Politica de securitate a aplicației Safety Software (SaaS)

Politica de Securitate a Aplicației Safety Software (SaaS)

ID: SE-2026-V1 Updated: 17.12.2025
Tipărește / PDF

1. Scop și domeniu de aplicare

Prezenta Politică de Securitate stabilește regulile de protecție a informațiilor și a datelor prelucrate în cadrul aplicației Safety Software puse la dispoziție în modelul Software as a Service (SaaS).
Documentul se referă la securitatea utilizatorilor care folosesc aplicația disponibilă la adresa https://safetysoftware.eu și constituie o completare a Termenilor și condițiilor, precum și a Politicii de confidențialitate.

Politica are caracter informativ și descrie standardele aplicate de Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Kraków, Polonia, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (denumit în continuare: „Administratorul”).


2. Modelul de responsabilitate

Sistemul funcționează în modelul responsabilității partajate:

  • Administratorul (Safety Software): răspunde pentru securitatea codului aplicației, a proceselor de autentificare, autorizare, sesiuni, protecția datelor la nivelul aplicației, precum și pentru răspunsul la incidente.

  • Furnizorul de infrastructură (centru de date certificat ISO/IEC 27001): răspunde pentru securitatea fizică a serverelor, alimentare, rețea, copii de rezervă și protecția infrastructurii.

  • Clientul: răspunde pentru securitatea propriilor dispozitive, parole, identitățile utilizatorilor și gestionarea accesului în cadrul echipei sale.



3. Principii de securitate ale aplicației

  1. Transmiterea datelor are loc exclusiv cu utilizarea criptării TLS (HTTPS).

  2. Sesiunile utilizatorilor sunt securizate prin flag-urile Secure, HttpOnly, SameSite=Lax și prefixul __Host-; după autentificare are loc rotația identificatorului de sesiune.

  3. Protecție CSRF: fiecare formular conține un token CSRF unic, verificat pe partea de server.

  4. Protecție împotriva brute-force: autentificarea este supusă limitelor de încercări și întârzierilor de verificare.

  5. Antete de securitate HTTP:

    • Content-Security-Policy (CSP cu nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (limitarea API-urilor browserului).

  6. Separarea datelor: arhitectura multi-tenant (tenant isolation) împiedică accesul la date între clienți.

  7. Criptarea datelor: toate datele în transmisie sunt criptate, iar datele de autentificare (parolele) sunt stocate folosind funcții criptografice de hash (bcrypt).

  8. Autorizare: fiecare operațiune în aplicație se desfășoară în contextul utilizatorului și al organizației; accesul neautorizat este blocat.

  9. Protecția conținutului CMS: editorul WYSIWYG funcționează exclusiv în panoul de administrare; conținuturile sunt sanitizate pe partea de server și sunt acoperite de CSP cu nonce.



4. Copii de rezervă și continuitatea activității

  1. Copiile de rezervă ale datelor sunt realizate la nivel de infrastructură, în conformitate cu politica furnizorului de hosting (certificare ISO/IEC 27001).

  2. Administratorul efectuează periodic teste de restaurare a datelor (restore).

  3. Timpul de restaurare a serviciilor (RTO) și pierderea de date (RPO) sunt stabilite intern și sunt supuse revizuirii cel puțin o dată pe an.



5. Monitorizare și loguri

  1. Sunt înregistrate evenimentele critice: autentificări, încercări eșuate de acces, exporturi de date, generarea de rapoarte, modificări ale permisiunilor.

  2. Logurile sunt stocate în mod securizat, cu acces limitat pentru administratorii autorizați.

  3. Logurile nu conțin date personale complete și nici conținutul formularelor.



6. Managementul vulnerabilităților

  1. Actualizările aplicației și ale dependențelor sunt implementate regulat, cu prioritate pentru patch-urile de securitate.

  2. Înainte de publicarea fiecărei versiuni noi a aplicației sunt efectuate teste de regresie și controlul componentelor open source.

  3. Vulnerabilitățile detectate sunt clasificate în funcție de risc și sunt eliminate fără întârziere.



7. Furnizori și integrări

  1. Stripe Payments Europe Ltd și PayPro S.A. (Przelewy24) procesează plățile – datele cardurilor nu sunt prelucrate de Safety Software.

  2. Google Analytics / Search Console sunt utilizate exclusiv în scopuri statistice și anonime.

  3. Fonturi și componente frontend (Bootstrap, iconițe, fonturi) sunt încărcate local din directorul vendor fără conexiuni externe.

  4. Serviciile contabile sunt realizate de un subcontractant de încredere pe baza unui acord de împuternicire pentru prelucrarea datelor.



8. Raportarea incidentelor

Sesizările privind securitatea aplicației sau suspiciunile de incidente trebuie transmise la adresa:
office@safetysoftware.eu (subiect: SECURITY).
Sesizările sunt analizate fără întârziere conform procedurii interne de triere (triage).



9. Conformitate și jurisdicție

  • Aplicația și procesele de securitate sunt conforme cu cerințele GDPR, precum și cu principiile rezultate din ISO/IEC 27001 în domeniul organizațional.

  • Legea aplicabilă este legea poloneză, iar instanța competentă – instanțele judecătorești de drept comun din Polonia.

  • În cazul neconcordanțelor dintre versiunile lingvistice, versiunea poloneză este cea determinantă.



10. Intrarea în vigoare

Prezenta Politică de Securitate este valabilă începând cu data de 1 noiembrie 2025 r.
Versiunea actuală a documentului este disponibilă la adresa https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Administratorul de date și proprietarul sistemului:
Safety Software Sp. z o.o.
str. Półłanki 80, 30-740 Cracovia, Polonia
E-mail: office@safetysoftware.eu
Serviciu: https://safetysoftware.eu