Vodič za fintech tvrtke, procesor plaćanja, neobanke i platforme digitalnog kreditiranja u Hrvatskoj koji su klasificirani kao važne entitete prema Prilogu II ZKS-a. Saznajte konkretne obveze upravljanja ICT rizicima, testiranja sigurnosti i izvještavanja o incidentima specifične za sektor financijskih usluga.
Fintech tvrtke, procesor plaćanja, neobanke i platforme digitalnog kreditiranja registrirane u Hrvatskoj spadaju pod Prilog II ZKS-a ako pružaju usluge plaćanja, digitalne novčane usluge ili kreditiranje sa značajnim utjecajem na financijsku stabilnost i sigurnost građana. Obuhvaćene su i tvrtke sa manje od 500 zaposlenih ako upravljaju kritičnom infrastrukturom plaćanja ili obrađuju velike količine financijskih podataka.
Svaka fintech tvrtka mora uspostaviti politiku upravljanja ICT rizicima koja uključuje identifikaciju rizika specifičnih za plaćanja i obrada podataka, procjenu mogućih gubitaka i primjenu mjera ublažavanja. Za neobanke: dokumentirajte sve sustave važne za neprekidnost plaćanja i definirajte prihvatljive vremenske periode oporavka (RTO) i točke oporavka (RPO).
Obavezno je provođenje penetracijskih testova i sigurnosnih revizija koda svih API-ja koji se koriste za plaćanja, autentifikaciju ili transfer sredstava najmanje dva puta godišnje ili nakon značajnih izmjena. Dokumentirajte sve pronađene ranjivosti, vremenske rokove popravke i potvrdu otklanjanja.
Primjena šifriranja (najmanje AES-256 za podatke u mirovanju), primjena TLS 1.2+ za podatke u prijenosu i implementacija kontrole pristupa na osnovi najmanje potrebe. Fintech tvrtke moraju dokumentirati sve slučajeve obrade osjetljivih podataka (IBAN, kartični brojevi) i održavati evidenciju pristupa barem 90 dana.
Sve ugovore s cloud provajderima, procesorima plaćanja i trećim stranama koji imaju pristup računalnoj infrastrukturi ili podatcima moraju sadržavati eksplicitne klauzule o: revizijama sigurnosti, obavijestima o incidentima unutar 24 sata, geografskim lokacijama skladištenja podataka i pravima na reviziju.
Ako je prekid plaćanja ili curenje podataka povezano s ICT-om učinio uslugu nedostupnom duže od 30 minuta, procesor plaćanja ili neobank mora obavijestiti SOA (Sigurnosno-obavještajnu agenciju) u roku od 24 sata s detaljima o uzroku, broju pogođenih korisnika i poduzetim mjerama.
PSD2 zahtjeva obavijest korisnicima u roku od 72 sata ako je curenja podataka; NIS2 zahtjeva obavijest SOA-e u roku od 24 sata ako je ICT incident učinio plaćanja nedostupnima duže od 30 minuta. Oba izvještaja su obavezna i trebate dokumentirane procedure za oba scenarija.
Da, čak i ako koriste cloud infrastrukturu. Vi ostajete odgovorni za sigurnost vlastite aplikacije i API-ja na njoj. Testiranje mora biti redovito (najmanje dvije puta godišnje) ili nakon važnih ažuriranja. Obaveza je vaša, bez obzira na Cloud provider.
Zakon o kibernetskoj sigurnosti predviđa novčane kazne do 50.000 eura za fizičke osobe i do 10% godišnjeg prometa ili 10 milijuna eura (ovisno što je veće) za pravne osobe kao važne entitete. Rok usklađenosti je 31. prosinca 2026.