Online naplata u 2026. više nije pitanje „je li sigurna”, nego „pod kojim regulatornim okvirom posluje vaš payment partner i jeste li vi time pokriveni”. Tri regulative – PCI DSS 4.0.1, DORA i NIS2 – već su na snazi.

 

PCI DSS 4.0.1 – temelj svake online naplate

PCI DSS je standard kartičnih mreža. Od marta 2025. obavezujuća je verzija 4.0.1:

  • Proširena autentifikacija – MFA na svim administratorskim pristupima
  • Kontinuirana procjena rizika
  • Anti-skimming zahtjevi (6.4.3 i 11.6.1)
  • Detaljnija i stroža dokumentacija incidenata

Najviši nivo je Level 1 – godišnja vanjska revizija, kontinuirani monitoring i stroga segregacija podataka.

 

DORA – operativna otpornost finansijskog sektora

DORA (Regulation (EU) 2022/2554), na snazi od januara 2025.:

  • Upravljanje ICT rizicima
  • Obavezno prijavljivanje incidenata regulatoru
  • Testiranje otpornosti (penetration testing)
  • Upravljanje eksternim partnerima

Vaš payment partner mora biti DORA usklađen. Kako otpornost izgleda u praksi pokazala je i CrowdStrike Falcon kriza.

NIS2 – kibernetička sigurnost na nivou EU

NIS2 (Directive (EU) 2022/2555), na snazi od oktobra 2024.:

  • Sigurnosne kontrole
  • Obavezno prijavljivanje incidenata (u roku 24–72 sata)
  • Odgovornost uprave
  • Edukacije zaposlenika

Za male trgovce primjenjuje se indirektno – kroz obaveze njihovog payment partnera.

 

Šta trgovac konkretno treba uraditi

  1. Provjeriti PCI DSS nivo payment partnera (Level 1)
  2. Ažurirati platformu i plug-inove
  3. Smanjiti broj third-party skripti
  4. Implementirati CSP
  5. Koristiti payment iframe / hosted form
  6. Pratiti integritet checkout stranice
  7. Edukovati tim o osnovama cyber sigurnosti

 

Šta payment partner preuzima za vas

  • Pohranu kartičnih podataka u PCI DSS Level 1 okruženju
  • 3DS2 SCA implementaciju
  • DORA i NIS2 usklađenost na infrastrukturnom nivou
  • Kontinuirani monitoring i incident response

Kako Monri pristupa sigurnosti

Kroz Monri online plaćanja, trgovci posluju na PCI DSS Level 1 infrastrukturi u skladu sa 4.0.1 specifikacijom, usklađenoj sa DORA i NIS2 regulativama. Monri posjeduje i PCI P2PE v3.2 certifikat kao prva kompanija u ovom dijelu Europe. Osjetljivi kartični podaci se ne pohranjuju u webshopu, već ostaju u Monri okruženju kroz hosted form i iframe izolaciju.

Ako želite pregled vašeg sistema i usklađenosti, kontaktirajte naš tim.

Sadržaj