A Safety Software (SaaS) alkalmazásbiztonsági szabályzata

Safety Software (SaaS) Alkalmazásbiztonsági Szabályzat

ID: SE-2026-V1 Updated: 17.12.2025
Nyomtatás / PDF

1. Cél és hatály

Jelen Biztonsági Szabályzat meghatározza az alkalmazás keretében kezelt információk és adatok védelmének elveit Safety Software, amely Software as a Service (SaaS) modellben kerül biztosításra.
A dokumentum a https://safetysoftware.eu címen elérhető alkalmazást használó felhasználók biztonságára vonatkozik, és a Szabályzat, valamint az Adatvédelmi Szabályzat kiegészítését képezi.

A szabályzat tájékoztató jellegű, és a Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Kraków, Lengyelország, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (a továbbiakban: „Adatkezelő”) által alkalmazott standardokat írja le.


2. Felelősségi modell

A rendszer megosztott felelősség modellben működik:

  • Adatkezelő (Safety Software): felel az alkalmazáskód, a bejelentkezési folyamatok, az engedélyezés, a munkamenetek, az alkalmazási rétegben történő adatvédelem biztonságáért, valamint az incidensekre való reagálásért.

  • Infrastruktúra-szolgáltató (ISO/IEC 27001 tanúsítvánnyal rendelkező adatközpont): felel a szerverek fizikai biztonságáért, a tápellátásért, a hálózatért, a biztonsági mentésekért és az infrastruktúra védelméért.

  • Ügyfél: felel saját eszközei, jelszavai, a felhasználók személyazonosságai biztonságáért és a csapatán belüli hozzáférések kezeléséért.



3. Az alkalmazás biztonsági elvei

  1. Adatátvitel kizárólag TLS titkosítás (HTTPS) használatával történik.

  2. Felhasználói munkamenetek a Secure, HttpOnly, SameSite=Lax flagekkel, valamint a __Host- prefixszel vannak védve; bejelentkezés után a munkamenet-azonosító rotációja történik.

  3. CSRF-védelem: minden űrlap egyedi CSRF tokent tartalmaz, amelyet a szerveroldal ellenőriz.

  4. Brute-force elleni védelem: a bejelentkezést próbálkozási limitek és ellenőrzési késleltetések védik.

  5. HTTP biztonsági fejlécek:

    • Content-Security-Policy (nonce-szal ellátott CSP),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (a böngésző API korlátozása).

  6. Adatszeparáció: a több-bérlős architektúra (tenant isolation) megakadályozza az ügyfelek közötti adathozzáférést.

  7. Adattitkosítás: az átvitelben lévő összes adat titkosított, a hitelesítési adatok (jelszavak) pedig kriptográfiai hash függvények (bcrypt) alkalmazásával kerülnek tárolásra.

  8. Engedélyezés: az alkalmazásban minden művelet a felhasználó és a szervezet kontextusában történik; a jogosulatlan hozzáférés blokkolásra kerül.

  9. CMS-tartalom védelme: a WYSIWYG szerkesztő kizárólag az adminisztrációs panelen működik; a tartalom szerveroldalon sanitizálásra kerül, és nonce-szal ellátott CSP hatálya alá esik.



4. Biztonsági mentések és üzletmenet-folytonosság

  1. Az adatok biztonsági mentései infrastruktúra szinten készülnek a tárhelyszolgáltató szabályzata szerint (ISO/IEC 27001 tanúsítás).

  2. Az Adatkezelő időszakos adat-visszaállítási (restore) teszteket végez.

  3. A szolgáltatás helyreállítási ideje (RTO) és az adatvesztési időablak (RPO) belsőleg kerül meghatározásra, és legalább évente egyszer felülvizsgálatra kerül.



5. Monitorozás és naplók

  1. Kritikus események kerülnek naplózásra: bejelentkezések, sikertelen hozzáférési kísérletek, adatexportok, riportgenerálás, jogosultságváltozások.

  2. A naplók biztonságos módon kerülnek tárolásra, az arra jogosult adminisztrátorok számára korlátozott hozzáféréssel.

  3. A naplók nem tartalmaznak teljes személyes adatokat és nem tartalmazzák az űrlapok tartalmát.



6. Sérülékenységkezelés

  1. Az alkalmazás és a függőségek frissítései rendszeresen kerülnek bevezetésre, a biztonsági javítások prioritásával.

  2. Az alkalmazás minden új verziójának publikálása előtt regressziós tesztek, valamint az open source komponensek ellenőrzése kerül elvégzésre.

  3. A feltárt sérülékenységek kockázat szerint kerülnek osztályozásra, és haladéktalanul kijavításra kerülnek.



7. Szolgáltatók és integrációk

  1. Stripe Payments Europe Ltd és PayPro S.A. (Przelewy24) kezeli a fizetéseket – a kártyaadatokat a Safety Software nem dolgozza fel.

  2. Google Analytics / Search Console kizárólag statisztikai és anonim célokra kerül felhasználásra.

  3. Betűkészletek és frontend komponensek (Bootstrap, ikonok, fontok) helyben, a vendor könyvtárból kerülnek betöltésre, külső kapcsolatok nélkül.

  4. Könyvelési szolgáltatások megbízható alvállalkozó által kerülnek ellátásra adatfeldolgozási megállapodás alapján.



8. Incidensek bejelentése

Az alkalmazás biztonságával kapcsolatos bejelentéseket vagy incidensgyanút az alábbi címre kell küldeni:
office@safetysoftware.eu (tárgy: SECURITY).
A bejelentések haladéktalanul elemzésre kerülnek a belső triage eljárás szerint.



9. Megfelelőség és joghatóság

  • Az alkalmazás és a biztonsági folyamatok megfelelnek a GDPR követelményeinek, valamint az ISO/IEC 27001-ből eredő elveknek szervezeti vonatkozásban.

  • Az alkalmazandó jog a lengyel jog, az illetékes bíróság pedig a lengyelországi rendes bíróságok.

  • Nyelvi változatok közötti eltérés esetén a lengyel nyelvű változat az irányadó.



10. Hatálybalépés

Jelen Biztonsági Szabályzat hatályos 2025. november 1-jétől
A dokumentum aktuális változata az alábbi címen érhető el: https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Adatkezelő és a rendszer tulajdonosa:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Krakkó, Lengyelország
E-mail: office@safetysoftware.eu
Szolgáltatás: https://safetysoftware.eu