Praćenje stroge zakonske regulative koja ima za cilj osigurati zaštitu prava potrošača te adekvatna priprema na prijetnje u području kibernetičke sigurnosti za svaki webshop mora biti polazišna osnova na temelju koje gradi svoju reputaciju i osigurava povjerenje potrošača, rečeno je na meetupu udruge eCommerce Hrvatska koji je održan sinoć u Sky Office centru u Zagrebu.
I dok nekima utorak zasigurno nije omiljeni dan u tjednu, u udruzi eCommerce Hrvatska upravo je zadnji utorak u mjesecu jedan od najužurbanijih dana jer se priprema održavanje susreta na temu koja je u tom trenutku najaktualnija. U veljači smo ovaj dan posvetili temama koje su dakako uvijek aktualne i predstavljaju temelj za gradnju bilo kakvog poslovanja u online prodaji te smo pred publiku izveli one koji o tome najviše znaju – o pravnoj regulativi govorili su odvjetnici Dijana Kladar i Denis Mišić, dok je o povezanom aspektu sigurnosti svoje poglede podijelio Matko Antun Bekavac, stručnjak za kibernetičku sigurnost.
Najviše se govorilo o najnovijim zakonskim promjenama, interpretacijama i primjeni zakona u praksi, uz poseban naglasak na GDPR, zaštitu potrošača, NIS2 direktivu i oglašavanje.
Panel diskusije moderirao je Dino Oreški, tajnik udruge eCommerce Hrvatska i konzultant za digitalni marketing, a u prvom razgovoru na njegova su pitanja odgovarali Denis Mišić i Matko Antun Bekavac.
Denis Mišić je istaknuo kako NIS2 direktiva predstavlja temelj za izgradnju sigurnijeg digitalnog okruženja, što je od ključne važnosti za webshopove i ostale poslovne subjekte u procesu online prodaje. Ova direktiva ujedno predstavlja ključni pravni okvir EU-a usmjeren na poboljšanje kibernetičke sigurnosti unutar država članica.
“Nova EU Direktiva o kibernetičkoj sigurnosti (NIS2 direktiva), punog naziva Direktiva o mjerama za visoku zajedničku razinu kibernetičke sigurnosti diljem Europske unije stupila je na snagu 16. siječnja 2023. te države članice od tada imaju rok od 21 mjesec da to implementiraju u nacionalna zakonodavstva. Republika Hrvatska je to provela te je Zakon o kibernetičkoj sigurnosti stupio na snagu prije desetak dana, točnije 15. veljače 2024. godine”, pojasnio je Mišić.
Novom su direktivom značajno prošireni i zahtjevi koji se odnose na eCommerce djelatnost, dodao je precizirajući kako se to prvenstveno odnosi na povećanje sigurnosnih standarda te obvezu izvještavanja o incidentima.
Odgovarajući na pitanje koje su najbolje prakse te kako se voditelji webshopova trebaju educirati i upravljati rizicima, Matko Antun Bekavac je rekao kako je najbolji način da kontinuirano prate zbivanja tako što se druže s drugim voditeljima web trgovina kako bi dijelili iskustva.
“U današnjim uvjetima nitko nije siguran jer s unaprjeđenjem tehnologije i klinci mogu hakirati čak i ozbiljne informacijske sustave. Nedavno je bio slučaj gdje je jedan sasvim prosječan haker mijenjao cijene na jednom webshopu iz eura u jene i doveo trgovinu u ogromne probleme”, pojasnio je Matko dodajući kako je čovjek zapravo najslabija karika u svakoj organizaciji. “Sustavi su uglavnom dobri. Mi radimo na edukaciji ljudi jer je to ključno. Ako su ljudi obučeni i znaju da napad može doći preko maila ili sms poruke takve se situacije mogu izbjeći. Najmanje što možemo napraviti je pričati o tome i educirati se te eliminirati stav da se to uvijek dešava nekome drugome. Ne, ovo se dešava svima“, upozorio je Matko.
