Politika sigurnosti aplikacije Safety Software (SaaS)

Politika sigurnosti aplikacije Safety Software (SaaS)

ID: SE-2026-V1 Updated: 17.12.2025
Ispis / PDF

1. Svrha i opseg

Ova Politika sigurnosti utvrđuje pravila zaštite informacija i podataka koji se obrađuju u okviru aplikacije Safety Software koja se pruža u modelu Software as a Service (SaaS).
Dokument se odnosi na sigurnost korisnika koji koriste aplikaciju dostupnu na adresi https://safetysoftware.eu i predstavlja dopunu Pravilnika te Politike privatnosti.

Politika ima informativni karakter i opisuje standarde koje primjenjuje Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Kraków, Poljska, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (dalje: „Administrator”).


2. Model odgovornosti

Sustav djeluje u modelu podijeljene odgovornosti:

  • Administrator (Safety Software): odgovoran je za sigurnost koda aplikacije, postupaka prijave, autorizacije, sesija, zaštitu podataka na aplikacijskoj razini te za odgovor na incidente.

  • Pružatelj infrastrukture (data centar certificiran prema ISO/IEC 27001): odgovoran je za fizičku sigurnost poslužitelja, napajanje, mrežu, sigurnosne kopije i zaštitu infrastrukture.

  • Klijent: odgovoran je za sigurnost svojih uređaja, lozinki, identiteta korisnika i upravljanje pristupima unutar svojeg tima.



3. Pravila sigurnosti aplikacije

  1. Prijenos podataka odvija se isključivo uz uporabu TLS enkripcije (HTTPS).

  2. Korisničke sesije zaštićene su oznakama Secure, HttpOnly, SameSite=Lax te prefiksom __Host-; nakon prijave provodi se rotacija identifikatora sesije.

  3. Zaštita od CSRF-a: svaki obrazac sadrži jedinstveni CSRF token koji se provjerava na strani poslužitelja.

  4. Zaštita od brute-force napada: prijava je obuhvaćena ograničenjima broja pokušaja i verifikacijskim odgodama.

  5. HTTP sigurnosna zaglavlja:

    • Content-Security-Policy (CSP s nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (ograničenje API-ja preglednika).

  6. Separacija podataka: višetenantska arhitektura (tenant isolation) onemogućuje pristup podacima između klijenata.

  7. Enkripcija podataka: svi podaci u prijenosu su šifrirani, a autentifikacijski podaci (lozinke) pohranjuju se uz uporabu kriptografskih hash funkcija (bcrypt).

  8. Autorizacija: svaka operacija u aplikaciji odvija se u kontekstu korisnika i organizacije; neautorizirani pristup je blokiran.

  9. Zaštita CMS sadržaja: WYSIWYG uređivač radi isključivo u administratorskom panelu; sadržaji se sanitiziraju na strani poslužitelja i obuhvaćeni su CSP-om s nonce.



4. Sigurnosne kopije i kontinuitet poslovanja

  1. Sigurnosne kopije podataka izrađuju se na razini infrastrukture u skladu s politikom pružatelja hostinga (certifikacija ISO/IEC 27001).

  2. Administrator provodi periodična testiranja vraćanja podataka (restore).

  3. Vrijeme obnove usluga (RTO) i gubitka podataka (RPO) određuju se interno i podliježu pregledu najmanje jednom godišnje.



5. Nadzor i logovi

  1. Bilježe se kritični događaji: prijave, neuspjeli pokušaji pristupa, izvozi podataka, generiranje izvješća, promjene ovlasti.

  2. Logovi se pohranjuju na siguran način, uz ograničen pristup ovlaštenim administratorima.

  3. Logovi ne sadrže potpune osobne podatke niti sadržaj obrazaca.



6. Upravljanje ranjivostima

  1. Ažuriranja aplikacije i ovisnosti uvode se redovito, s prioritetom za sigurnosne zakrpe.

  2. Prije objave svake nove verzije aplikacije provode se regresijski testovi te provjera open source komponenti.

  3. Otkrivene ranjivosti klasificiraju se prema riziku i uklanjaju bez odgode.



7. Pružatelji usluga i integracije

  1. Stripe Payments Europe Ltd te PayPro S.A. (Przelewy24) obrađuju plaćanja – podatke o karticama ne obrađuje Safety Software.

  2. Google Analytics / Search Console koriste se isključivo u statističke i anonimne svrhe.

  3. Fontovi i frontend komponente (Bootstrap, ikone, fontovi) učitavaju se lokalno iz direktorija vendor bez vanjskih veza.

  4. Računovodstvene usluge pruža pouzdani podizvođač na temelju ugovora o povjeravanju obrade podataka.



8. Prijavljivanje incidenata

Prijave vezane uz sigurnost aplikacije ili sumnju na incidente treba slati na adresu:
office@safetysoftware.eu (predmet: SECURITY).
Prijave se analiziraju bez odgode prema internom postupku trijaže.



9. Usklađenost i jurisdikcija

  • Aplikacija i sigurnosni procesi usklađeni su sa zahtjevima GDPR-a te načelima koja proizlaze iz ISO/IEC 27001 u organizacijskom području.

  • Mjerodavno pravo je poljsko pravo, a nadležni sud – opći sudovi u Poljskoj.

  • U slučaju neslaganja između jezičnih verzija, mjerodavna je poljska verzija.



10. Stupanje na snagu

Ova Politika sigurnosti primjenjuje se od 1. studenoga 2025.
Važeća verzija dokumenta dostupna je na adresi https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Voditelj obrade i vlasnik sustava:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Kraków, Poljska
E-mail: office@safetysoftware.eu
Usluga: https://safetysoftware.eu