Programinės įrangos „Safety Software“ (SaaS) taikomųjų programų saugumo politika

Aplikacijos Safety Software (SaaS) saugumo politika

ID: SE-2026-V1 Updated: 17.12.2025
Spausdinti / PDF

1. Tikslas ir taikymo sritis

Ši Saugumo politika nustato informacijos ir duomenų, tvarkomų programėlėje Safety Software, teikiamoje Software as a Service (SaaS) modeliu, apsaugos taisykles.
Dokumentas taikomas naudotojų, besinaudojančių programėle, pasiekiama adresu https://safetysoftware.eu, saugumui ir yra Taisyklių bei Privatumo politikos papildymas.

Politika yra informacinio pobūdžio ir aprašo standartus, taikomus Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Krokuva, Lenkija, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (toliau: „Administratorius”).


2. Atsakomybės modelis

Sistema veikia dalijamos atsakomybės modeliu:

  • Administratorius (Safety Software): atsako už programėlės kodo, prisijungimo procesų, autorizavimo, sesijų, duomenų apsaugos programos lygmenyje saugumą ir reagavimą į incidentus.

  • Infrastruktūros tiekėjas (ISO/IEC 27001 sertifikuotas duomenų centras): atsako už fizinį serverių saugumą, maitinimą, tinklą, atsargines kopijas ir infrastruktūros apsaugą.

  • Klientas: atsako už savo įrenginių, slaptažodžių, naudotojų tapatybių saugumą ir prieigų valdymą savo komandoje.



3. Programėlės saugumo principai

  1. Duomenų perdavimas vyksta tik naudojant TLS (HTTPS) šifravimą.

  2. Naudotojų sesijos apsaugotos žymomis Secure, HttpOnly, SameSite=Lax ir prefiksu __Host-; po prisijungimo vykdoma sesijos identifikatoriaus rotacija.

  3. Apsauga nuo CSRF: kiekvienoje formoje yra unikalus CSRF žetonas, tikrinamas serverio pusėje.

  4. Apsauga nuo brute-force: prisijungimui taikomi bandymų limitai ir verifikavimo vėlinimai.

  5. HTTP saugumo antraštės:

    • Content-Security-Policy (CSP su nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (naršyklės API apribojimas).

  6. Duomenų atskyrimas: daugianuominė architektūra (tenant isolation) neleidžia klientams pasiekti vieni kitų duomenų.

  7. Duomenų šifravimas: visi perduodami duomenys yra šifruojami, o autentifikavimo duomenys (slaptažodžiai) saugomi naudojant kriptografines maišos funkcijas (bcrypt).

  8. Autorizacija: kiekviena operacija programėlėje vykdoma naudotojo ir organizacijos kontekste; neautorizuota prieiga blokuojama.

  9. CMS turinio apsauga: WYSIWYG redaktorius veikia tik administravimo skydelyje; turinys sanitizuojamas serverio pusėje ir jam taikomas CSP su nonce.



4. Atsarginės kopijos ir veiklos tęstinumas

  1. Duomenų atsarginės kopijos daromos infrastruktūros lygmenyje pagal hostingo tiekėjo politiką (ISO/IEC 27001 sertifikavimas).

  2. Administratorius periodiškai atlieka duomenų atkūrimo (restore) testus.

  3. Paslaugų atkūrimo laikas (RTO) ir duomenų praradimo (RPO) rodikliai nustatomi viduje ir peržiūrimi bent kartą per metus.



5. Stebėsena ir žurnalai

  1. Registruojami kritiniai įvykiai: prisijungimai, nesėkmingi prieigos bandymai, duomenų eksportai, ataskaitų generavimas, teisių keitimai.

  2. Žurnalai saugomi saugiu būdu, ribojant prieigą įgaliotiems administratoriams.

  3. Žurnaluose nėra pilnų asmens duomenų ar formų turinio.



6. Pažeidžiamumų valdymas

  1. Programėlės ir priklausomybių atnaujinimai diegiami reguliariai, prioritetą teikiant saugumo pataisoms.

  2. Prieš paskelbiant kiekvieną naują programėlės versiją atliekami regresiniai testai ir open source komponentų kontrolė.

  3. Nustatyti pažeidžiamumai klasifikuojami pagal riziką ir šalinami nedelsiant.



7. Tiekėjai ir integracijos

  1. Stripe Payments Europe Ltd ir PayPro S.A. (Przelewy24) aptarnauja mokėjimus – kortelių duomenys Safety Software nėra tvarkomi.

  2. Google Analytics / Search Console naudojami išimtinai statistiniais ir anoniminiais tikslais.

  3. Šriftai ir frontend komponentai (Bootstrap, piktogramos, šriftai) įkeliami lokaliai iš katalogo vendor be išorinių jungčių.

  4. Apskaitos paslaugos teikiamos patikimo subrangovo pagal duomenų tvarkymo pavedimo sutartį.



8. Incidentų pranešimas

Pranešimus, susijusius su programėlės saugumu arba įtariamais incidentais, prašome siųsti adresu:
office@safetysoftware.eu (tema: SECURITY).
Pranešimai nedelsiant analizuojami pagal vidinę triage procedūrą.



9. Atitiktis ir jurisdikcija

  • Programa ir saugos procesai atitinka BDAR reikalavimus bei organizacinius principus, kylančius iš ISO/IEC 27001.

  • Taikytina teisė yra Lenkijos teisė, o kompetentingas teismas – bendrosios kompetencijos teismai Lenkijoje.

  • Esant neatitikimų tarp kalbinių versijų, lemiama yra lenkų kalbos versija.



10. Įsigaliojimas

Ši Saugumo politika galioja nuo 2025 m. lapkričio 1 d.
Aktuali dokumento versija prieinama adresu https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Duomenų administratorius ir sistemos savininkas:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Krokuva, Lenkija
El. paštas: office@safetysoftware.eu
Paslauga: https://safetysoftware.eu