Sigurnosni pregled FAST platforme

Verzija 1.0 - Zadnje ažuriranje: travanj 2026.

1. Pregled

Ovaj dokument opisuje tehničke i organizacijske mjere zaštite podataka koje FAST platforma primjenjuje sukladno članku 32. Opće uredbe o zaštiti podataka (GDPR). Mjere su osmišljene uzimajući u obzir najnovija dostignuća, troškove provedbe, prirodu, opseg, kontekst i svrhe obrade te rizike za prava i slobode ispitanika.

Odgovorna osoba:
BLACKLINE CONSULTING d.o.o.
Ulica dr. Ivana Broza 9, 49290 Klanjec, OIB: 50965180468

2. Infrastruktura

✓ Hosting: Railway (EU regija) - upravljana platforma s automatskim skaliranjem
✓ TLS 1.3 enkripcija za sve komunikacije u prijenosu
✓ Privatna mreža - baza podataka i Redis nisu izloženi javnom internetu
✓ Docker kontejneri s ograničenim računalnim resursima
✓ Automatske migracije baze podataka pri svakoj implementaciji

3. Pristup i autentifikacija

✓ API ključevi zaštićeni SHA-256 hashiranjem (nikada u čistom tekstu)
✓ Višefaktorska autentifikacija (MFA/TOTP) za administratorske račune
✓ Row-Level Security (RLS) za izolaciju zakupaca na razini baze podataka
✓ Ograničenje broja zahtjeva: 500 zahtjeva po minuti po zakupcu
✓ Super admin pristup zaštićen zasebnim ključem i ograničenjem IP adresa
✓ CORS ograničen na konfigurirane domene u produkciji

4. Zaštita podataka

✓ Pseudonimizacija korisničkih podataka (isključivo ID-evi, bez osobnih podataka)
✓ Append-only revizijski trag za bet_events tablicu
✓ HMAC-SHA256 potpisi na webhook porukama
✓ AES-256-GCM enkripcija webhook tajni u bazi podataka
✓ Sva financijska aritmetika u cijelim centima
✓ Rokovi čuvanja: 5 godina bet_events, 1 godina webhook zapisi, 90 dana logovi

5. Nadzor i odgovor na incidente

✓ Strukturirano zapisivanje događaja (JSON format, correlation ID)
✓ Obavijest o povredi podataka u roku od 48 sati (GDPR čl. 33.)
✓ Maintenance mode za hitne intervencije
✓ Program odgovornog otkrivanja ranjivosti

6. Sigurnosne mjere u kodu

✓ Zaštita od SQL injection - parametrizirani upiti u cijelom sustavu
✓ UUID validacija na svim identifikatorima zakupaca
✓ Validacija ulaznih podataka na adapter sloju
✓ Zaštita od race condition stanja (FOR UPDATE zaključavanje)
✓ Ograničenje veličine tijela zahtjeva na 256 KB
✓ Idempotentnost unosa oklada (unique index)

7. Planirane mjere

● SOC 2 Type II certifikacija
● Godišnje penetracijsko testiranje