Aplikācijas drošības politika Safety Software (SaaS)

Aplikācijas drošības politika Safety Software (SaaS)

ID: SE-2026-V1 Updated: 17.12.2025
Drukāt / PDF

1. Mērķis un darbības joma

Šī Drošības politika nosaka informācijas un datu aizsardzības noteikumus, kas tiek apstrādāti lietotnē Safety Software, kas tiek nodrošināta Software as a Service (SaaS) modelī.
Dokuments attiecas uz to lietotāju drošību, kuri izmanto lietotni, kas pieejama vietnē https://safetysoftware.eu, un tas ir Reglamenta un Privātuma politikas papildinājums.

Politikai ir informatīvs raksturs un tā apraksta standartus, ko piemēro Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Kraków, Polija, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (turpmāk: “Administrators”).


2. Atbildības modelis

Sistēma darbojas kopīgas atbildības modelī:

  • Administrators (Safety Software): atbild par lietotnes koda, pieteikšanās procesu, autorizācijas, sesiju drošību, datu aizsardzību lietojumprogrammas slānī, kā arī par reaģēšanu uz incidentiem.

  • Infrastruktūras piegādātājs (datu centrs ar ISO/IEC 27001 sertifikāciju): atbild par serveru fizisko drošību, elektroapgādi, tīklu, rezerves kopijām un infrastruktūras aizsardzību.

  • Klients: atbild par savu ierīču, paroļu, lietotāju identitāšu drošību un piekļuves pārvaldību savā komandā.



3. Lietotnes drošības principi

  1. Datu pārraide notiek tikai, izmantojot TLS šifrēšanu (HTTPS).

  2. Lietotāju sesijas ir aizsargātas ar karodziņiem Secure, HttpOnly, SameSite=Lax un prefiksu __Host-; pēc pieteikšanās tiek veikta sesijas identifikatora rotācija.

  3. CSRF aizsardzība: katra veidlapa satur unikālu CSRF marķieri, kas tiek pārbaudīts servera pusē.

  4. Aizsardzība pret brute-force: pieteikšanās ir pakļauta mēģinājumu limitiem un verifikācijas aizturēm.

  5. HTTP drošības galvenes:

    • Content-Security-Policy (CSP ar nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (pārlūkprogrammas API ierobežošana).

  6. Datu separācija: daudznomnieku arhitektūra (tenant isolation) neļauj piekļūt datiem starp klientiem.

  7. Datu šifrēšana: visi dati pārraidē tiek šifrēti, bet autentifikācijas dati (paroles) tiek glabāti, izmantojot kriptogrāfiskās jaucējfunkcijas (bcrypt).

  8. Autorizācija: katra darbība lietotnē tiek veikta lietotāja un organizācijas kontekstā; neatļauta piekļuve tiek bloķēta.

  9. CMS satura aizsardzība: WYSIWYG redaktors darbojas tikai administrēšanas panelī; saturs tiek sanitizēts servera pusē un ir pakļauts CSP ar nonce.



4. Rezerves kopijas un darbības nepārtrauktība

  1. Datu rezerves kopijas tiek veiktas infrastruktūras līmenī saskaņā ar hostinga piegādātāja politiku (ISO/IEC 27001 sertifikācija).

  2. Administrators veic periodiskus datu atjaunošanas (restore) testus.

  3. Pakalpojumu atjaunošanas laiks (RTO) un datu zuduma apjoms (RPO) tiek noteikti iekšēji un tiek pārskatīti vismaz reizi gadā.



5. Uzraudzība un žurnāli

  1. Tiek reģistrēti kritiskie notikumi: pieteikšanās, neveiksmīgi piekļuves mēģinājumi, datu eksporti, atskaišu ģenerēšana, tiesību izmaiņas.

  2. Žurnāli tiek glabāti drošā veidā, ar ierobežotu piekļuvi pilnvarotiem administratoriem.

  3. Žurnāli nesatur pilnus personas datus vai veidlapu saturu.



6. Ievainojamību pārvaldība

  1. Lietotnes un atkarību atjauninājumi tiek ieviesti regulāri, piešķirot prioritāti drošības labojumiem.

  2. Pirms katras jaunas lietotnes versijas publicēšanas tiek veikti regresijas testi un open source komponentu pārbaude.

  3. Konstatētās ievainojamības tiek klasificētas pēc riska un nekavējoties novērstas.



7. Piegādātāji un integrācijas

  1. Stripe Payments Europe Ltd un PayPro S.A. (Przelewy24) apstrādā maksājumus – karšu dati netiek apstrādāti Safety Software.

  2. Google Analytics / Search Console tiek izmantoti tikai statistikas un anonīmiem mērķiem.

  3. Fonti un frontend komponenti (Bootstrap, ikonas, fonti) tiek ielādēti lokāli no kataloga vendor bez ārējiem savienojumiem.

  4. Grāmatvedības pakalpojumi tiek nodrošināti, izmantojot uzticamu apakšuzņēmēju, pamatojoties uz datu apstrādes uzticēšanas līgumu.



8. Incidentu ziņošana

Paziņojumi par lietotnes drošību vai aizdomām par incidentiem jānosūta uz adresi:
office@safetysoftware.eu (temats: SECURITY).
Paziņojumi tiek analizēti nekavējoties saskaņā ar iekšējo triage procedūru.



9. Atbilstība un jurisdikcija

  • Lietotne un drošības procesi atbilst VDAR prasībām, kā arī organizatoriskajā jomā piemērojamajiem principiem, kas izriet no ISO/IEC 27001.

  • Piemērojamās tiesības ir Polijas tiesības, bet kompetentā tiesa – vispārējās jurisdikcijas tiesas Polijā.

  • Neatbilstību gadījumā starp valodu versijām noteicošā ir versija poļu valodā.



10. Stāšanās spēkā

Šī Drošības politika ir spēkā no 2025. gada 1. novembra
Dokumenta aktuālā versija ir pieejama adresē https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Datu pārzinis un sistēmas īpašnieks:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Kraków, Polija
E-pasts: office@safetysoftware.eu
Tīmekļa vietne: https://safetysoftware.eu