Izgradnja softvera za reguliranu industriju nije teža od izgradnje za nereguliranu — drugačija je. Kod je sličan. Arhitektura je slična. Ono što se mijenja je skup ograničenja koja proizvod mora zadovoljiti prije nego može legalno poslovati. Ta ograničenja utječu na trošak (+30 – 60 % u odnosu na neregulirano), rokove (+4 – 8 tjedana) i arhitekturu (revizijski tragovi, enkripcija, pristup temeljen na ulogama, rezidencija podataka). Ako planirate sukladnost od prvog dana, to je upravljivo. Ako je naknadno dodajete, skupo je i ponekad nemoguće.
Ovaj članak pokriva što se mijenja pri razvoju za fintech, healthtech i edtech — tri regulirane vertikale s kojima se najčešće susrećemo.
Što sve regulirane industrije dijele
Bez obzira na specifičnu vertikalu, regulirani softver mora upravljati:
- Revizijskim tragovima. Svaka značajna radnja se bilježi — tko ju je izveo, kada i što se promijenilo. Zapisi su nepromjenjivi.
- Enkripcijom podataka. U mirovanju i u prijenosu. AES-256 za pohranu, TLS 1.2+ za transport. Bez iznimaka.
- Pristupom temeljenim na ulogama (RBAC). Korisnici vide samo podatke i funkcije za koje su ovlašteni.
- Rezidencijom podataka. Podaci se moraju pohraniti u specifičnim geografskim regijama. Podaci iz EU-a ostaju u EU-u.
- Planom odgovora na incidente. Dokumentiran plan za povrede podataka, uključujući rokove obavijesti (72 sata prema GDPR-u). Za potpuni GDPR okvir pogledajte GDPR za softver po mjeri.
Fintech: što se mijenja
Ključni propisi: PSD2 (Direktiva o platnim uslugama), AML (sprječavanje pranja novca), KYC (upoznaj svog klijenta), MiFID II (za investicijske usluge), GDPR.
Što to znači za proizvod:
- Verifikacija identiteta (KYC). Korisnici moraju biti verificirani prije određenih transakcija. To obično zahtijeva integraciju s pružateljem KYC usluga. Planirajte €2.000 – €5.000 za integraciju.
- Nadzor transakcija (AML). Sustav mora označiti sumnjive transakcije na temelju predefiniranih pravila.
- Licenciranje. Ovisno o tome što proizvod radi (plaćanja, kreditiranje, investiranje), možda ćete trebati dozvolu nacionalnog financijskog regulatora. U Hrvatskoj to je HNB ili HANFA. Licenciranje može trajati 6 – 18 mjeseci.
- Snažna autentifikacija klijenta (SCA). PSD2 zahtijeva dvofaktorsku autentifikaciju za elektronička plaćanja.
Utjecaj na trošak: +40 – 60 % na osnovni razvojni trošak. Fintech MVP koji bi nereguliran koštao €30.000, s ugrađenom sukladnošću obično košta €45.000 – €50.000.
Healthtech: što se mijenja
Ključni propisi: GDPR (zdravstveni podaci su posebna kategorija), MDR (Uredba o medicinskim proizvodima — ako se softver kvalificira kao medicinski proizvod), nacionalni zakoni o zdravstvenim podacima.
Što to znači za proizvod:
- Rukovanje zdravstvenim podacima. GDPR klasificira zdravstvene podatke kao “posebnu kategoriju” koja zahtijeva izričit pristanak, strože kontrole pristupa i procjene učinka na zaštitu podataka (DPIA).
- Klasifikacija medicinskog proizvoda. Ako softver pruža dijagnostičke preporuke ili podršku kliničkim odlukama, može se klasificirati kao medicinski proizvod prema MDR-u. To pokreće CE označavanje, koje košta €30.000 – €100.000 i traje 6 – 12 mjeseci. Ako je vaš proizvod operativni (raspoređivanje, naplata, upravljanje zapisima), MDR se vjerojatno ne primjenjuje.
- Interoperabilnost. Zdravstveni IT sustavi trebaju razmjenjivati podatke koristeći standarde poput HL7 FHIR.
Utjecaj na trošak: +30 – 50 % za operativni zdravstveni softver. +100 – 200 % ako se primjenjuje MDR (zbog troškova certifikacije).
