Politica di Sicurezza dell'Applicazione Safety Software (SaaS)

Politica di Sicurezza dell'Applicazione Safety Software (SaaS)

ID: SE-2026-V1 Updated: 17.12.2025
Stampa / PDF

1. Scopo e ambito

La presente Politica di Sicurezza definisce i principi di protezione delle informazioni e dei dati trattati nell’ambito dell’applicazione Safety Software fornita nel modello Software as a Service (SaaS).
Il documento riguarda la sicurezza degli utenti che utilizzano l’applicazione disponibile all’indirizzo https://safetysoftware.eu e costituisce un’integrazione del Regolamento e della Politica sulla Privacy.

La Politica ha carattere informativo e descrive gli standard applicati da Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Cracovia, Polonia, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (di seguito: “Amministratore”).


2. Modello di responsabilità

Il sistema opera secondo un modello di responsabilità condivisa:

  • Amministratore (Safety Software): è responsabile della sicurezza del codice dell’applicazione, dei processi di accesso, autorizzazione, sessione, della protezione dei dati a livello applicativo e della risposta agli incidenti.

  • Fornitore dell’infrastruttura (data center certificato ISO/IEC 27001): è responsabile della sicurezza fisica dei server, dell’alimentazione, della rete, dei backup e della protezione dell’infrastruttura.

  • Cliente: è responsabile della sicurezza dei propri dispositivi, delle password, delle identità degli utenti e della gestione degli accessi all’interno del proprio team.



3. Principi di sicurezza dell’applicazione

  1. La trasmissione dei dati avviene esclusivamente mediante crittografia TLS (HTTPS).

  2. Le sessioni utente sono protette dai flag Secure, HttpOnly, SameSite=Lax e dal prefisso __Host-; dopo l’accesso avviene la rotazione dell’identificatore di sessione.

  3. Protezione CSRF: ogni modulo contiene un token CSRF univoco verificato lato server.

  4. Protezione contro brute-force: l’accesso è soggetto a limiti di tentativi e ritardi di verifica.

  5. Header di sicurezza HTTP:

    • Content-Security-Policy (CSP con nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (limitazione delle API del browser).

  6. Separazione dei dati: l’architettura multi-tenant (tenant isolation) impedisce l’accesso ai dati tra clienti.

  7. Crittografia dei dati: tutti i dati in transito sono crittografati e le credenziali di autenticazione (password) sono conservate utilizzando funzioni hash crittografiche (bcrypt).

  8. Autorizzazione: ogni operazione nell’applicazione avviene nel contesto dell’utente e dell’organizzazione; l’accesso non autorizzato viene bloccato.

  9. Protezione dei contenuti CMS: l’editor WYSIWYG funziona esclusivamente nel pannello amministrativo; i contenuti vengono sanitizzati lato server e sono soggetti a CSP con nonce.



4. Backup e continuità operativa

  1. I backup dei dati vengono eseguiti a livello di infrastruttura in conformità alla politica del fornitore di hosting (certificazione ISO/IEC 27001).

  2. L’Amministratore esegue test periodici di ripristino dei dati (restore).

  3. I tempi di ripristino dei servizi (RTO) e di perdita dei dati (RPO) sono definiti internamente e sono soggetti a revisione almeno una volta all’anno.



5. Monitoraggio e log

  1. Vengono registrati eventi critici: accessi, tentativi di accesso non riusciti, esportazioni di dati, generazione di report, modifiche delle autorizzazioni.

  2. I log sono conservati in modo sicuro, con accesso limitato agli amministratori autorizzati.

  3. I log non contengono dati personali completi né il contenuto dei moduli.



6. Gestione delle vulnerabilità

  1. Gli aggiornamenti dell’applicazione e delle dipendenze vengono implementati regolarmente, con priorità per le patch di sicurezza.

  2. Prima della pubblicazione di ogni nuova versione dell’applicazione vengono eseguiti test di regressione e la verifica dei componenti open source.

  3. Le vulnerabilità rilevate vengono classificate in base al rischio ed eliminate senza indugio.



7. Fornitori e integrazioni

  1. Stripe Payments Europe Ltd e PayPro S.A. (Przelewy24) gestiscono i pagamenti – i dati delle carte non vengono trattati da Safety Software.

  2. Google Analytics / Search Console sono utilizzati esclusivamente a fini statistici e anonimi.

  3. Font e componenti frontend (Bootstrap, icone, font) vengono caricati localmente dalla cartella vendor senza connessioni esterne.

  4. Servizi contabili sono svolti da un subappaltatore di fiducia sulla base di un accordo di affidamento del trattamento dei dati.



8. Segnalazione degli incidenti

Le segnalazioni relative alla sicurezza dell’applicazione o al sospetto di incidenti devono essere inviate all’indirizzo:
office@safetysoftware.eu (oggetto: SECURITY).
Le segnalazioni vengono analizzate senza indugio secondo la procedura interna di triage.



9. Conformità e giurisdizione

  • L’applicazione e i processi di sicurezza sono conformi ai requisiti del GDPR e ai principi derivanti da ISO/IEC 27001 nell’ambito organizzativo.

  • La legge applicabile è la legge polacca e il foro competente sono i tribunali ordinari in Polonia.

  • In caso di discrepanze tra le versioni linguistiche, fa fede la versione polacca.



10. Entrata in vigore

La presente Politica di Sicurezza è in vigore a partire dal 1 novembre 2025
La versione aggiornata del documento è disponibile all’indirizzo https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Titolare del trattamento dei dati e proprietario del sistema:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Cracovia, Polonia
E-mail: office@safetysoftware.eu
Servizio: https://safetysoftware.eu