# Gdje smo zapeli sa Dropom — Status Report (2026-02-20) # Gdje smo zapeli sa Dropom **Datum:** 2026-02-20 **Autor:** John (AI Director) --- ## Executive Summary Drop je **MVP demo** — lijep UI, kompletna dokumentacija, security-hardened kod, ali **nula pravih plaćanja**. Kritični blocker: **banking partner** (SpareBank 1 pitch pending). --- ## Svi sistemi koje Drop treba da bi radio ### 1. BANKING PARTNER (Blocker #1 — KRITIČNO) Drop je PSD2 pass-through — **nikad ne drži pare korisnika**. Ali za to treba: | Potreba | Opis | Status | |---------|------|--------| | Open Banking API | AISP za čitanje balansa, PISP za iniciranje plaćanja | ❌ NEMA — mock only | | BankID integracija | Strong Customer Authentication — obavezna za svaku transakciju | ❌ NEMA — demo mode | | Settlement | SEPA, domaći transferi | ❌ NEMA | | Regulatorna kišobran | Agent model — Drop radi pod bankovnom licencom | ❌ NEMA | **SpareBank 1 Sør-Norge Partnership:** - Kontakt: Edis Sabaredzovic (edis.sabaredzovic@sb1sornorge.no) - Pitch poslan 2026-02-16 (updated verzija) - Materijali: Partnership PDF, 10 screenshots, 90s demo video, storyboard - Predložen model: 70/30 revenue split (Drop/SpareBank) - **Status: ČEKAMO ODGOVOR** **Bez banking partnera = Drop ne može:** - Pristupiti Open Banking API-jima - Implementirati BankID SCA - Procesirati prava plaćanja - Dobiti PISP/AISP licencu --- ### 2. KYC/AML SISTEM | Komponenta | Status | Napomena | |-----------|--------|----------| | Sumsub SDK | ✅ Integriran (JEDINA produkcijska integracija) | Auto-approve u demo modu | | PEP screening | ❌ NEMA | Treba za compliance | | Sanctions screening | ❌ NEMA | Treba za compliance | | Transaction monitoring | ❌ NEMA | Obavezno za AML | --- ### 3. REMITTANCE BACKEND | Potreba | Status | |---------|--------| | Wise Business API ili Thunes | ❌ Planirano, ništa integrirano | | Koridor provideri (Srbija, BiH, Pakistan, Turska, Poljska, EU) | ❌ Planirano | | Exchange rate real-time feed | ❌ Planirano | --- ### 4. LICENCA (Finanstilsynet) | Opcija | Timeline | Kapital | Status | |--------|----------|---------|--------| | Agent model (SpareBank) | 1-3 mjeseca | 0 EUR | ❌ Čeka SpareBank odgovor | | Begrenset betalingsforetak | 3-6 mjeseci | 0 EUR (limit 6M NOK/mj) | ❌ Backup plan | | Ordinaert betalingsforetak | 6-12 mjeseci | 125,000 EUR | ❌ Full EEA opcija | **Nije aplicirano ni za jednu opciju.** --- ### 5. PAYMENT INFRASTRUKTURA | Komponenta | Status | |-----------|--------| | QR payment processing | ❌ Treba settlement partner | | Card issuing | ❌ Stripe mock postoji, treba pravi partner | | Exchange rate provider | ❌ Za remittance konverzije | --- ### 6. DATABASE MIGRACIJA - **Trenutno:** SQLite (better-sqlite3) — 19 tabela - **Problem:** Neće skalirati preko ~200 korisnika - **Treba:** PostgreSQL migracija za produkciju --- ### 7. HOSTING / INFRASTRUKTURA | Komponenta | Status | |-----------|--------| | Landing page (getdrop.no) | ✅ Vercel | | Staging | ✅ Fly.io (drop-staging.fly.dev) | | Production | ❌ Treba proper produkcijski setup | --- ### 8. COMPLIANCE DOKUMENTACIJA - ✅ 16 legal dokumenata pripremljeno (SVE draft status) - ❌ Processing register — nije kreirano - ❌ DPO appointment — nije urađeno - ❌ Data retention policy — nije definisano - ❌ Penetration test — nije urađen **Overall compliance readiness: 8/100** --- ### 9. CRM / MARKETING - **Trenutno:** NIŠTA — korisnici/merchanti direktno u SQLite - **Treba:** CRM za merchant acquisition, user management, marketing automation --- ## Šta Drop TRENUTNO ima (šta radi) ### Tech Stack - **Frontend:** Next.js 16 + React 19 + Tailwind v4 - **Backend:** Next.js API Routes (26 endpoints) - **Database:** SQLite sa 19 tabela (12 core + 7 compliance) - **Auth:** JWT (jose) u httpOnly cookies - **QR:** qrcode.js + html5-qrcode - **Mobile:** Expo Router (React Native) — 8 screens (scaffold, većina nije wired) ### Šta radi u demo modu - ✅ User registration/login - ✅ Dashboard sa mock podacima - ✅ Remittance flow (UI + mock processing) - ✅ QR payment scanning (UI + mock) - ✅ Merchant registration - ✅ Transaction history - ✅ GDPR endpoints (data export, consent, complaints) - ✅ Security hardened (0 CRITICAL, 0 HIGH findings) ### Jedina prava integracija - ✅ **Sumsub** — KYC SDK integriran i production-ready --- ## Kritični path do Go-Live ``` 1. Secure banking partner (SpareBank odluka ili pivot na Swan BaaS) ↓ 2. PISP/AISP registracija sa Finanstilsynet (zahtijeva partnera) ↓ 3. BankID integracija (zahtijeva partner API pristup) ↓ 4. Real KYC aktivacija (Sumsub production mode) ↓ 5. Transaction monitoring system (AML compliance) ↓ 6. PostgreSQL migracija (skalabilnost) ↓ 7. External penetration test (security validacija) ↓ 8. GO LIVE ``` **Timeline procjena:** - Ako SpareBank kaže DA → **3-6 mjeseci** do pilot launcha - Ako nema partnera → **6-12 mjeseci** za full licencu --- ## Rizici | Rizik | Vjerovatnoća | Uticaj | Mitigacija | |-------|-------------|--------|------------| | SpareBank odbije | SREDNJA | KRITIČAN | Pivot na Swan BaaS ili drugu banku | | Finanstilsynet zahtijeva više | SREDNJA | VISOK | 16 legal dokumenata već pripremljeno | | Sumsub production problemi | NISKA | SREDNJI | SDK već integriran, samo switch na prod | | SQLite bottleneck | NISKA | SREDNJI | PostgreSQL migracija planirana | --- ## Zaključak Drop je tehnički spreman za integraciju — UI gotov, API gotov, security hardened, legal docs pripremljeni. **Jedini pravi blocker je banking partner.** Sve ostalo se može paralelizirati čim imamo partnera. Sljedeći korak: **Pratiti SpareBank odgovor** i pripremiti backup plan (Swan BaaS ili direktna aplikacija za licencu).