Kako bi smanjili mogućnost ovakvih prijetnji, voditeljima webshopova preporučuje da se pažljivo pregleda CMS sustav, utvrde koje sve ovlasti imaju korisnički računi, postoje li neka otvorena API sučelja te obavezno koriste alati koji analiziraju i otkrivaju kibernetičke prijetnje kao što je SCANweb. Kao primjer je naveo da je ovih dana aktivna phishing kampanja u kojoj korisnici dobivaju lažne obavijesti o prispijeću pošiljke Hrvatske pošte. “Ovakve prevare sve je teže otkriti jer je komunikacija sve uvjerljivija. Ipak, kao korisnici trebamo biti malo oprezniji jer ako je nešto previše dobro da bi bilo istinito to obično i nije istinito“, naglasio je Matko.
Kada je riječ o platformama na kojima webshopovi rade, Matko je kao najsigurniju izdvojio Shopify. Za WooCommerce je rekao da je dobar s obzirom na to koliki broj webshopova egzistira na toj platformi dodajući kako je upravo ta masovnost određeni oblik zaštite jer se po zakonu velikih brojeva misli “neće baš mene potrefiti od toliko shopova”.
“U budućnosti možemo očekivati još sofisticiranije ugroze sigurnosti pri čemu treba znati da se oko 70 posto napada danas izvodi preko virusa koji se ne skida na računalo nego se izvršava u memoriji, što klasični antivirusni programi ne primjećuju”, upozorio je Matko.
On je dodao kako treba koristiti pentest alate koji simuliraju kibernetičke napade kako bi se steklo praktično znanje na koji način reagirati kada do takvih napada i dođe.
Za NIS2 direktivu rekao je kako to nije nešto zbog čega će web trgovci trpjeti, nego da im adekvatna primjena može uštedjeti novce kada se nešto dogodi. “Nemate što razmišljati, sve je propisano i treba slijediti procedure koje će vaše poslovanje učiniti sigurnijim kako bi se sačuvalo povjerenje kupaca. NIS2 je samo još jedan korak koji ulijeva povjerenje kupcima“, poručio je ovaj kibernetički stručnjak.
Dino Oreški se nadovezao na to rekavši kako je vjerodostojnost i sigurnost webshopa ono što kupac prvo gleda i da u tome ključnu ulogu imaju certifikati kao što je Trusted Shop. “Zato je kibernetička sigurnost od ključne važnosti za poslovanje, a to pogotovo vrijedi ako znate da čak 60 posto kupaca gleda imate li certifikat povjerenja na svom webshopu”, naglasio je Dino.
Denis Mišić se na to referirao rekavši kako se zbog sigurnosnih incidenata gubi povjerenje potrošača. “To se zove reputacijski rizik i nikako se ne bi smjelo gubiti iz vida jer je riječ o dugoročnoj šteti za poslovanje“, upozorio je.
On je pojasnio kako su u području NIS2 direktive odgovorni vlasnici i voditelji webshopova te ako se ne implementiraju mjere sigurnosti propisane su korektivne sankcije, privremena suspenzija i zabrana obavljanja djelatnosti. Novčane kazne su niže nego kod GDPR direktive, ali njihov iznos je i dalje značajan te može ići i do dva posto godišnjeg prometa. “Kako bi se to izbjeglo, voditelji webshopova trebaju uskladiti svoje poslovanje te provesti analizu postojećih ugovora i pravnih odnosa, educirati zaposlenike, revidirati poslovne odnose s partnerima i to inkorporirati u nove ugovore te izvještavati o sigurnosnim incidentima”, poručio je Denis.
U drugom panelu gošća Dine Oreškog bila je Dijana Kladar, članica Upravnog odbora udruge eCommerce Hrvatska, odvjetnica, predavačica na eCommerce akademiji i članica stručnog žirija eCommAwardsa.
