Trust centar

Korisnički podaci (profili, stranice, sadržaj, poslovni dokumenti, audit zapisi) pohranjuju se u Supabase PostgreSQL bazi podataka smještenoj u EU regiji (AWS eu-central-1, Frankfurt, Njemačka). Ova regija je odabrana jer se nalazi unutar Europskog gospodarskog prostora i podliježe GDPR-u.

Statički i dinamički web sadržaj distribuira se putem Cloudflare Workers i Cloudflare CDN mreže, čiji su relevantni Edge čvorovi locirani diljem EU-a. Cloudflare je potpisnik EU-US Data Privacy Framework i primjenjuje standardne ugovorne klauzule za prijenose izvan EGP-a.

E-mail komunikacija (transakcijski mailovi, obavijesti, claim tokeni) šalje se putem Resend servisa. Resend podatke obrađuje u skladu s GDPR-om i pruža DPA (Data Processing Agreement) na zahtjev.

LLM.com.hr obrađuje osobne podatke u skladu s Uredbom (EU) 2016/679 (GDPR) i relevantnim zakonodavstvom Republike Hrvatske, uključujući Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/2018).

Za svaku vrstu obrade identificirali smo pravnu osnovu: izvršavanje ugovora, legitimni interes ili privola, kako je detaljno opisano u Politici privatnosti. Prava ispitanika (pristup, ispravak, brisanje, prenosivost, prigovor) možete ostvariti slanjem zahtjeva na info@llm.com.hr.

U slučaju povrede osobnih podataka koja predstavlja visoki rizik za prava i slobode fizičkih osoba, obavijestit ćemo AZOP (Agenciju za zaštitu osobnih podataka) u roku od 72 sata te obavijestiti pogođene ispitanike prema propisanoj proceduri.

Autentikacija i upravljanje sesijama: koristimo Supabase Auth s JWT tokenima i PKCE protokolom. Admin pristup zahtijeva posebnu provjeru uloge, a sve privilegirane rute zaštićene su server-side provjeram identiteta.

Autorizacija: Row Level Security (RLS) politike na svim Supabase tablicama osiguravaju da korisnici mogu pristupiti isključivo vlastitim podacima. Admin operacije koriste zasebni service-role ključ koji nije izložen klijentskom kodu.

Enkripcija u prijenosu: sva komunikacija koristi TLS 1.2+. Cloudflare Workers i Supabase API krajnje točke dostupni su isključivo putem HTTPS-a.

Enkripcija u mirovanju: Supabase enkriptira podatke na razini diska. Osjetljivi konfiguracijski podaci (API ključevi, tajne vrijednosti) čuvaju se kao environment varijable i nikad nisu uključeni u kod ili repozitorij.

Rate limiting: implementiran na svim javnim API endpointima i auth rutama kako bi se spriječile brute-force napade i zlouporabu.

Audit trail: sve admin akcije i ključne korisničke mutacije bilježe se u audit_events tablicu sa vremenskim markama, tipom akcije i IP adresom inicijatora.

Supabase automatski kreira dnevne backupe PostgreSQL baze podataka. Backupi se čuvaju unutar EU regije. Retention period za automatske backupe je minimalno 7 dana (ovisno o planu). Za kritičnu produkcijsku bazu koristimo point-in-time recovery (PITR) kada je dostupan.

Cloudflare Workers KV i R2 pohrana imaju vlastitu redundanciju unutar Cloudflare infrastrukture. Konfiguracijski podaci i deploy artefakti pohranjeni su u verzioniranom git repozitoriju.

Ciljno Recovery Time Objective (RTO): 4 sata za kritične komponente usluge. Recovery Point Objective (RPO): 24 sata za korisničke podatke, uz dnevne backupe.

Za prijavu sigurnosnih incidenata ili ranjivosti koristite isključivo siguran kanal: info@llm.com.hr s oznakom [SECURITY] u predmetu poruke. Odgovorni odjel potvrdit će primitak prijave unutar 2 radna dana.

Sigurnosni incidenti klasificiraju se prema ozbiljnosti (Kritično / Visoko / Srednje / Nisko). Za incidente razine Kritično i Visoko pokreće se incident response procedura koja uključuje identifikaciju, izolaciju, sanaciju i post-incident analizu.

Redovite sigurnosne preglede koda provode se pri uvođenju značajnih novih funkcionalnosti, a ovisnosti se periodički ažuriraju i provjeravaju na poznate ranjivosti pomoću automatiziranih alata.

LLM.com.hr koristi sljedeće treće strane (sub-procesore) za pružanje usluge. Svaki sub-procesor je vezan ugovorom o obradi podataka (DPA) i/ili standardnim ugovornim klauzulama.

Supabase, Inc. — baza podataka, autentikacija, pohrana (EU regija, AWS Frankfurt). Svrha: pohrana korisničkih podataka, autentikacija, row-level security.

Cloudflare, Inc. — CDN, Edge Workers, KV pohrana, DNS, zaštita od DDoS-a. Svrha: hosting, posluživanje web sadržaja, zaštita, Worker funkcije. Cloudflare je potpisnik EU-US Data Privacy Framework.

Resend, Inc. — transakcijski e-mail servis. Svrha: slanje claim tokena, obavijesti i tehničkih poruka korisnicima.

Državni zavod za statistiku / HITRO.HR (javni registri) — javni poslovni podaci. Svrha: dohvat javno dostupnih podataka o tvrtkama iz Sudskog registra (OIB, naziv, adresa). Ova integracija ne uključuje razmjenu osobnih podataka fizičkih osoba izvan onog što je javno objavljeno.

Supabase je SOC 2 Type II certificiran. Cloudflare posjeduje SOC 2 Type II, ISO 27001, PCI DSS Level 1 i niz dodatnih certifikata koji su dostupni na njihovim stranicama.

LLM.com.hr kao tvrtka trenutno se priprema za uspostavu formalnog ISMS-a (Information Security Management System) sukladnog ISO 27001 standardu. Status: u pripremi, nije certificiran.

Penetracijsko testiranje: planirano kao dio procesa zrele sigurnosne prakse. Rezultati eksternih testova bit će dostupni na zahtjev pod NDA-om potencijalnim enterprise klijentima.

Ovaj Trust centar ažuriramo pri svakoj značajnoj promjeni u infrastrukturi, sub-procesorima ili sigurnosnoj politici. Datum zadnjeg ažuriranja vidljiv je na vrhu stranice.

Za pitanja, prijedloge ili zahtjeve koji se odnose na ovaj dokument, kontaktirajte nas na info@llm.com.hr.