Applikationssäkerhetspolicy för Safety Software (SaaS)

Säkerhetspolicy för applikationen Safety Software (SaaS)

ID: SE-2026-V1 Updated: 17.12.2025
Skriv ut / PDF

1. Syfte och omfattning

Denna Säkerhetspolicy anger reglerna för skydd av information och data som behandlas inom ramen för applikationen Safety Software som tillhandahålls i modellen Software as a Service (SaaS).
Dokumentet avser säkerheten för användare som använder applikationen som är tillgänglig på adressen https://safetysoftware.eu och utgör ett komplement till Villkoren samt Integritetspolicyn.

Policyn är av informativ karaktär och beskriver de standarder som tillämpas av Safety Software Sp. z o.o., ul. Półłanki 80, 30-740 Kraków, Polen, KRS: 0001196649, NIP: 6793342803, REGON: 542821668 (nedan: ”Administratören”).


2. Ansvarsmodell

Systemet fungerar enligt en modell med delat ansvar:

  • Administratören (Safety Software): ansvarar för säkerheten i applikationskoden, inloggningsprocesser, auktorisering, sessioner, skydd av data på applikationslagret samt för incidenthantering.

  • Infrastrukturleverantören (datacenter certifierat enligt ISO/IEC 27001): ansvarar för fysisk serversäkerhet, strömförsörjning, nätverk, säkerhetskopior och skydd av infrastrukturen.

  • Kunden: ansvarar för säkerheten för sina enheter, lösenord, användaridentiteter och hantering av åtkomster i sitt team.



3. Principer för applikationssäkerhet

  1. Dataöverföring sker uteslutande med TLS-kryptering (HTTPS).

  2. Användarsessioner skyddas med flaggorna Secure, HttpOnly, SameSite=Lax samt prefixet __Host-; efter inloggning sker rotation av sessionsidentifieraren.

  3. CSRF-skydd: varje formulär innehåller en unik CSRF-token som verifieras på serversidan.

  4. Skydd mot brute-force: inloggning omfattas av begränsningar av antal försök och verifieringsfördröjningar.

  5. HTTP-säkerhetsrubriker:

    • Content-Security-Policy (CSP med nonce),

    • X-Frame-Options: DENY,

    • X-Content-Type-Options: nosniff,

    • Referrer-Policy: same-origin,

    • Permissions-Policy (begränsning av webbläsar-API).

  6. Dataseparering: multitenant-arkitekturen (tenant isolation) omöjliggör åtkomst till data mellan kunder.

  7. Datakryptering: all data under överföring är krypterad, och autentiseringsuppgifter (lösenord) lagras med kryptografiska hashfunktioner (bcrypt).

  8. Auktorisering: varje åtgärd i applikationen sker i användarens och organisationens kontext; obehörig åtkomst blockeras.

  9. Skydd av CMS-innehåll: WYSIWYG-redigeraren fungerar endast i administratörspanelen; innehåll saneras på serversidan och omfattas av CSP med nonce.



4. Säkerhetskopior och kontinuitet

  1. Säkerhetskopior av data utförs på infrastrukturnivå i enlighet med hostingleverantörens policy (ISO/IEC 27001-certifiering).

  2. Administratören genomför periodiska tester av dataåterställning (restore).

  3. Tid för återställning av tjänster (RTO) och dataförlust (RPO) fastställs internt och granskas minst en gång per år.



5. Övervakning och loggar

  1. Kritiska händelser registreras: inloggningar, misslyckade åtkomstförsök, dataexporter, generering av rapporter, ändringar av behörigheter.

  2. Loggar lagras på ett säkert sätt, med begränsad åtkomst för behöriga administratörer.

  3. Loggar innehåller inte fullständiga personuppgifter eller formulärinnehåll.



6. Hantering av sårbarheter

  1. Uppdateringar av applikationen och beroenden implementeras regelbundet med prioritet för säkerhetskorrigeringar.

  2. Före publicering av varje ny version av applikationen genomförs regressionstester samt kontroll av open source-komponenter.

  3. Identifierade sårbarheter klassificeras efter risk och åtgärdas omedelbart.



7. Leverantörer och integrationer

  1. Stripe Payments Europe Ltd samt PayPro S.A. (Przelewy24) hanterar betalningar – kortuppgifter behandlas inte av Safety Software.

  2. Google Analytics / Search Console används uteslutande för statistiska och anonyma ändamål.

  3. Typsnitt och frontendkomponenter (Bootstrap, ikoner, typsnitt) laddas lokalt från katalogen vendor utan externa anslutningar.

  4. Bokföringstjänster utförs av en betrodd underleverantör på grundval av ett personuppgiftsbiträdesavtal.



8. Rapportering av incidenter

Anmälningar som rör applikationens säkerhet eller misstanke om incidenter ska skickas till adressen:
office@safetysoftware.eu (ämne: SECURITY).
Anmälningar analyseras omedelbart enligt den interna triage-proceduren.



9. Efterlevnad och jurisdiktion

  • Applikationen och säkerhetsprocesserna är förenliga med kraven i GDPR samt principerna enligt ISO/IEC 27001 inom det organisatoriska området.

  • Tillämplig lag är polsk lag, och behörig domstol är de allmänna domstolarna i Polen.

  • Vid avvikelser mellan språkversionerna är den polska versionen avgörande.



10. Ikraftträdande

Denna säkerhetspolicy gäller från och med den 1 november 2025
Den aktuella versionen av dokumentet finns tillgänglig på adressen https://safetysoftware.eu/pl/p/polityka-bezpieczenstwa.


Personuppgiftsansvarig och systemägare:
Safety Software Sp. z o.o.
ul. Półłanki 80, 30-740 Kraków, Polen
E-post: office@safetysoftware.eu
Tjänst: https://safetysoftware.eu