Dok se globalno gospodarstvo suočava s potrebom za većom transparentnošću, elektronički računi nude rješenje koje zadovoljava i porezne uprave i privatne poduzetnike. Zakonska regulativa uvelike je ubrzala usvajanje eRačuna u B2G segmentu, no pravi potencijal leži u B2B razmjeni koja svakodnevno raste. Digitalna transformacija često se pogrešno interpretira samo kao uvođenje novog softvera, no pravi se rezultati vide u promjeni poslovne paradigme.
Tržište ICT usluga u Hrvatskoj zasićeno je terminima poput Clouda, AI-ja i digitalizacije, no rijetki su primjeri rješenja koja imaju tako izravan utjecaj na operativu kao što je to elektronički račun. Marko Emer, direktor tvrtke Elektronički računi, svjedočio je, kako sam tvrdi, evoluciji ovog sustava od njegovih samih početaka do današnjeg statusa kritične poslovne infrastrukture. U razgovoru za ICTbusiness Medida - ICTbusiness.info Emer otvoreno govori o izazovima s kojima se susreću tvrtke koje pokušavaju modernizirati svoje financijske odjele. Ističe kako tehnologija više nije barijera, već su to često zastarjeli poslovni procesi koji ne prate ritam digitalnog doba.
Razgovaramo o integraciji, sigurnosti i nužnosti povezivanja svih karika u lancu nabave i prodaje kroz jedinstvene standarde. Tvrtka Elektronički računi pozicionirala se kao most između tehnologije i krajnjeg korisnika, olakšavajući prijelaz na bezpapirno poslovanje. Emer objašnjava zašto je važno gledati širu sliku i kako eRačun služi kao ulazna točka za naprednu analitiku i bolje poslovno odlučivanje.
Koje certifikate i akreditacije vaša organizacija posjeduje i zašto su oni relevantni za sigurnost eRačuna? Posjedujete li ISO/IEC 27001 certifikat za upravljanje informacijskom sigurnošću, i koliko često prolazite kroz eksterne revizije njegove primjene u praksi - ne samo na papiru? Jeste li registrirani kod Hrvatske narodne banke (HNB) kao ovlašteni pružatelj platnih usluga, i što ta regulatorna obveza konkretno znači za razinu sigurnosti koju morate održavati? Postoji li zakonska ili regulatorna praznina u Hrvatskoj koja omogućuje da netko posluje kao informacijski posrednik u sustavu eRačuna bez minimalnih sigurnosnih standarda - i kako vi kao industrija na to gledate? Kako se vaša infrastruktura prilagođava novim direktivama o digitalnoj operativnoj otpornosti (DORA)?
ISO/IEC 27001 certifikat kontinuirano imamo od 2015. godine, što znači da svake godine prolazimo redovite audite i provjere usklađenosti sa zahtjevima informacijske sigurnosti. No, ono što nas izdvaja na tržištu je da smo 2022. godine postali institucija za platni promet, upisana u registar pružatelja platnih usluga i izdavatelja elektroničkog novca kao jedini licencirani pružatelj dviju temeljnih platnih usluga definiranih PSD2: PIS (Payment Initiation Service) i AIS (Account Information Services). Sukladno tome, kao licencirana institucija za platni promet, proglašeni smo kritičnom infrastrukturom, što znači da kao obveznici NIS2 i DORA regulative podliježemo i redovitim godišnjim revizijama usklađenosti s navedenim propisima.
Uz navedeno, HNB kao regulator poslovanja u dijelu integracije naše fintech platforme s bankama, redovito nadzire i sigurnosne aspekte internih procesa tvrtke. Općenito smatramo da ni djelatnost informacijskog posredništva ne bi bila moguća bez potpune usklađenosti s ovim standardima i direktivama, što je ujedno i garancija sigurnosti i pouzdanosti za sve korisnike. Za nas ISO certifikat nije formalna oznaka kvalitete i sigurnosti, nego temelj operativnog modela. Međutim, smatramo da imanje certifikata samo po sebi nije dovoljno pa, kada govorimo o onome što zaista izdvaja mer u odnosu na ostatak tržišta, onda je to da su naši sigurnosni standardi stvarno implementirani u svakodnevno poslovanje.