Edtech: što se mijenja
Ključni propisi: GDPR (posebno za maloljetnike), nacionalni zakoni o obrazovnim podacima, standardi pristupačnosti (WCAG 2.1 AA ili EN 301 549 u EU-u).
Što to znači za proizvod:
- Zaštita podataka maloljetnika. Ako su korisnici mlađi od 16 godina, potreban je roditeljski pristanak za prikupljanje podataka. Tijek pristanka mora biti provjerljiv, ne samo potvrdni okvir.
- Pristupačnost. Obrazovni softver u EU-u mora zadovoljiti WCAG 2.1 AA standarde. To utječe na UI dizajn, kontrast boja, navigaciju tipkovnicom i kompatibilnost s čitačima zaslona. Pristupačnost nije opcionalna — zakonski je zahtjev.
- Moderacija sadržaja. Ako korisnici mogu stvarati ili dijeliti sadržaj, platforma mora imati moderacijske sposobnosti za zaštitu maloljetnika.
Utjecaj na trošak: +20 – 40 % za sukladnost pristupačnosti. Zaštita podataka maloljetnika dodaje €2.000 – €5.000 za arhitekturu tijeka pristanka.
Kako regulacija utječe na arhitekturu
| Zahtjev | Arhitektonski utjecaj |
|---|---|
| Revizijski tragovi | Event sourcing ili append-only zapisi; zasebna revizijska baza |
| Enkripcija u mirovanju | Enkripcija na razini baze ili polja; sustav upravljanja ključevima |
| RBAC | Sustav dozvola ugrađen u backend od prvog dana |
| Rezidencija podataka | Regionalno specifična infrastruktura (EU pružatelji oblaka ili EU regije AWS/GCP/Azure) |
| Pristupačnost | Biblioteka komponenti odabrana za WCAG sukladnost; testiranje integrirano u QA |
Ključna točka: ovo mora biti dizajnirano u arhitekturu od početka. Naknadno dodavanje revizijskih tragova u sustav koji nije za njih građen zahtijeva preoblikovanje podatkovnog sloja — što je u biti ponovna izgradnja.
Pristup “sukladnost na prvom mjestu”
Preporučujemo ugradnju sukladnosti u temelje, ne naknadno dodavanje:
- Discovery uključuje mapiranje sukladnosti. Tijekom Discovery sprinta identificiramo svaki regulatorni zahtjev i dizajniramo arhitekturu koja ih zadovoljava.
- Sukladnost je prvorazredna značajka. Revizijski tragovi, enkripcija i RBAC su u prvom sprintu, ne u desetom.
- Pravni pregled prije razvoja. Regulatorni krajolik pregledava se s odvjetnikom prije prve linije koda, ne nakon lansiranja.
Često postavljana pitanja
Mogu li izgraditi MVP i dodati sukladnost kasnije? Za neke zahtjeve (pristupačnost, tijekovi pristanka), da — ali planirajte trošak. Za druge (enkripcija podataka, revizijski tragovi), ne — naknadno ugrađivanje teže je od ispravne izgradnje.
Trebam li odvjetnika? Da. Tehnološki odvjetnik koji poznaje vašu vertikalu košta €150 – €300/sat i štedi vas od skupih pogrešaka. Planirajte €3.000 – €8.000 za pravni pregled specifikacije proizvoda.
Je li regulativa ista u cijelom EU-u? GDPR vrijedi za cijeli EU. Sektorske regulacije (licenciranje fintecha, zdravstveni podaci, obrazovanje) variraju po državama. Uvijek provjerite nacionalne zahtjeve za ciljno tržište.
Povezani članci
- Imate ideju za vertikalni softver? Kako je potvrditi — Validacija za regulirane vertikale.
- GDPR za softver po mjeri — Potpuna lista GDPR sukladnosti.
- Od stručnosti do softverskog proizvoda — Priručnik za osnivače koji se primjenjuje i na regulirane industrije.
Gradite za reguliranu industriju?
Zakažite besplatni poziv od 30 minuta. Identificirat ćemo regulatorne zahtjeve za vašu vertikalu, procijeniti trošak sukladnosti i pomoći vam planirati izgradnju koja je sukladna od prvog dana.
Javite nam se na [email protected] ili putem forme na našoj početnoj stranici.