Politique de sécurité de l'application Safety Software (SaaS)

Politique de sécurité de l’application Safety Software (SaaS)

ID: SE-2026-V1 Updated: 17.12.2025
Imprimer / PDF

1. Objet et portée

La présente Politique de sécurité définit les règles de protection des informations et des données traitées dans le cadre de l’application Safety Software mise à disposition selon le modèle Software as a Service (SaaS).
Le document concerne la sécurité des utilisateurs utilisant l’application disponible à l’adresse https://safetysoftware.eu et constitue un complément au Règlement ainsi qu’à la Politique de confidentialité.

La Politique a un caractère informatif et décrit les standards appliqués par Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Kraków, Pologne, KRS : 0001196649, NIP : 6793342803, REGON : 542821668 (ci-après : « Administrateur »).


2. Modèle de responsabilité

Le système fonctionne selon un modèle de responsabilité partagée :

  • Administrateur (Safety Software) : responsable de la sécurité du code de l’application, des processus de connexion, d’autorisation, des sessions, de la protection des données au niveau de la couche applicative ainsi que de la réponse aux incidents.

  • Fournisseur d’infrastructure (centre de données certifié ISO/IEC 27001) : responsable de la sécurité physique des serveurs, de l’alimentation, du réseau, des sauvegardes et de la protection de l’infrastructure.

  • Client : responsable de la sécurité de ses appareils, de ses mots de passe, de l’identité des utilisateurs et de la gestion des accès au sein de son équipe.



3. Règles de sécurité de l’application

  1. La transmission des données s’effectue exclusivement au moyen du chiffrement TLS (HTTPS).

  2. Les sessions utilisateurs sont sécurisées par les indicateurs Secure, HttpOnly, SameSite=Lax ainsi que par le préfixe __Host- ; après la connexion, l’identifiant de session est renouvelé.

  3. Protection CSRF : chaque formulaire contient un jeton CSRF unique, vérifié côté serveur.

  4. Protection contre le brute force : la connexion est soumise à des limites de tentatives et à des délais de vérification.

  5. En-têtes de sécurité HTTP :

    • Content-Security-Policy (CSP avec nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (restriction des API du navigateur).

  6. Séparation des données : l’architecture multi-locataires (tenant isolation) empêche l’accès aux données entre clients.

  7. Chiffrement des données : toutes les données en transit sont chiffrées, et les données d’authentification (mots de passe) sont stockées à l’aide de fonctions de hachage cryptographiques (bcrypt).

  8. Autorisation : chaque opération dans l’application s’effectue dans le contexte de l’utilisateur et de l’organisation ; l’accès non autorisé est bloqué.

  9. Protection du contenu CMS : l’éditeur WYSIWYG fonctionne uniquement dans le panneau d’administration ; les contenus sont assainis côté serveur et couverts par une CSP avec nonce.



4. Sauvegardes et continuité d’activité

  1. Des sauvegardes des données sont réalisées au niveau de l’infrastructure conformément à la politique du fournisseur d’hébergement (certification ISO/IEC 27001).

  2. L’Administrateur effectue des tests périodiques de restauration des données (restore).

  3. Le temps de rétablissement des services (RTO) et de perte de données (RPO) sont définis en interne et font l’objet d’une revue au moins une fois par an.



5. Supervision et journaux

  1. Les événements critiques sont enregistrés : connexions, tentatives d’accès infructueuses, exportations de données, génération de rapports, modifications des droits.

  2. Les journaux sont conservés de manière sécurisée, avec un accès limité aux administrateurs autorisés.

  3. Les journaux ne contiennent pas l’intégralité des données personnelles ni le contenu des formulaires.



6. Gestion des vulnérabilités

  1. Les mises à jour de l’application et des dépendances sont déployées régulièrement, avec une priorité accordée aux correctifs de sécurité.

  2. Avant la publication de chaque nouvelle version de l’application, des tests de régression ainsi qu’un contrôle des composants open source sont effectués.

  3. Les vulnérabilités détectées sont classées selon le niveau de risque et corrigées sans délai.



7. Fournisseurs et intégrations

  1. Stripe Payments Europe Ltd ainsi que PayPro S.A. (Przelewy24) assurent le traitement des paiements – les données de carte ne sont pas traitées par Safety Software.

  2. Google Analytics / Search Console sont utilisés exclusivement à des fins statistiques et anonymes.

  3. Polices et composants frontend (Bootstrap, icônes, polices) sont chargés localement depuis le répertoire vendor sans connexions externes.

  4. Services comptables sont réalisés par un sous-traitant de confiance sur la base d’un contrat de traitement des données.



8. Signalement des incidents

Les signalements concernant la sécurité de l’application ou la suspicion d’incidents doivent être adressés à :
office@safetysoftware.eu (objet : SECURITY).
Les signalements sont analysés sans délai conformément à la procédure interne de triage.



9. Conformité et juridiction

  • L’application et les processus de sécurité sont conformes aux exigences du RGPD ainsi qu’aux principes découlant de l’ISO/IEC 27001 sur le plan organisationnel.

  • Le droit applicable est le droit polonais, et la juridiction compétente – les tribunaux de droit commun en Pologne.

  • En cas de divergences entre les versions linguistiques, la version polonaise fait foi.



10. Entrée en vigueur

La présente Politique de sécurité s’applique à compter du 1er novembre 2025
La version actuelle du document est disponible à l’adresse https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Administrateur des données et propriétaire du système :
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Cracovie, Pologne
E-mail : office@safetysoftware.eu
Site : https://safetysoftware.eu