Safety Software (SaaS) rakenduse turvapoliitika

Safety Software (SaaS) rakenduse turvapoliitika

ID: SE-2026-V1 Updated: 17.12.2025
Prindi / PDF

1. Eesmärk ja ulatus

Käesolev Turvapoliitika määratleb teabe ja andmete kaitse põhimõtted, mida töödeldakse rakenduse Safety Software raames, mida pakutakse mudelis Software as a Service (SaaS).
Dokument käsitleb rakenduse kasutajate turvalisust, kes kasutavad rakendust aadressil https://safetysoftware.eu, ning on Regulamendi ja Privaatsuspoliitika täienduseks.

Põhimõtted on informatiivse iseloomuga ja kirjeldavad standardeid, mida rakendab Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Kraków, Poola, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (edaspidi: „Administraator”).


2. Vastutusmudel

Süsteem töötab jagatud vastutuse mudelis:

  • Administraator (Safety Software): vastutab rakenduse koodi, sisselogimisprotsesside, autoriseerimise, seansside, rakenduskihi andmekaitse ning intsidentidele reageerimise eest.

  • Infrastruktuuri pakkuja (ISO/IEC 27001 sertifitseeritud andmekeskus): vastutab serverite füüsilise turvalisuse, toite, võrgu, varukoopiate ja infrastruktuuri kaitse eest.

  • Klient: vastutab oma seadmete, paroolide, kasutajate identiteetide turvalisuse ning oma meeskonnas ligipääsude haldamise eest.



3. Rakenduse turvapõhimõtted

  1. Andmeedastus toimub üksnes TLS-krüpteerimise (HTTPS) abil.

  2. Kasutajaseansid on kaitstud lippudega Secure, HttpOnly, SameSite=Lax ning prefiksiga __Host-; pärast sisselogimist toimub seansi identifikaatori rotatsioon.

  3. CSRF-kaitse: iga vorm sisaldab unikaalset CSRF-tokenit, mida kontrollitakse serveripoolel.

  4. Kaitse brute-force rünnete vastu: sisselogimine on kaetud katsete piirangute ja verifitseerimisviivitustega.

  5. HTTP turvapäringupäised:

    • Content-Security-Policy (CSP nonce’iga),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (brauseri API piiramine).

  6. Andmete eraldatus: mitmerendilise arhitektuuri (tenant isolation) abil on klientidevaheline ligipääs andmetele välistatud.

  7. Andmete krüpteerimine: kõik edastatavad andmed on krüpteeritud ning autentimisandmeid (paroolid) säilitatakse krüptograafiliste räsifunktsioonide (bcrypt) abil.

  8. Autoriseerimine: iga toiming rakenduses toimub kasutaja ja organisatsiooni kontekstis; volitamata ligipääs blokeeritakse.

  9. CMS-sisu kaitse: WYSIWYG-redaktor töötab ainult halduspaneelis; sisu sanitiseeritakse serveripoolel ning on kaetud nonce’iga CSP-ga.



4. Varukoopiad ja tegevuse järjepidevus

  1. Andmete varukoopiad tehakse infrastruktuuri tasemel vastavalt hostingu pakkuja poliitikale (ISO/IEC 27001 sertifitseerimine).

  2. Administraator viib läbi perioodilisi andmete taastamise (restore) teste.

  3. Teenuste taastamisaeg (RTO) ja andmekao lubatav määr (RPO) määratakse sisemiselt ning vaadatakse üle vähemalt kord aastas.



5. Monitooring ja logid

  1. Logitakse kriitilised sündmused: sisselogimised, ebaõnnestunud ligipääsukatsed, andmete eksport, aruannete genereerimine, õiguste muudatused.

  2. Logisid säilitatakse turvaliselt, piiratud ligipääsuga volitatud administraatoritele.

  3. Logid ei sisalda täielikke isikuandmeid ega vormide sisu.



6. Haavatavuste haldamine

  1. Rakenduse ja sõltuvuste uuendusi rakendatakse regulaarselt, eelistades turvaparandusi.

  2. Enne iga uue rakenduse versiooni avaldamist tehakse regressioonitestid ning open source komponentide kontroll.

  3. Tuvastatud haavatavused klassifitseeritakse riski järgi ja kõrvaldatakse viivitamata.



7. Pakkujad ja integratsioonid

  1. Stripe Payments Europe Ltd ning PayPro S.A. (Przelewy24) teenindavad makseid – kaardiandmeid Safety Software ei töötle.

  2. Google Analytics / Search Console kasutatakse üksnes statistilistel ja anonüümsetel eesmärkidel.

  3. Fondid ja frontend-komponendid (Bootstrap, ikoonid, fondid) laaditakse lokaalselt kataloogist vendor ilma välisühendusteta.

  4. Raamatupidamisteenused osutatakse usaldusväärse alltöövõtja poolt andmete volitatud töötlemise lepingu alusel.



8. Intsidentidest teatamine

Rakenduse turvalisusega seotud teated või intsidentide kahtlused tuleb saata aadressile:
office@safetysoftware.eu (teema: SECURITY).
Teateid analüüsitakse viivitamata vastavalt sisemisele triage-protseduurile.



9. Vastavus ja jurisdiktsioon

  • Rakendus ja turbeprotsessid vastavad GDPR-i nõuetele ning ISO/IEC 27001-st tulenevatele põhimõtetele organisatsioonilises ulatuses.

  • Kohaldatavaks õiguseks on Poola õigus ning pädevaks kohtuks – Poola üldkohtud.

  • Keelteversioonide vaheliste lahknevuste korral on määrav poolakeelne versioon.



10. Jõustumine

Käesolev Turbepoliitika kehtib alates 1. novembrist 2025
Dokumendi kehtiv versioon on kättesaadav aadressil https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Andmetöötleja ja süsteemi omanik:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Kraków, Poola
E-post: office@safetysoftware.eu
Veebiteenus: https://safetysoftware.eu