Beveiligingsbeleid van de Safety Software-applicatie (SaaS)

Beveiligingsbeleid van de Safety Software (SaaS)-applicatie

ID: SE-2026-V1 Updated: 17.12.2025
Afdrukken / PDF

1. Doel en toepassingsgebied

Dit Beveiligingsbeleid bepaalt de regels voor de bescherming van informatie en gegevens die worden verwerkt binnen de applicatie Safety Software die beschikbaar wordt gesteld in het model Software as a Service (SaaS).
Het document heeft betrekking op de veiligheid van gebruikers die gebruikmaken van de applicatie die beschikbaar is op het adres https://safetysoftware.eu en vormt een aanvulling op de Algemene Voorwaarden en het Privacybeleid.

Het beleid heeft een informatief karakter en beschrijft de standaarden die worden toegepast door Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Kraków, Polen, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (hierna: „Beheerder”).


2. Verantwoordelijkheidsmodel

Het systeem werkt volgens een model van gedeelde verantwoordelijkheid:

  • Beheerder (Safety Software): is verantwoordelijk voor de beveiliging van de applicatiecode, inlogprocessen, autorisatie, sessies, gegevensbescherming op applicatielaag en voor incidentrespons.

  • Infrastructuurleverancier (datacenter gecertificeerd volgens ISO/IEC 27001): is verantwoordelijk voor de fysieke beveiliging van servers, stroomvoorziening, netwerk, back-ups en bescherming van de infrastructuur.

  • Klant: is verantwoordelijk voor de beveiliging van zijn apparaten, wachtwoorden, gebruikersidentiteiten en het beheer van toegangen binnen zijn team.



3. Beveiligingsprincipes van de applicatie

  1. Gegevensoverdracht vindt uitsluitend plaats met gebruik van TLS-versleuteling (HTTPS).

  2. Gebruikerssessies zijn beveiligd met de flags Secure, HttpOnly, SameSite=Lax en de prefix __Host-; na het inloggen vindt rotatie van de sessie-ID plaats.

  3. CSRF-bescherming: elk formulier bevat een unieke CSRF-token die server-side wordt geverifieerd.

  4. Bescherming tegen brute-force: inloggen is onderworpen aan limieten op het aantal pogingen en verificatievertragingen.

  5. HTTP-beveiligingsheaders:

    • Content-Security-Policy (CSP met nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (beperking van browser-API's).

  6. Gegevensscheiding: multi-tenant-architectuur (tenant isolation) maakt toegang tot gegevens tussen klanten onmogelijk.

  7. Gegevensversleuteling: alle gegevens tijdens transmissie zijn versleuteld en authenticatiegegevens (wachtwoorden) worden opgeslagen met behulp van cryptografische hashfuncties (bcrypt).

  8. Autorisatie: elke handeling in de applicatie vindt plaats in de context van de gebruiker en de organisatie; ongeautoriseerde toegang wordt geblokkeerd.

  9. Bescherming van CMS-inhoud: de WYSIWYG-editor werkt uitsluitend in het beheerpaneel; inhoud wordt server-side gesaniteerd en valt onder CSP met nonce.



4. Back-ups en bedrijfscontinuïteit

  1. Back-ups van gegevens worden op infrastructuurniveau uitgevoerd overeenkomstig het beleid van de hostingprovider (ISO/IEC 27001-certificering).

  2. De Beheerder voert periodieke tests uit voor gegevensherstel (restore).

  3. Hersteltijd van diensten (RTO) en gegevensverlies (RPO) worden intern vastgesteld en ten minste eenmaal per jaar herzien.



5. Monitoring en logs

  1. Kritieke gebeurtenissen worden geregistreerd: logins, mislukte toegangspogingen, gegevensexports, het genereren van rapporten, wijzigingen van rechten.

  2. Logs worden op een veilige manier opgeslagen, met beperkte toegang voor geautoriseerde beheerders.

  3. Logs bevatten geen volledige persoonsgegevens en geen inhoud van formulieren.



6. Kwetsbaarhedenbeheer

  1. Updates van de applicatie en afhankelijkheden worden regelmatig uitgerold, met prioriteit voor beveiligingspatches.

  2. Vóór publicatie van elke nieuwe versie van de applicatie worden regressietests uitgevoerd en vindt controle van open-sourcecomponenten plaats.

  3. Gedetecteerde kwetsbaarheden worden geclassificeerd op basis van risico en onverwijld verholpen.



7. Leveranciers en integraties

  1. Stripe Payments Europe Ltd en PayPro S.A. (Przelewy24) verwerken betalingen – kaartgegevens worden niet verwerkt door Safety Software.

  2. Google Analytics / Search Console worden uitsluitend gebruikt voor statistische en anonieme doeleinden.

  3. Lettertypen en frontendcomponenten (Bootstrap, pictogrammen, fonts) worden lokaal geladen uit de map vendor zonder externe verbindingen.

  4. Boekhoudkundige diensten worden uitgevoerd door een vertrouwde onderaannemer op basis van een verwerkersovereenkomst.



8. Incidentmelding

Meldingen met betrekking tot de beveiliging van de applicatie of vermoedens van incidenten dienen te worden gericht aan:
office@safetysoftware.eu (onderwerp: SECURITY).
Meldingen worden onverwijld geanalyseerd volgens de interne triageprocedure.



9. Naleving en jurisdictie

  • De applicatie en de beveiligingsprocessen zijn in overeenstemming met de vereisten van de AVG en met de principes die voortvloeien uit ISO/IEC 27001 op organisatorisch gebied.

  • Het toepasselijke recht is het Poolse recht en de bevoegde rechter – de gewone rechtbanken in Polen.

  • In geval van verschillen tussen de taalversies, is de Poolse versie doorslaggevend.



10. Inwerkingtreding

Dit Beveiligingsbeleid is van kracht vanaf 1 november 2025
De actuele versie van het document is beschikbaar op https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Verwerkingsverantwoordelijke en eigenaar van het systeem:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Kraków, Polen
E-mail: office@safetysoftware.eu
Service: https://safetysoftware.eu