Polityka Bezpieczeństwa Aplikacji Safety Software (SaaS)

Polityka Bezpieczeństwa Aplikacji Safety Software (SaaS)

ID: SE-2026-V1 Updated: 17.12.2025
Drukuj / PDF

1. Cel i zakres

Niniejsza Polityka Bezpieczeństwa określa zasady ochrony informacji i danych przetwarzanych w ramach aplikacji Safety Software udostępnianej w modelu Software as a Service (SaaS).
Dokument dotyczy bezpieczeństwa użytkowników korzystających z aplikacji dostępnej pod adresem https://safetysoftware.eu i stanowi uzupełnienie Regulaminu oraz Polityki Prywatności.

Polityka ma charakter informacyjny i opisuje standardy stosowane przez Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Kraków, Polska, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (dalej: „Administrator”).


2. Model odpowiedzialności

System działa w modelu współdzielonej odpowiedzialności:

  • Administrator (Safety Software): odpowiada za bezpieczeństwo kodu aplikacji, procesów logowania, autoryzacji, sesji, ochronę danych w warstwie aplikacyjnej oraz za reagowanie na incydenty.

  • Dostawca infrastruktury (centrum danych certyfikowane ISO/IEC 27001): odpowiada za bezpieczeństwo fizyczne serwerów, zasilanie, sieć, kopie zapasowe i ochronę infrastruktury.

  • Klient: odpowiada za bezpieczeństwo swoich urządzeń, haseł, tożsamości użytkowników i zarządzanie dostępami w swoim zespole.



3. Zasady bezpieczeństwa aplikacji

  1. Transmisja danych odbywa się wyłącznie z użyciem szyfrowania TLS (HTTPS).

  2. Sesje użytkowników zabezpieczone są flagami Secure, HttpOnly, SameSite=Lax oraz prefiksem __Host-; po logowaniu następuje rotacja identyfikatora sesji.

  3. Ochrona CSRF: każdy formularz zawiera unikalny token CSRF weryfikowany po stronie serwera.

  4. Ochrona przed brute-force: logowanie objęte jest limitami prób i opóźnieniami weryfikacyjnymi.

  5. Nagłówki bezpieczeństwa HTTP:

    • Content-Security-Policy (CSP z nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (ograniczenie API przeglądarki).

  6. Separacja danych: architektura wielodzierżawowa (tenant isolation) uniemożliwia dostęp do danych między klientami.

  7. Szyfrowanie danych: wszystkie dane w transmisji są szyfrowane, a dane uwierzytelniające (hasła) przechowywane są z użyciem kryptograficznych funkcji skrótu (bcrypt).

  8. Autoryzacja: każda operacja w aplikacji odbywa się w kontekście użytkownika i organizacji; nieautoryzowany dostęp jest blokowany.

  9. Ochrona treści CMS: edytor WYSIWYG działa wyłącznie w panelu administracyjnym; treści są sanitizowane po stronie serwera i objęte CSP z nonce.



4. Kopie zapasowe i ciągłość działania

  1. Kopie zapasowe danych są wykonywane na poziomie infrastruktury zgodnie z polityką dostawcy hostingu (certyfikacja ISO/IEC 27001).

  2. Administrator przeprowadza okresowe testy odtwarzania danych (restore).

  3. Czas przywracania usług (RTO) i utraty danych (RPO) określane są wewnętrznie i podlegają przeglądowi co najmniej raz w roku.



5. Monitorowanie i logi

  1. Rejestrowane są zdarzenia krytyczne: logowania, nieudane próby dostępu, eksporty danych, generowanie raportów, zmiany uprawnień.

  2. Logi przechowywane są w bezpieczny sposób, z ograniczonym dostępem dla upoważnionych administratorów.

  3. Logi nie zawierają pełnych danych osobowych ani treści formularzy.



6. Zarządzanie podatnościami

  1. Aktualizacje aplikacji i zależności są wdrażane regularnie z priorytetem dla poprawek bezpieczeństwa.

  2. Przed publikacją każdej nowej wersji aplikacji wykonywane są testy regresyjne oraz kontrola składników open source.

  3. Wykryte podatności są klasyfikowane według ryzyka i usuwane niezwłocznie.



7. Dostawcy i integracje

  1. Stripe Payments Europe Ltd oraz PayPro S.A. (Przelewy24) obsługują płatności – dane kart nie są przetwarzane przez Safety Software.

  2. Google Analytics / Search Console wykorzystywane są wyłącznie w celach statystycznych i anonimowych.

  3. Czcionki i komponenty frontendowe (Bootstrap, ikony, fonty) ładowane są lokalnie z katalogu vendor bez połączeń zewnętrznych.

  4. Usługi księgowe realizowane są przez zaufanego podwykonawcę na podstawie umowy powierzenia danych.



8. Zgłaszanie incydentów

Zgłoszenia dotyczące bezpieczeństwa aplikacji lub podejrzenia incydentów należy kierować na adres:
office@safetysoftware.eu (temat: SECURITY).
Zgłoszenia analizowane są niezwłocznie według wewnętrznej procedury triage.



9. Zgodność i jurysdykcja

  • Aplikacja i procesy bezpieczeństwa są zgodne z wymaganiami RODO oraz zasadami wynikającymi z ISO/IEC 27001 w zakresie organizacyjnym.

  • Prawem właściwym jest prawo polskie, a sądem właściwym – sądy powszechne w Polsce.

  • W przypadku rozbieżności między wersjami językowymi, rozstrzygająca jest wersja polska.



10. Wejście w życie

Niniejsza Polityka Bezpieczeństwa obowiązuje od dnia 1 listopada 2025 r.
Aktualna wersja dokumentu dostępna jest pod adresem https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Administrator danych i właściciel systemu:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Kraków, Polska
E-mail: office@safetysoftware.eu
Serwis: https://safetysoftware.eu