Sigurnost kod nas nije „certifikat kojeg je dobro imati“, nego sustav koji se kontinuirano testira, nadzire i unapređuje i ta razina discipline i dosljednosti je ono što nas jasno izdvaja od onih pružatelja usluga informacijskog posredništva koji su ISO certifikatom ispunili formalni uvjet. Osim toga, a to treba posebno naglasiti, upisom u registar pružatelja platnih usluga obvezali smo se poslovati prema standardima koji vrijede za financijske institucije, uz kontinuirani regulatorni nadzor. To znači da u svakoj sekundi moramo osigurati visoku razinu sigurnosti, od autentifikacije korisnika i zaštite podataka do upravljanja incidentima i operativne otpornosti. U praksi, to znači da naši sustavi i procesi prolaze razinu kontrole koju veliki dio tržišta uopće nema, što korisnicima daje znatno višu razinu sigurnosti i pouzdanosti. Već prilikom objave Zakona o fiskalizaciji na eSavjetovanju, upozorili smo na opasnosti koje proizlaze iz realne razlike u regulatornom opterećenju između pružatelja platnih usluga i informacijskih posrednika, iako i jedni i drugi zapravo upravljaju novcem. Smatrali smo, a i danas smatramo kako postoji realna bojazan da dio informacijskih posrednika, posebice onih koji su netom osnovani, nemaju stvarnu predodžbu o izazovima kada govorimo o kibernetičkoj sigurnosti u razmjeni eRačuna.
Prijedlog koji smo uputili zakonodavcu, zajedno s brojnim strukovnim udrugama, bio je da se uvede obveza osiguranja od profesionalne odgovornosti ili, još važnije, police za zaštitu od cyber napada. Zaključeno je da dovoljno zakonski obvezati informacijske posrednike na primjenu NIS2 direktive, no tko će i kako provoditi nadzor, a posebice kako će se obeštetiti desetke tisuća poduzeća ako do takvih napada dođe, a posrednik stavi ključ u bravu, nije posve jasno. Što se tiče mer-a, korisnici mogu biti sigurni da mi imamo daleko veće sigurnosne standarde od propisanog minimuma jer primjenjujemo standarde financijske industrije i tamo gdje to nije izričito propisano zato što smatramo kako je to jedini održivi model za sustave koji obrađuju osjetljive poslovne podatke.
Prema tome, DORA za nas nije početak, nego nastavak već uspostavljenog modela upravljanja sigurnošću i operativnim rizicima. Naša infrastruktura je već postavljena u skladu s visokim zahtjevima PSD2 regulative, a DORA dodatno formalizira i produbljuje ono što već radimo, od upravljanja ICT rizicima i incidentima pa do kontrole nad vanjskim pružateljima usluga i testiranja otpornosti sustava. Drugim riječima, dok dio tržišta tek hvata korak s novim zahtjevima, mi ih ugrađujemo u postojeći okvir i koristimo kao priliku za daljnje jačanje pouzdanosti i sigurnosti naših usluga.
Kako vaša organizacija financijski i operativno upravlja rizikom kibernetičkog incidenta? Imate li sklopljenu policu osiguranja od cyber rizika - i što ta polica pokriva: samo vaše operativne troškove ili i štetu koja nastane za vaše klijente poduzetnike čiji su podaci eventualno kompromitovani? Provodite li redovite procjene ranjivosti i penetracijska testiranja svojih sustava, i tko provodi te testove - interna ekipa ili neovisna treća strana? U slučaju da jedan od vaših klijenata - manji obrtnik ili tvrtka - pretrpi financijsku štetu zbog sigurnosnog propusta na vašoj strani, koji je mehanizam zaštite i naknade štete koji im stoji na raspolaganju? Imate li 24/7 nadzor, vlastiti SOC ili ugovoreni vanjski centar te kako je organizirana eskalacija incidenta?
U praksi često možemo vidjeti kako se kibernetički rizik tretira kao izolirani IT problem, a ne kao poslovni i financijski rizik najviše razine, što zapravo jest. Za potvrdu te teze dovoljno je napraviti kratku anketu među poduzetnicima koji o informacijskoj sigurnosti počnu razmišljati tek kada je ona ozbiljno ili bespovratno narušena. U mer-u je priča otpočetka drugačija.