Uvodno je pojašnjeno kako je Generalna uredba o zaštiti podataka (GDPR) od svoje prve primjene 2018. godine doživjela nekoliko izmjena. Za razliku od NIS2 direktive, koja dolazi najesen, GDPR je dobro znan svakom poslovnom subjektu koji svoje poslovanje bazira na digitalnim tehnologijama te zahtijeva od webshopova da implementiraju stroge mjere zaštite podataka, osiguravajući da su osobni podaci korisnika sigurno pohranjeni i obrađeni.
To uključuje pridržavanje principa minimalizacije podataka, transparentnosti, ograničenja svrhe i integriteta te povjerljivosti podataka. Izbjegavanje visokih kazni koje GDPR može nametnuti za kršenje njegovih odredbi je ključno – kazne mogu dosegnuti do 4% godišnjeg globalnog prometa poduzeća ili 20 milijuna eura, ovisno o tome što je veće.
S druge strane, Dijana je naglasila kako usklađenost s GDPR-om pomaže u izgradnji povjerenja potrošača jer pokazuje da webshop ozbiljno shvaća privatnost i sigurnost njihovih podataka, što može povećati lojalnost kupaca i potaknuti veću angažiranost.
Pritom je podsjetila kako je zbog povrede GDPR-a u Hrvatskoj izrečena najviša kazna od masivnih 6 milijuna eura. “Neka srednja kazna koju možete dobiti kreće se od 50-100 tisuća eura, ali za korporacije se obično gleda kriterij ostvarenog prometa pa je to bio slučaj i kod ove rekordne kazne”, rekla je Dijana.
Nadalje je pojasnila kako je Agencija za zaštitu osobnih podataka (AZOP) zauzela stav da se pravila privatnosti moraju implementirati u sve poslovne procese, bez obzira na to je li riječ o komunikaciji putem newslettera ili obavljanju dostave. Pritom službenik za zaštitu podataka u tvrtki ne može biti vlasnik ili voditelj nekog odjela jer se to smatra sukobom interesa.
Za nju je dosta iznenađujuća praksa koju AZOP primjenjuje u zadnje vrijeme, a to je da su počeli intenzivno provjeravati male trgovce te njihovu pravnu usklađenost kada je riječ o općim pravilima privatnosti ili korištenju kolačića.
Također je istaknula da je implementacija ovih odredbi važna i zbog poslovne suradnje s partnerima. “U budućnosti će se dešavati da će velike kompanije s kojima surađujete analizirati vaše standarde poslovanja jer ste njihov izvršitelj, što će biti ključan preduvjet za nastavak poslovne suradnje”, naglasila je Dijana.
Dino je odgovorio na pitanje iz publike vezano za Google Ads, konkretno za Consent mode V2 koji stupa na snagu od 6. ožujka 2024. “Google Ads uvjetuje da imate sustav u kojem pohranjujete samo one podatke za koje imate privolu. Korisnicima koji vam ne daju privolu ne smijete slati personalizirane oglase i remarketing“, objasnio je Dino.
Time je zaključen program meetupa Webshop legislativa u praksi (i sigurnost informacijskih sustava), a zahvalivši se svojim sugovornicima Dino je najavio je sljedeće okupljanje za 26. ožujka kada ćemo razgovarati na temu email automatizacija.
Vodič za potpunu usklađenost offline i online trgovine
Sadržaj vodiča:
• Minimalni tehnički uvjeti
• Opći uvjeti poslovanja na webu i u offline trgovini
• Posebni oblici prodaje – akcije i sniženja
• Označavanje proizvoda prilikom plasiranja na tržište
• GDPR regulativa u online prodaji
i još mnogo toga!
Udruga eCommerce Hrvatska svečano predstavila magazin o online prodaji
Istraživanje online kupaca 2023. – Vjeruju domaćim webshopovima, ali nerado plaćaju karticom
Oglašavanje na Facebooku i Instagramu: Nema instant rezultata
Kada posjetite bilo koju web stranicu, ona može pohraniti ili dohvatiti informacije na vašem pregledniku, uglavnom u obliku kolačića. Ovdje možete upravljati postavkama svojih preferencija za kolačića.