Política de Seguridad de la Aplicación Safety Software (SaaS)

Política de Seguridad de la Aplicación Safety Software (SaaS)

ID: SE-2026-V1 Updated: 17.12.2025
Imprimir / PDF

1. Objetivo y alcance

La presente Política de Seguridad establece las normas de protección de la información y los datos tratados en el marco de la aplicación Safety Software puesta a disposición en el modelo Software as a Service (SaaS).
El documento se refiere a la seguridad de los usuarios que utilizan la aplicación disponible en https://safetysoftware.eu y constituye un complemento del Reglamento y de la Política de Privacidad.

La Política tiene carácter informativo y describe los estándares aplicados por Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Cracovia, Polonia, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (en adelante: «Administrador»).


2. Modelo de responsabilidad

El sistema funciona en un modelo de responsabilidad compartida:

  • Administrador (Safety Software): es responsable de la seguridad del código de la aplicación, los procesos de inicio de sesión, autorización, sesiones, la protección de los datos en la capa de aplicación, así como de la respuesta a incidentes.

  • Proveedor de infraestructura (centro de datos certificado ISO/IEC 27001): es responsable de la seguridad física de los servidores, la alimentación eléctrica, la red, las copias de seguridad y la protección de la infraestructura.

  • Cliente: es responsable de la seguridad de sus dispositivos, contraseñas, identidades de usuarios y de la gestión de accesos en su equipo.



3. Principios de seguridad de la aplicación

  1. La transmisión de datos se realiza exclusivamente mediante cifrado TLS (HTTPS).

  2. Las sesiones de usuario están protegidas con las flags Secure, HttpOnly, SameSite=Lax y el prefijo __Host-; tras el inicio de sesión se realiza la rotación del identificador de sesión.

  3. Protección CSRF: cada formulario contiene un token CSRF único verificado en el servidor.

  4. Protección contra fuerza bruta: el inicio de sesión está sujeto a límites de intentos y retardos de verificación.

  5. Cabeceras de seguridad HTTP:

    • Content-Security-Policy (CSP con nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (limitación de la API del navegador).

  6. Separación de datos: la arquitectura multiarrendatario (tenant isolation) impide el acceso a los datos entre clientes.

  7. Cifrado de datos: todos los datos en tránsito están cifrados, y las credenciales de autenticación (contraseñas) se almacenan utilizando funciones hash criptográficas (bcrypt).

  8. Autorización: cada operación en la aplicación se realiza en el contexto del usuario y de la organización; el acceso no autorizado se bloquea.

  9. Protección de contenidos del CMS: el editor WYSIWYG funciona exclusivamente en el panel de administración; los contenidos se sanitizan en el servidor y están cubiertos por CSP con nonce.



4. Copias de seguridad y continuidad del servicio

  1. Las copias de seguridad de los datos se realizan a nivel de infraestructura conforme a la política del proveedor de hosting (certificación ISO/IEC 27001).

  2. El Administrador realiza pruebas periódicas de restauración de datos (restore).

  3. El tiempo de recuperación de servicios (RTO) y la pérdida de datos (RPO) se determinan internamente y se revisan al menos una vez al año.



5. Monitorización y logs

  1. Se registran eventos críticos: inicios de sesión, intentos fallidos de acceso, exportaciones de datos, generación de informes, cambios de permisos.

  2. Los logs se almacenan de forma segura, con acceso restringido a administradores autorizados.

  3. Los logs no contienen datos personales completos ni el contenido de los formularios.



6. Gestión de vulnerabilidades

  1. Las actualizaciones de la aplicación y de las dependencias se implementan de manera regular, con prioridad para los parches de seguridad.

  2. Antes de publicar cada nueva versión de la aplicación se realizan pruebas de regresión y un control de componentes open source.

  3. Las vulnerabilidades detectadas se clasifican según el riesgo y se eliminan sin demora.



7. Proveedores e integraciones

  1. Stripe Payments Europe Ltd y PayPro S.A. (Przelewy24) gestionan los pagos: los datos de la tarjeta no son tratados por Safety Software.

  2. Google Analytics / Search Console se utilizan exclusivamente con fines estadísticos y anónimos.

  3. Fuentes y componentes de frontend (Bootstrap, iconos, fuentes) se cargan localmente desde el directorio vendor sin conexiones externas.

  4. Servicios contables se prestan por un subcontratista de confianza sobre la base de un acuerdo de encargo del tratamiento de datos.



8. Notificación de incidentes

Las notificaciones relativas a la seguridad de la aplicación o sospechas de incidentes deben dirigirse a:
office@safetysoftware.eu (asunto: SECURITY).
Las notificaciones se analizan sin demora conforme al procedimiento interno de triage.



9. Cumplimiento y jurisdicción

  • La aplicación y los procesos de seguridad cumplen los requisitos del RGPD y los principios derivados de ISO/IEC 27001 en el ámbito organizativo.

  • La ley aplicable es la legislación polaca, y el tribunal competente: los tribunales ordinarios en Polonia.

  • En caso de discrepancias entre las versiones lingüísticas, prevalece la versión polaca.



10. Entrada en vigor

La presente Política de Seguridad es aplicable a partir del día 1 de noviembre de 2025
La versión actual del documento está disponible en https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Administrador de datos y propietario del sistema:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Cracovia, Polonia
E-mail: office@safetysoftware.eu
Servicio: https://safetysoftware.eu