U našem modelu poslovanja kibernetička sigurnost je preduvjet poslovanja, a ne funkcija podrške. Još od ideje o eRačunu i prvih kodova 2013. godine, znamo da je naš posao prijenos osjetljivih financijskih i poslovnih podataka, što smo upisom u registar pružatelja platnih usluga dodatno osvijestili i pojačali sve dostupne instrumente sigurnosti pa rizikom kibernetičkog incidenta upravljamo na razini na kojoj ga upravljaju financijske institucije, a ne tipični IT pružatelji. To znači da sigurnost ne tretiramo kao trošak, nego kao investiciju u stabilnost sustava o kojem ovise naši klijenti. Na tržištu se jasno vidi razlika između organizacija koje sigurnost grade sustavno i onih koje reagiraju tek kad se pojavi problem, a mi nedvojbeno pripadamo prvoj skupini.
Kibernetičkim rizikom upravljamo kroz kombinaciju regulatorno usklađenog okvira, ali i na temelju vlastitih sigurnosnih politika i kontinuiranih ulaganja u tehnologiju, ljude i procese. Operativno, to znači višeslojnu zaštitu sustava, stalni nadzor i jasno definirane procedure za prevenciju, detekciju i odgovor na incidente. Financijski, rizik dodatno mitigiramo kroz osiguranje, ali i kroz konzervativan pristup upravljanju infrastrukturom i partnerima zato što smatramo da se najveći dio rizika mora eliminirati unaprijed, a ne sanirati naknadno. Za one koji ne znaju, kao institucija za platni promet mer je morao uspostaviti brojne sigurnosne procedure koje u toj mjeri ne provodi nijedan drugi informacijski posrednik.
Osim police osiguranja od osobne odgovornosti, koja je obvezan preduvjet za licenciranje kao pokriće za operativne i sigurnosne incidente, implementirali smo SCA, PSD2 API-je, kriptografsku zaštitu podataka i brojne druge sustave sigurnosti koje je propisao regulator na temelju EU i domaćeg zakonodavstva. Također, dodatno smo formalizirali ICT risk management framework, uspostavili incident reporting prema HNB-u i definirali planove kontinuiteta poslovanja i oporavka (BCP/DRP). Uz to, naša je obveza i redovito izvještavanje prema regulatoru, a podložni smo i stalnim on-site i off-site nadzorima te obvezni dokazati usklađenost u svakom trenutku.
Naravno, uz to smo obvezni i na redovite interne audite ISMS-a, penetration testove i vulnerability assesmente te kontinuirani monitoring sigurnosnih događaja (SIEM/SOC pristup) kako bismo zadržali ISO certifikat, što je de facto jedina obveza drugih informacijskih posrednika, a kod nas tek jedan od segmenata upravljanja sigurnošću unutar kompanije.
Kako izgleda vaš svakodnevni operativni sigurnosni nadzor? Raspolažete li sustavom za detekciju i odgovor na incidente koji funkcionira 24 sata dnevno, 7 dana u tjednu - i koliko brzo, realno gledano, vaš tim može reagirati na sigurnosni alarm usred noći ili vikendom? Koristite li sustave za nadzor anomalija sa ili bez AI-a u prometu podataka koji mogu pravovremeno detektirati neovlašteni pristup ili krađu podataka - poput onih 560 GB koji su navodno izvučeni iz španjolske porezne agencije u jednom potezu? Kada je vaša organizacija posljednji put imala ozbiljan sigurnosni incident ili gotovo-incident, i što ste konkretno promijenili u svom sustavu zaštite kao posljedicu? Koji su vam definirani RTO i RPO za ključne usluge razmjene eRačuna? Na koji način obavještavate klijente u realnom vremenu ako detektirate sumnjivu aktivnost na njihovom računu?
Sigurnost i dostupnost naših sustava među vodećima su u industriji, ali ono što nas stvarno razlikuje nije samo razina implementiranih mjera, nego njihova dosljedna operativna primjena zbog naše uloge na tržištu, ali i dugogodišnjeg iskustva zahvaljujući kojem, ne samo da smo naučili reagirati na izazove, nego ih i predvidjeti i sukladno tome implementirati u sigurnosne procedure. U smislu infrastrukture, podaci koje posredujemo i čuvamo pohranjuju se u dva geografski odvojena, visoko dostupna podatkovna centra u Hrvatskoj, na infrastrukturi projektiranoj za kontinuirani rad i otpornost na prekide.
Sustav je organiziran kroz više aktivnih čvorova koji ravnomjerno raspoređuju opterećenje i omogućuju neprekinut rad usluge. U slučaju da pojedina komponenta prestane s radom, promet se automatski preusmjerava na preostale sustave bez utjecaja na korisničko iskustvo. Svi podaci smješteni su na izoliranim, redundantnim sustavima koji nisu izravno dostupni s javnih internetskih adresa, uz višeslojnu zaštitu pristupa i redovite sigurnosne kopije podataka i konfiguracija.
