Política de Segurança da Aplicação Safety Software (SaaS)

Política de Segurança da Aplicação Safety Software (SaaS)

ID: SE-2026-V1 Updated: 17.12.2025
Imprimir / PDF

1. Objetivo e âmbito

A presente Política de Segurança define as regras de proteção das informações e dos dados tratados no âmbito da aplicação Safety Software disponibilizada no modelo Software as a Service (SaaS).
O documento diz respeito à segurança dos utilizadores que utilizam a aplicação disponível no endereço https://safetysoftware.eu e constitui um complemento dos Termos e Condições e da Política de Privacidade.

A Política tem caráter informativo e descreve as normas aplicadas pela Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Kraków, Polónia, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (doravante: „Administrador”).


2. Modelo de responsabilidade

O sistema funciona no modelo de responsabilidade partilhada:

  • Administrador (Safety Software): é responsável pela segurança do código da aplicação, dos processos de início de sessão, autorização, sessões, proteção de dados na camada aplicacional e pela resposta a incidentes.

  • Fornecedor de infraestrutura (centro de dados certificado ISO/IEC 27001): é responsável pela segurança física dos servidores, alimentação elétrica, rede, cópias de segurança e proteção da infraestrutura.

  • Cliente: é responsável pela segurança dos seus dispositivos, palavras-passe, identidades dos utilizadores e pela gestão de acessos na sua equipa.



3. Princípios de segurança da aplicação

  1. Transmissão de dados ocorre exclusivamente com recurso a encriptação TLS (HTTPS).

  2. Sessões dos utilizadores são protegidas com as flags Secure, HttpOnly, SameSite=Lax e com o prefixo __Host-; após o início de sessão ocorre a rotação do identificador de sessão.

  3. Proteção CSRF: cada formulário contém um token CSRF único verificado no lado do servidor.

  4. Proteção contra brute-force: o início de sessão está sujeito a limites de tentativas e atrasos de verificação.

  5. Cabeçalhos de segurança HTTP:

    • Content-Security-Policy (CSP com nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (restrição da API do navegador).

  6. Separação de dados: a arquitetura multi-inquilino (tenant isolation) impede o acesso a dados entre clientes.

  7. Encriptação de dados: todos os dados em transmissão são encriptados, e as credenciais de autenticação (palavras-passe) são armazenadas com recurso a funções criptográficas de hash (bcrypt).

  8. Autorização: cada operação na aplicação ocorre no contexto do utilizador e da organização; o acesso não autorizado é bloqueado.

  9. Proteção de conteúdos do CMS: o editor WYSIWYG funciona exclusivamente no painel administrativo; os conteúdos são sanitizados no lado do servidor e abrangidos por CSP com nonce.



4. Cópias de segurança e continuidade de serviço

  1. As cópias de segurança dos dados são realizadas ao nível da infraestrutura de acordo com a política do fornecedor de alojamento (certificação ISO/IEC 27001).

  2. O Administrador realiza testes periódicos de restauro de dados (restore).

  3. O tempo de restabelecimento de serviços (RTO) e de perda de dados (RPO) são definidos internamente e estão sujeitos a revisão pelo menos uma vez por ano.



5. Monitorização e logs

  1. São registados eventos críticos: inícios de sessão, tentativas de acesso falhadas, exportações de dados, geração de relatórios, alterações de permissões.

  2. Os logs são armazenados de forma segura, com acesso limitado a administradores autorizados.

  3. Os logs não contêm dados pessoais completos nem o conteúdo dos formulários.



6. Gestão de vulnerabilidades

  1. As atualizações da aplicação e das dependências são implementadas regularmente, com prioridade para correções de segurança.

  2. Antes da publicação de cada nova versão da aplicação são realizados testes de regressão e a verificação dos componentes open source.

  3. As vulnerabilidades detetadas são classificadas de acordo com o risco e corrigidas sem demora.



7. Fornecedores e integrações

  1. Stripe Payments Europe Ltd e PayPro S.A. (Przelewy24) processam pagamentos – os dados de cartão não são tratados pela Safety Software.

  2. Google Analytics / Search Console são utilizados exclusivamente para fins estatísticos e anónimos.

  3. Tipos de letra e componentes frontend (Bootstrap, ícones, fontes) são carregados localmente a partir do diretório vendor sem ligações externas.

  4. Serviços contabilísticos são prestados por um subcontratante de confiança com base num acordo de tratamento de dados.



8. Reporte de incidentes

As comunicações relativas à segurança da aplicação ou suspeitas de incidentes devem ser enviadas para o endereço:
office@safetysoftware.eu (assunto: SECURITY).
As comunicações são analisadas sem demora de acordo com o procedimento interno de triage.



9. Conformidade e jurisdição

  • A aplicação e os processos de segurança estão em conformidade com os requisitos do RGPD e com os princípios decorrentes da ISO/IEC 27001 no âmbito organizacional.

  • A lei aplicável é a lei polaca, e o foro competente – os tribunais comuns na Polónia.

  • Em caso de divergências entre as versões linguísticas, prevalece a versão polaca.



10. Entrada em vigor

A presente Política de Segurança aplica-se a partir de 1 de novembro de 2025
A versão atual do documento está disponível no endereço https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Responsável pelo tratamento de dados e proprietário do sistema:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Cracóvia, Polónia
E-mail: office@safetysoftware.eu
Serviço: https://safetysoftware.eu