1. O nama
| Naziv | datadot |
| OIB | 57809542839 |
| Pravni oblik | Obrt (paušalni / dohodak) |
| Sjedište | Zagreb, Republika Hrvatska |
| Mrežno mjesto | datadot.hr · registar.datadot.hr · e-drazba.com |
| Kontakt za sigurnost | alwayshere@datadot.hr |
2. Infrastruktura i izvršitelji obrade
Iz sigurnosnih razloga (smanjenje rizika ciljanih napada) javno objavljujemo samo kategorije pružatelja i lokacije obrade. Konkretni tržišni nazivi pružatelja i kopije DPA-ova dostavljaju se poslovnim klijentima i nadležnim tijelima na pisani zahtjev — vidi i listu sub-procesora.
| Glavni poslužiteljski smještaj | Pružatelj hosting infrastrukture u Europskoj uniji |
| Baza podataka | Relacijska baza na vlastitoj infrastrukturi unutar EU |
| Lokacija sigurnosnih kopija | Šifrirane sigurnosne kopije unutar EU + off-site replikacija |
| Procesiranje plaćanja | Licencirani pružatelj platnih usluga sa sjedištem u EU |
| Isporuka elektroničke pošte | Pružatelj usluge dostave transakcijske e-pošte (SAD) — uz Standardne ugovorne klauzule (SCC) |
| DNS / CDN | DNS pruža vanjski pružatelj unutar EU; CDN ne koristimo |
| Web analitika | Vlastita, samostalno hostana analitika prve strane (unutar EU) |
| Lokacija obrade osobnih podataka | Primarno EU; SAD samo za isporuku transakcijske e-pošte uz SCC |
| Trajanje pohrane | Prema politici retencije |
3. Sigurnosne mjere
| Šifriranje u prijenosu | Suvremeni TLS svugdje (HTTPS), HSTS aktivan |
| Šifriranje u mirovanju | Na razini diska poslužitelja unutar EU |
| Lozinke | Hashed (industrijski standard), nikad u jasnom tekstu |
| 2FA | Dostupno za korisničke račune; obvezno na svim administrativnim računima |
| Razdvojeni pristup bazi | Razdvojene role za čitanje i pisanje (princip najmanjih ovlasti) |
| Evidencija pristupa | Svi pristupi zapisima se logiraju |
| Ograničavanje broja upita | API i web sučelje, dvostruka kvota (klijent + IP) |
| OWASP zaštita | CSRF tokeni, SQL injection zaštita, XSS zaštita, input validation |
| Upravljanje tajnama | Centralizirano, izvan koda i izvan repozitorija |
| Sigurnosno ažuriranje | Mjesečno minimalno, kritični patch-evi unutar 7 dana; redovito CVE skeniranje |
4. Usklađenost s propisima
| GDPR usklađenost | Da — implementirana |
| LIA dokument | Da — pravna analiza legitimnog interesa, dostupna na zahtjev |
| ROPA (čl. 30) | Da — interni dokument, dostupan AZOP-u na zahtjev |
| Politika privatnosti | Javno objavljena (/legal/privacy/) |
| Politika kolačića | Javno objavljena (/legal/cookies/) |
| DPA s klijentima | Da — template dostupan |
| Pravo na prigovor | Implementirano (/legal/zahtjev/) |
| Plan reakcije na incident | Da — Data Breach Response Plan v1.0 |
| Izvršitelj obrade lista | Dokumentirano u Politici privatnosti |
| Slojeviti pristup podacima | Javni / Registrirani / Plaćeni / B2B |
| Pseudonimizacija u javnom sloju | Da — identitet nije prikazan |
| Certifikati (ISO 27001, SOC 2) | Nemamo trenutno — planiramo prema potrebi klijenata |
| Cyber security insurance | Polica nije ugovorena u ovom trenutku |
5. SLA i dostupnost
| Ciljani uptime | 99% mjesečno (B2B) |
| Učestalost sigurnosnih kopija | Dnevne i tjedne sigurnosne kopije |
| Razdoblje čuvanja sigurnosnih kopija | 90 dana |
| RTO (Recovery Time Objective) | 4 sata za kritične komponente |
| RPO (Recovery Point Objective) | Do 24 sata gubitka podataka u najgorem slučaju |
| Statusna stranica | javni status portal (u pripremi) |
| Obavještavanje o incidentu | Do 48 sati za B2B klijente, 72 sata za AZOP |
| Audit prava klijenta | Vendor questionnaire godišnje (besplatno), on-site audit uz najavu 30 dana |
6. Izvori podataka
| Sudski registar | REST API (Ministarstvo pravosuđa i uprave) |
| e-Oglasna | REST API (Ministarstvo pravosuđa i uprave) |
| e-Predmet | GraphQL portal (Ministarstvo pravosuđa); stranke anonimizirane na inicijale |
| FINA PONIP | REST API i javno objavljeni snimci (FINA) |
| DZS RPS | XLSX / SOAP (Državni zavod za statistiku) |
| DGU — katastar | Katastarski podaci (Državna geodetska uprava) |
| TED | REST API (EU portal javne nabave) |
| EU FSF sankcije | EEAS konsolidirana lista (AML signal) |
| Eurostat HCSI | Indikatori cijena nekretnina (agregirano) |
| Eurostat NUTS | Klasifikacija teritorijalnih jedinica |
| BRIS | EU međupovezani poslovni registri |
| IRI | Indeks registriranih interesa |
| Pravni status izvora | Sve javno objavljeno od strane državnih tijela RH, EU institucija ili agencija |
| Skene izvornih dokumenata | Ne pohranjujemo — samo poveznice na izvore |
7. B2B uvođenje klijenta proces
- Pregled ovog Sigurnosnog profila (5–10 minuta)
- Po potrebi: popunjavanje vašeg sigurnosnog upitnika (SIG, CAIQ ili vlastiti) — vrijeme reakcije 5–10 radnih dana
- Sklapanje Posebnih B2B uvjeta s pripadajućim Prilogom 1 (cijena, opseg)
- Sklapanje Ugovora o obradi podataka (DPA)
- Po želji: pregled internih dokumenata (LIA, ROPA, Breach Response Plan) uz NDA
- Po želji: tehnički uvođenje klijenta razgovor (API integracija, postavljanje računa)
8. Što nemamo (transparentnost)
Radi transparentnosti, navodimo i ono što trenutno nemamo, kako biste mogli procijeniti je li u skladu s vašim zahtjevima:
- ISO 27001 certifikat (planirano kad poslovanje doraste)
- SOC 2 Type II certifikat (planirano za enterprise klijente)
- Penetration testing izvještaj treće strane (u planu za 2026.)
- Program nagrada za prijavu sigurnosnih propusta program (u razmatranju)
- Dedicirani security team (operativnu sigurnost vodi obrt iz jednoosobne strukture)
Za većinu B2B klijenata u našem cjenovnom segmentu (250–1000 EUR/mj) ove certifikacije nisu zahtjev. Ako vaša organizacija zahtijeva ove certifikate, javite se — možemo razmotriti ubrzanje plana ili alternativna jamstva.
9. Kontakti
- Primarni kontakt (prodaja, sigurnost, zaštita podataka, prijava incidenta): alwayshere@datadot.hr
- Backup kontakt za zaštitu podataka i GDPR zahtjeve (failover ako primarna adresa nije dostupna): dpo@datadot.hr
- Hitan kontakt za poslovne klijente: dostavlja se u sklopu Ugovora o obradi podataka
- Poštanska adresa: dostupna na zahtjev putem gornje adrese