SaaS-turvaohjelmistosovelluksen tietoturvakäytäntö

Sovellusturvallisuuspolitiikka Safety Software (SaaS)

ID: SE-2026-V1 Updated: 17.12.2025
Tulosta / PDF

1. Tarkoitus ja soveltamisala

Tässä turvallisuuspolitiikassa määritellään sovelluksessa Safety Software, joka tarjotaan Software as a Service (SaaS) -mallissa, käsiteltävien tietojen ja informaation suojaamista koskevat periaatteet.
Asiakirja koskee osoitteessa https://safetysoftware.eu saatavilla olevaa sovellusta käyttävien käyttäjien turvallisuutta, ja se täydentää käyttöehtoja sekä tietosuojapolitiikkaa.

Politiikka on luonteeltaan informatiivinen ja kuvaa standardeja, joita soveltaa Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Kraków, Puola, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (jäljempänä ”Rekisterinpitäjä”).


2. Vastuumalli

Järjestelmä toimii jaetun vastuun mallissa:

  • Rekisterinpitäjä (Safety Software): vastaa sovelluskoodin, kirjautumisprosessien, valtuutuksen, istuntojen turvallisuudesta, tietojen suojauksesta sovellustasolla sekä poikkeamiin reagoinnista.

  • Infrastruktuurin toimittaja (ISO/IEC 27001 -sertifioitu konesali): vastaa palvelimien fyysisestä turvallisuudesta, sähkönsyötöstä, verkosta, varmuuskopioista ja infrastruktuurin suojauksesta.

  • Asiakas: vastaa omien laitteidensa, salasanojensa, käyttäjäidentiteettiensä turvallisuudesta sekä käyttöoikeuksien hallinnasta omassa tiimissään.



3. Sovelluksen turvallisuusperiaatteet

  1. Tietojen siirto tapahtuu yksinomaan TLS-salauksen (HTTPS) avulla.

  2. Käyttäjäistunnot on suojattu lipuilla Secure, HttpOnly, SameSite=Lax sekä etuliitteellä __Host-; kirjautumisen jälkeen istunnon tunniste vaihdetaan (rotatoidaan).

  3. CSRF-suojaus: jokainen lomake sisältää yksilöllisen CSRF-tokenin, joka varmennetaan palvelinpuolella.

  4. Suojaus brute force -hyökkäyksiä vastaan: kirjautumiseen sovelletaan yritysrajoituksia ja varmennusviiveitä.

  5. HTTP-turvaotsakkeet:

    • Content-Security-Policy (CSP nonce-arvolla),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (selain-API:en rajoittaminen).

  6. Tietojen eriyttäminen: monivuokraaja-arkkitehtuuri (tenant isolation) estää asiakkaiden välisen pääsyn tietoihin.

  7. Tietojen salaus: kaikki siirrettävät tiedot salataan, ja todennustiedot (salasanat) tallennetaan kryptografisia hajautusfunktioita (bcrypt) käyttäen.

  8. Valtuutus: jokainen sovelluksen toimenpide suoritetaan käyttäjän ja organisaation kontekstissa; luvaton pääsy estetään.

  9. CMS-sisällön suojaus: WYSIWYG-editori toimii ainoastaan hallintapaneelissa; sisältö sanitoidaan palvelinpuolella ja siihen sovelletaan nonce-arvolla varustettua CSP:tä.



4. Varmuuskopiot ja toiminnan jatkuvuus

  1. Tietojen varmuuskopiot tehdään infrastruktuuritasolla hosting-toimittajan käytännön mukaisesti (ISO/IEC 27001 -sertifiointi).

  2. Rekisterinpitäjä suorittaa säännöllisiä tietojen palautustestejä (restore).

  3. Palvelujen palautumisaika (RTO) ja tietojen menetys (RPO) määritellään sisäisesti ja tarkistetaan vähintään kerran vuodessa.



5. Valvonta ja lokit

  1. Kriittiset tapahtumat kirjataan: kirjautumiset, epäonnistuneet pääsy-yritykset, tietojen viennit, raporttien generointi, oikeuksien muutokset.

  2. Lokit säilytetään turvallisesti, ja pääsy on rajoitettu valtuutetuille ylläpitäjille.

  3. Lokit eivät sisällä täydellisiä henkilötietoja eivätkä lomakkeiden sisältöä.



6. Haavoittuvuuksien hallinta

  1. Sovelluksen ja riippuvuuksien päivitykset otetaan käyttöön säännöllisesti, ja tietoturvakorjauksille annetaan etusija.

  2. Ennen jokaisen uuden sovellusversion julkaisemista suoritetaan regressiotestit sekä open source -komponenttien tarkistus.

  3. Havaitut haavoittuvuudet luokitellaan riskin mukaan ja poistetaan viipymättä.



7. Toimittajat ja integraatiot

  1. Stripe Payments Europe Ltd sekä PayPro S.A. (Przelewy24) käsittelevät maksut – korttitietoja ei käsitellä Safety Software -palvelussa.

  2. Google Analytics / Search Console käytetään yksinomaan tilastollisiin ja anonyymeihin tarkoituksiin.

  3. Fontit ja frontend-komponentit (Bootstrap, ikonit, fontit) ladataan paikallisesti vendor-hakemistosta ilman ulkoisia yhteyksiä.

  4. Kirjanpitopalvelut tuottaa luotettu alihankkija tietojenkäsittelysopimuksen perusteella.



8. Poikkeamien ilmoittaminen

Sovelluksen turvallisuutta koskevat ilmoitukset tai epäillyt poikkeamat tulee toimittaa osoitteeseen:
office@safetysoftware.eu (aihe: SECURITY).
Ilmoitukset analysoidaan viipymättä sisäisen triage-menettelyn mukaisesti.



9. Vaatimustenmukaisuus ja tuomiovalta

  • Sovellus ja turvallisuusprosessit ovat GDPR:n vaatimusten sekä ISO/IEC 27001 -standardista organisaatiotasolla johtuvien periaatteiden mukaisia.

  • Sovellettava laki on Puolan laki, ja toimivaltainen tuomioistuin – yleiset tuomioistuimet Puolassa.

  • Jos kieliversioiden välillä on ristiriitoja, puolankielinen versio on ratkaiseva.



10. Voimaantulo

Tämä Turvallisuuspolitiikka on voimassa alkaen 1. marraskuuta 2025
Asiakirjan ajantasainen versio on saatavilla osoitteessa https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Rekisterinpitäjä ja järjestelmän omistaja:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Kraków, Puola
Sähköposti: office@safetysoftware.eu
Palvelu: https://safetysoftware.eu