Politika bezpečnosti aplikácie Safety Software (SaaS)

Politika bezpečnosti aplikácie Safety Software (SaaS)

ID: SE-2026-V1 Updated: 17.12.2025
Tlačiť / PDF

1. Účel a rozsah

Táto Politika bezpečnosti stanovuje zásady ochrany informácií a údajov spracúvaných v rámci aplikácie Safety Software poskytovanej v modeli Software as a Service (SaaS).
Dokument sa týka bezpečnosti používateľov využívajúcich aplikáciu dostupnú na adrese https://safetysoftware.eu a tvorí doplnenie Obchodných podmienok a Zásad ochrany súkromia.

Politika má informatívny charakter a opisuje štandardy uplatňované spoločnosťou Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Krakov, Poľsko, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (ďalej len „Administrátor”).


2. Model zodpovednosti

Systém funguje v modeli zdieľanej zodpovednosti:

  • Administrátor (Safety Software): zodpovedá za bezpečnosť kódu aplikácie, prihlasovacích procesov, autorizácie, relácií, ochranu údajov v aplikačnej vrstve a za reakciu na incidenty.

  • Poskytovateľ infraštruktúry (dátové centrum certifikované podľa ISO/IEC 27001): zodpovedá za fyzickú bezpečnosť serverov, napájanie, sieť, zálohy a ochranu infraštruktúry.

  • Zákazník: zodpovedá za bezpečnosť svojich zariadení, hesiel, identít používateľov a správu prístupov vo svojom tíme.



3. Zásady bezpečnosti aplikácie

  1. Prenos údajov prebieha výlučne s použitím šifrovania TLS (HTTPS).

  2. Používateľské relácie sú zabezpečené flagmi Secure, HttpOnly, SameSite=Lax a prefixom __Host-; po prihlásení nasleduje rotácia identifikátora relácie.

  3. Ochrana CSRF: každý formulár obsahuje jedinečný token CSRF overovaný na strane servera.

  4. Ochrana pred brute-force: prihlásenie je pokryté limitmi pokusov a verifikačnými oneskoreniami.

  5. Bezpečnostné HTTP hlavičky:

    • Content-Security-Policy (CSP s nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (obmedzenie API prehliadača).

  6. Separácia údajov: viacnájomná architektúra (tenant isolation) znemožňuje prístup k údajom medzi zákazníkmi.

  7. Šifrovanie údajov: všetky údaje v prenose sú šifrované a autentifikačné údaje (heslá) sa uchovávajú s použitím kryptografických hashovacích funkcií (bcrypt).

  8. Autorizácia: každá operácia v aplikácii prebieha v kontexte používateľa a organizácie; neautorizovaný prístup je blokovaný.

  9. Ochrana obsahu CMS: editor WYSIWYG funguje výlučne v administračnom paneli; obsah je sanitizovaný na strane servera a je pokrytý CSP s nonce.



4. Zálohovanie a kontinuita prevádzky

  1. Zálohy údajov sa vykonávajú na úrovni infraštruktúry v súlade s politikou poskytovateľa hostingu (certifikácia ISO/IEC 27001).

  2. Administrátor vykonáva periodické testy obnovy údajov (restore).

  3. Čas obnovy služieb (RTO) a straty údajov (RPO) sú stanovené interne a podliehajú revízii aspoň raz ročne.



5. Monitorovanie a logy

  1. Zaznamenávajú sa kritické udalosti: prihlásenia, neúspešné pokusy o prístup, exporty údajov, generovanie reportov, zmeny oprávnení.

  2. Logy sa uchovávajú bezpečným spôsobom s obmedzeným prístupom pre oprávnených administrátorov.

  3. Logy neobsahujú úplné osobné údaje ani obsah formulárov.



6. Riadenie zraniteľností

  1. Aktualizácie aplikácie a závislostí sa nasadzujú pravidelne s prioritou pre bezpečnostné opravy.

  2. Pred zverejnením každej novej verzie aplikácie sa vykonávajú regresné testy a kontrola open source komponentov.

  3. Zistené zraniteľnosti sa klasifikujú podľa rizika a odstraňujú sa bezodkladne.



7. Dodávatelia a integrácie

  1. Stripe Payments Europe Ltd a PayPro S.A. (Przelewy24) zabezpečujú platby – údaje o kartách Safety Software nespracúva.

  2. Google Analytics / Search Console sa používajú výlučne na štatistické a anonymné účely.

  3. Písma a frontendové komponenty (Bootstrap, ikony, fonty) sa načítavajú lokálne z adresára vendor bez externých pripojení.

  4. Účtovné služby sú zabezpečované dôveryhodným subdodávateľom na základe zmluvy o poverení spracúvaním údajov.



8. Nahlasovanie incidentov

Hlásenia týkajúce sa bezpečnosti aplikácie alebo podozrení na incidenty je potrebné zasielať na adresu:
office@safetysoftware.eu (predmet: SECURITY).
Hlásenia sa analyzujú bezodkladne podľa internej triage procedúry.



9. Súlad a jurisdikcia

  • Aplikácia a bezpečnostné procesy sú v súlade s požiadavkami GDPR a so zásadami vyplývajúcimi z ISO/IEC 27001 v organizačnej oblasti.

  • Rozhodným právom je poľské právo a príslušným súdom – všeobecné súdy v Poľsku.

  • V prípade rozporov medzi jazykovými verziami je rozhodujúca poľská verzia.



10. Nadobudnutie účinnosti

Tieto Zásady bezpečnosti sú účinné od 1. novembra 2025
Aktuálna verzia dokumentu je dostupná na adrese https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Správca údajov a vlastník systému:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Krakov, Poľsko
E-mail: office@safetysoftware.eu
Služba: https://safetysoftware.eu