Time osiguravamo i visoku razinu zaštite i mogućnost brzog oporavka u slučaju neželjenih događaja. Operativna dostupnost sustava potvrđena je SLA-om od 99,97 %, dok su parametri oporavka kod nas definirani u skladu s kritičnošću usluge i u skladu s regulativom koja je propisana za subjekte upisane u Registar pružatelja platnih usluga. S obzirom na to da smo otpočetka gradili infrastrukturu koja u većini situacija omogućuje kontinuitet rada bez prekida za krajnje korisnike, možemo reći da se naš pristup sigurnosti ne temelji samo na planovima oporavka, nego prvenstveno na prevenciji neželjenih događaja.
Arhitektura sustava je koncipirana na način da se sustavno radi na smanjenju ovisnosti o pojedinačnim pružateljima, čime želimo omogućiti stabilan rad sustava, čak i u situacijama djelomičnih mrežnih poteškoća ili nedostupnosti pojedinih komponenti. Uz tehničku sigurnost, veliku pažnju posvećujemo i transparentnosti prema korisnicima. U slučaju poteškoća ili odstupanja, korisnici se pravovremeno obavještavaju putem više komunikacijskih kanala, uključujući in-app poruke, email obavijesti i objave na web stranici. Kroz korisnički portal i API integracije omogućujemo i detaljan uvid u status svakog računa, uključujući razloge eventualnih grešaka i jasne upute za njihovo otklanjanje.
Posebno nam je važno da visoka razina sigurnosti i dostupnosti ne dolazi na štetu korisničkog iskustva tako da su sigurnosne mjere implementirane na način da su maksimalno transparentne za korisnika, čime osiguravamo kombinaciju pouzdanosti, zaštite i jednostavnog korištenja. U kontekstu uvedene obveze razmjene eRačuna i njihove uloge u utvrđivanju poreznih obveza, smatramo da je odabir pouzdanog informacijskog posrednika ključna poslovna odluka. Dugo već naglašavamo da to nije samo tehničko, nego strateško pitanje za tvrtku jer direktno utječe na stabilnost i sigurnost poslovanja.
Tko sve ima pristup podacima koji prolaze kroz vaš sustav i kako to kontrolirate? Primjenjujete li načelo minimalnih ovlasti - odnosno ima li svaki vaš zaposlenik pristup samo onim podacima koji su mu nužni za obavljanje posla, i kako to tehnički osiguravate? Koristite li usluge podugovarača ili cloud-pružatelja za pohranu ili obradu podataka svojih klijenata - i na koji način osiguravate da i oni zadovoljavaju iste sigurnosne standarde koje vi propagirate? Kako se nosite s prijetnjom insajderskih napada - situacijama u kojima sigurnosni propust ne dolazi izvana, nego od strane vašeg vlastitog zaposlenika ili bivšeg suradnika koji ima ili je imao pristup sustavu?
U našem sustavu, zaštita podataka se temelji na strogo kontroliranom modelu pristupa u kojem su podaci dostupni isključivo za to ovlaštenim sustavima i zaposlenicima i to u opsegu koji je nužan za obavljanje njihovih radnih zadataka. Pristup informacijama nije statičan ni univerzalan, već se dodjeljuje, nadzire i periodički revidira kroz formalizirane procese, uz potpunu sljedivost svih aktivnosti. Ovako uspostavljenim procesima osiguravamo da podaci nisu dostupni “po defaultu”, nego isključivo na temelju stvarne potrebe i uz odgovarajući nadzor. Kao dio Visma grupacije, primjenjujemo standardizirani sigurnosni okvir koji uključuje kontinuiranu edukaciju zaposlenika, praktične treninge i sustave za provjeru znanja, itekako svjesni da sigurnosni izazovi ne dolaze isključivo izvana.
