY).
Οι αναφορές αναλύονται άμεσα σύμφωνα με την εσωτερική διαδικασία triage.



9. Συμμόρφωση και δικαιοδοσία

  • Η εφαρμογή και οι διαδικασίες ασφάλειας είναι σύμφωνες με τις απαιτήσεις του ΓΚΠΔ και τις αρχές που απορρέουν από το ISO/IEC 27001 σε οργανωτικό επίπεδο.

  • Το εφαρμοστέο δίκαιο είναι το πολωνικό δίκαιο και αρμόδια δικαστήρια – τα τακτικά δικαστήρια στην Πολωνία.

  • Σε περίπτωση αποκλίσεων μεταξύ των γλωσσικών εκδόσεων, δεσμευτική είναι η πολωνική έκδοση.



10. Έναρξη ισχύος

Η παρούσα Πολιτική Ασφάλειας ισχύει από την 1 Νοεμβρίου 2025
Η τρέχουσα έκδοση του εγγράφου είναι διαθέσιμη στη διεύθυνση https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Υπεύθυνος επεξεργασίας δεδομένων και ιδιοκτήτης του συστήματος:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Kraków, Polska
E-mail: office@safetysoftware.eu
Ιστότοπος: https://safetysoftware.eu