Bezbednost plaćanja i podataka
Poslednje ažuriranje: 2. jul 2026.
1. Pristup bezbednosti — opšti princip
Pružalac usluge PRAVNA DOO (portal „Pravna.rs") primenjuje mere zaštite koje odgovaraju prirodi i obimu obrađenih podataka, u skladu sa Zakonom o zaštiti podataka o ličnosti i GDPR-om. Bezbednosni okvir kombinuje organizacione i tehničke mere — od kontrole pristupa i revizije logova, do enkripcije i segregacije okruženja.
2. Bezbednost kartičnih plaćanja
- Pravna.rs nikada ne čuva pun broj kartice (PAN), CVV/CVC kod, niti otisak kartice. Svi podaci kartice unose se isključivo na 3-D Secure stranici banke kroz akreditovan kartični procesor (Payten / Asseco SEE), koji posluje u skladu sa PCI DSS Level 1 standardom.
- Pravna.rs čuva isključivo tokenizovan referentni id kartice, brand (Visa / Mastercard / Maestro / DinaCard) i poslednje četiri cifre — radi prikaza u korisničkom nalogu i automatske obnove pretplate.
- Sve transakcije obavljaju se kroz 3-D Secure 2.x tok sa jakom autentifikacijom korisnika (Strong Customer Authentication — SCA), u skladu sa propisima Narodne banke Srbije o platnim uslugama. Autorizaciju vrši banka Korisnika (push notifikacija u m-banking aplikaciji ili SMS OTP), nikako Pravna.rs.
- Za plaćanja u dinarima dostupan je i NBS IPS QR instant prenos, koji omogućava plaćanje godišnje pretplate iz m-banking ili e-banking aplikacije domaće banke.
3. Šifrovanje, prenos i mirovanje podataka
- Sva komunikacija između korisnika, portala i procesora plaćanja zaštićena je TLS 1.2+ šifrovanjem (TLS 1.3 gde je podržan); HTTP saobraćaj se preusmerava na HTTPS.
- HSTS politika je uključena na produkcijskom okruženju radi sprečavanja downgrade napada.
- Podaci u mirovanju u Azure SQL bazi i Azure Storage šifrovani su prema standardu Microsoft platform encryption (AES-256 / TDE).
- Backup-ovi baze se izvode u skladu sa retention politikom platforme (PITR — point-in-time restore) i čuvaju u istom EU regionu.
4. Kontrola pristupa i identifikacija
- Pristup korisničkom nalogu zahteva e-mail i lozinku, sa rate-limiting-om i lock-out mehanizmom kod ponovljenih neuspešnih prijava.
- Verifikacija telefona obavezna je u toku registracije (SMS OTP). Kod važi 10 minuta i dozvoljeno je najviše 5 pokušaja.
- Lozinke se čuvaju isključivo u hashed obliku (PBKDF2 sa per-user salt-om), u skladu sa preporukama NIST SP 800-63B.
- Administrativni pristup infrastrukturi (Azure portal, baza, deployment) ograničen je na imenovane administratore, uz obaveznu višefaktorsku autentifikaciju (MFA) i privremene tokene.
- Privilegovane operacije (brisanje korisničkih podataka, eksport sadržaja) zahtevaju dodatnu autorizaciju i logovanje.
5. Bezbednost AI alata
- AI upiti se prosleđuju našim AI dobavljačima (Anthropic i OpenAI) kroz šifrovani kanal i ne koriste se za treniranje modela (ugovorna obaveza iz ugovora o obradi podataka).
- Sadržaj koji Korisnik otpremi (npr. ugovor za analizu) obrađuje se isključivo radi konkretne akcije i ne deli se sa drugim korisnicima.
- Odgovori AI alata grade se isključivo nad pretragama interne baze izvora; kada za pitanje nema osnova u izvorima, to se u odgovoru jasno označava.
6. Sumnja na zloupotrebu kartice
Ako sumnjate da je vaša kartica zloupotrebljena na portalu pravna.rs, postupite na sledeći način:
- Bez odlaganja kontaktirajte vašu banku radi blokade kartice.
- Prijavite incident na office@pravna.rs sa brojem fakture i približnim datumom transakcije.
- Pravna.rs će u roku od 24 sata pokrenuti istragu i, ako se utvrdi neovlašćena transakcija na našoj strani, izvršiti povraćaj na karticu putem procesora.
7. Prijava bezbednosnih ranjivosti (responsible disclosure)
Pružalac podstiče bezbednosne istraživače da diskretno prijave eventualne ranjivosti portala. Prijava se podnosi na office@pravna.rs, po mogućstvu šifrovano (PGP ključ na zahtev). Pružalac:
- potvrđuje prijem u roku od 2 radna dana;
- daje inicijalni odgovor (status, rok rešavanja) u roku od 5 radnih dana;
- obaveštava istraživača o objavi popravke i, uz njegovu saglasnost, javno odaje priznanje za doprinos.
Pravna.rs neće preduzimati pravne radnje protiv istraživača koji su pristupili sistemu u dobroj veri, isključivo radi dokazivanja ranjivosti, bez pristupa tuđim ličnim podacima i bez izazivanja ispada Servisa.
8. Postupak u slučaju povrede ličnih podataka
U slučaju povrede ličnih podataka koja može dovesti do rizika po prava i slobode lica, Pružalac postupa u skladu sa ZZPL i GDPR:
- obaveštava Poverenika u roku od 72 sata od saznanja za povredu;
- obaveštava pogođene Korisnike bez nepotrebnog odlaganja, sa opisom povrede, mogućim posledicama i merama koje su preduzete;
- vodi internu evidenciju svih povreda, bez obzira na to da li su prijavljene Povereniku.
9. Kontakt za pitanja bezbednosti
PRAVNA DOO — Kej Radoja Dakića 17, 26000 Pančevo — office@pravna.rs · +381 63 496 124