Zbog toga insajderskim prijetnjama pristupamo sustavno, kombinirajući tehničke kontrole, organizacijske mjere i kontinuiranu edukaciju zaposlenika te redovito provjeravamo njihovo znanje i sposobnost rješavanja kibernetičkih rizika. Prema tome, nijedan pristup nije trajan ni nekontroliran, već se svaki prati i revidira, i to ne zato što sigurnost promatramo kao tehnološki problem, već zato što ga gledamo kao organizacijsku kulturu na kojoj snažno inzistiramo upravo radi naših korisnika. Primjerice, svi zaposlenici prolaze redovite treninge iz područja informacijske sigurnosti, uključujući teme poput phishing napada, socijalnog inženjeringa, upravljanja pristupima i zaštite podataka. Uz to provodimo simulacije sigurnosnih incidenata i testove svijesti o sigurnosti kako bismo osigurali da zaposlenici ne samo razumiju rizike, nego da znaju kako reagirati u stvarnim situacijama ako i kada do njih dođe.
Sve navedeno pokazuje kako je sigurnost unutar Visma ekosustava, pa tako i u mer-u, integrirana u svakodnevni rad, od razvoja softvera do upravljanja sustavima, uz korištenje interaktivnih edukacijskih alata i ranije spomenuto redovito testiranje znanja zaposlenika. Sve ovo je pokazatelj da naš cilj nije samo spriječiti incidente, nego izgraditi organizaciju u kojoj svaki zaposlenik razumije da je dio sigurnosnog sustava kojeg mora maksimalno štititi.
Što poduzetnik koji koristi vaše usluge stvarno zna o tome kako štitite njegove podatke? Postoji li jasan, razumljiv i javno dostupan dokument - ne skriven u dubinama ugovora - koji objašnjava što se događa s podacima vašeg korisnika u slučaju hakerskog napada, i koja su mu prava i koraci? U kojim ste sve situacijama po zakonu ili vlastitoj poslovnoj politici obvezni obavijestiti korisnika o sigurnosnom incidentu koji ga se tiče - i koliko brzo nakon detekcije to činite? Ako poduzetnik sutra postavi jednostavno pitanje: "Zašto bih vama vjerovao više nego nekom drugom posredniku?" - što je vaš konkretan, mjerljiv odgovor koji nije samo marketing?
Poduzetnik koji koristi mer ne mora nagađati kako sustav funkcionira niti što se događa s njegovim podacima u pozadini. Kroz korisnički portal, API integracije i sustav notifikacija u svakom trenutku ima uvid u status svojih računa, fazu obrade i eventualne greške. Drugim riječima, sustav nije nekakva “crna kutija” koju mogu čitati samo naši stručnjaci, već korisnik transparentno vidi što se događa i zašto se događa, što smatramo osnovnim standardom za infrastrukturu koja postoji radi njega i sigurne razmjene njegovih podataka. Imamo jasno definiranu i dostupnu dokumentaciju koja objašnjava kako se podaci obrađuju, gdje se nalaze i prema kojim je standardima i na temelju kojih pravnih okvira ih prikupljamo, obrađujemo i kako ih pohranjujemo.
Ta informacija nije skrivena u kompleksnim ugovornim formulacijama, nego je javno dostupna i strukturirana tako da korisnik može razumjeti konkretne procese i našu ulogu u njima. Ono što je ključno, obavještavanje korisnika ne vežemo isključivo uz formalne regulatorne obveze i rokove, nego uz stvarni utjecaj incidenta na korisnika. Čim procijenimo da je događaj relevantan, korisnik se obavještava bez odgode. Kod tehničkih problema to znači trenutnu obavijest kroz sustav i komunikacijske kanale, dok se kod sigurnosnih incidenata komunikacija odvija paralelno s rješavanjem problema, a ne nakon njega.
U Aquariumu Pula, u prostoru baterije San Giovanni, svečano je otvorena multimedijalna izložba Canon World Unseen (Nevidljivi svijet). Canon World Unseen u Aquariumu Pula je prateća izložba novoj stalnoj izložbi „Tropski koraljni greben“.
Hrvatska udruga digitalnih izdavača (HUDI) objavila je rezultate najnovijeg AdEx istraživanja, koje potvrđuje nastavak snažnih pozitivnih trendova na tržištu digitalnog oglašavanja.
Prema Gartneru, samo jedan od pet čelnika zaduženih za podatke i analitiku ili umjetnu inteligenciju zabrinut je da bi neizvjesni troškovi mogli ograničiti vrijednost AI-ja. Istraživanje među 353 čelnika za podatke, analitiku i AI, provedeno od studenoga do prosinca 2025., pokazalo je da je zbog toga samo 44 posto organizacija usvojilo financijske ograde ili AI FinOps prakse.
