Varnostna politika aplikacije Safety Software (SaaS)

Politika varnosti aplikacije Safety Software (SaaS)

ID: SE-2026-V1 Updated: 17.12.2025
Tisk / PDF

1. Namen in obseg

Ta Politika varnosti določa pravila zaščite informacij in podatkov, ki se obdelujejo v okviru aplikacije Safety Software, ki je na voljo v modelu Software as a Service (SaaS).
Dokument se nanaša na varnost uporabnikov, ki uporabljajo aplikacijo, dostopno na naslovu https://safetysoftware.eu, in predstavlja dopolnitev Pravilnika ter Politike zasebnosti.

Politika je informativne narave in opisuje standarde, ki jih uporablja Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Kraków, Poljska, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (v nadaljevanju: »Administrator«).


2. Model odgovornosti

Sistem deluje po modelu deljene odgovornosti:

  • Administrator (Safety Software): odgovarja za varnost kode aplikacije, postopkov prijave, avtorizacije, sej, zaščito podatkov na aplikacijski plasti ter za odzivanje na incidente.

  • Ponudnik infrastrukture (podatkovni center s certifikatom ISO/IEC 27001): odgovarja za fizično varnost strežnikov, napajanje, omrežje, varnostne kopije in zaščito infrastrukture.

  • Stranka: odgovarja za varnost svojih naprav, gesel, identitet uporabnikov in upravljanje dostopov v svoji ekipi.



3. Načela varnosti aplikacije

  1. Prenos podatkov poteka izključno z uporabo šifriranja TLS (HTTPS).

  2. Uporabniške seje so zavarovane z zastavicami Secure, HttpOnly, SameSite=Lax ter s predpono __Host-; po prijavi se izvede rotacija identifikatorja seje.

  3. Zaščita CSRF: vsak obrazec vsebuje edinstven žeton CSRF, ki se preverja na strani strežnika.

  4. Zaščita pred brute-force: prijava je zaščitena z omejitvami števila poskusov in verifikacijskimi zakasnitvami.

  5. Varnostne glave HTTP:

    • Content-Security-Policy (CSP z nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (omejitev API-jev brskalnika).

  6. Ločevanje podatkov: večnajemniška arhitektura (tenant isolation) onemogoča dostop do podatkov med strankami.

  7. Šifriranje podatkov: vsi podatki v prenosu so šifrirani, avtentikacijski podatki (gesla) pa se shranjujejo z uporabo kriptografskih zgoščevalnih funkcij (bcrypt).

  8. Avtorizacija: vsaka operacija v aplikaciji poteka v kontekstu uporabnika in organizacije; nepooblaščen dostop je blokiran.

  9. Zaščita vsebine CMS: urejevalnik WYSIWYG deluje izključno v skrbniški plošči; vsebine se sanitizirajo na strani strežnika in so zajete s CSP z nonce.



4. Varnostne kopije in neprekinjeno delovanje

  1. Varnostne kopije podatkov se izvajajo na ravni infrastrukture v skladu s politiko ponudnika gostovanja (certifikat ISO/IEC 27001).

  2. Administrator izvaja periodične teste obnove podatkov (restore).

  3. Čas obnovitve storitev (RTO) in izgube podatkov (RPO) sta interno določena in se pregledujeta najmanj enkrat letno.



5. Nadzor in dnevniki

  1. Beležijo se kritični dogodki: prijave, neuspešni poskusi dostopa, izvozi podatkov, generiranje poročil, spremembe dovoljenj.

  2. Dnevniki se hranijo na varen način, z omejenim dostopom za pooblaščene skrbnike.

  3. Dnevniki ne vsebujejo celotnih osebnih podatkov niti vsebin obrazcev.



6. Upravljanje ranljivosti

  1. Posodobitve aplikacije in odvisnosti se uvajajo redno, s prednostjo za varnostne popravke.

  2. Pred objavo vsake nove različice aplikacije se izvajajo regresijski testi ter kontrola komponent open source.

  3. Odkrite ranljivosti se razvrstijo glede na tveganje in se nemudoma odpravijo.



7. Ponudniki in integracije

  1. Stripe Payments Europe Ltd ter PayPro S.A. (Przelewy24) obdelujeta plačila – podatkov o karticah Safety Software ne obdeluje.

  2. Google Analytics / Search Console se uporabljata izključno za statistične in anonimne namene.

  3. Pisave in frontend komponente (Bootstrap, ikone, pisave) se nalagajo lokalno iz imenika vendor brez zunanjih povezav.

  4. Knjigovodske storitve izvaja zaupanja vreden podizvajalec na podlagi pogodbe o obdelavi podatkov.



8. Prijava incidentov

Prijave v zvezi z varnostjo aplikacije ali sumom na incidente je treba poslati na naslov:
office@safetysoftware.eu (zadeva: SECURITY).
Prijave se nemudoma analizirajo v skladu z internim postopkom triage.



9. Skladnost in jurisdikcija

  • Aplikacija in varnostni procesi so skladni z zahtevami GDPR ter načeli, ki izhajajo iz ISO/IEC 27001 na organizacijski ravni.

  • Pravo, ki se uporablja, je poljsko pravo, pristojno sodišče pa so splošna sodišča na Poljskem.

  • V primeru neskladij med jezikovnimi različicami je odločilna poljska različica.



10. Začetek veljavnosti

Ta Varnostna politika velja od 1. novembra 2025
Aktualna različica dokumenta je na voljo na naslovu https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Upravljavec podatkov in lastnik sistema:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Krakov, Poljska
E-pošta: office@safetysoftware.eu
Storitev: https://safetysoftware.eu