Online naplata u 2026. više nije pitanje „je li sigurno” nego „pod kojim regulatornim okvirom posluje vaš payment partner i jeste li time pokriveni i vi”. Tri regulative – PCI DSS 4.0.1, DORA i NIS2 – već su na snazi.

PCI DSS 4.0.1 – temelj svake online naplate

PCI DSS je standard velikih kartičnih mreža. Od ožujka 2025. obavezujuća je verzija 4.0.1:

  • Proširena autentifikacija – MFA na svim administrativnim pristupima.
  • Kontinuirana evaluacija rizika.
  • Anti-skimming zahtjevi (6.4.3 i 11.6.1).
  • Razvijenija dokumentacija incidenata.

Najviša razina je Level 1 – godišnja vanjska revizija, kontinuirani monitoring, stroga segregacija podataka.

DORA – operativna otpornost financijskog sektora

DORA (Regulation (EU) 2022/2554), na snazi od siječnja 2025.:

  • Upravljanje ICT rizicima.
  • Incident reporting regulatoru.
  • Testiranje otpornosti (pen-testing).
  • Upravljanje partnerima.

Vaš payment partner mora biti DORA-usklađen. Kako otpornost izgleda u praksi pokazala je CrowdStrike Falcon kriza.

 

Sigurnost i zaštita u skladu sa PCI DSS standardom

NIS2 – kibernetička sigurnost na razini EU

NIS2 (Directive (EU) 2022/2555), na snazi od listopada 2024.:

  • Sigurnosne kontrole.
  • Obavezno prijavljivanje incidenata (24-72 sata).
  • Upravljačka odgovornost (osobno).
  • Treninzi za zaposlenike.

Za male trgovce primjenjuje se neizravno – kroz obvezu payment partnera.

Što trgovac konkretno treba napraviti

  1. Provjerite razinu PCI DSS-a payment partnera (Level 1).
  2. Ažurirajte platformu i plug-inove.
  3. Smanjite broj trećestranskih skripti.
  4. Implementirajte CSP.
  5. Koristite payment iframe/hosted form.
  6. Pratite integritet checkout stranice.
  7. Obučite tim za kibernetičku higijenu.

Što payment partner preuzima za vas

  • Pohrana kartičnih podataka u PCI DSS Level 1 okruženju.
  • 3DS2 SCA implementacija.
  • DORA i NIS2 usklađenost na razini infrastrukture.
  • Kontinuirani monitoring i incident response.

 

Kako Monri pristupa sigurnosti

Kroz Monri online plaćanja trgovci posluju na PCI DSS Level 1 infrastrukturi s 4.0.1 specifikacijom, usklađenoj s DORA i NIS2. Monri ima i PCI P2PE v3.2 certifikat kao prva kompanija u ovom dijelu Europe. Osjetljiva polja kartica drže se u Monri okruženju kroz hosted form i iframe izolaciju.

Ako želite pregled vašeg setupa, kontaktirajte naš tim.

Sadržaj