Otázky a odpovědi

1. Je hosting, resp. housing aplikace (software) cloud computingem ve smyslu zákona č. 365/2000 Sb. a musí být poskytovatel a jeho služby být zapsány v katalogu cloud computingu?

Jak se uplatní definice cloud computingu (dále také jen „CC“) podle zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů (dále jen „ZoISVS“), vůči provozním modelům tzv. „hostingu“ a „housingu“ informačních systémů veřejné správy (dále jen „ISVS“)? Uplatní se Hlava VI vůči hostingem, resp. housingem[1] provozovaným ISVS?

Odpověď:

Definice[2] cloud computingu v ZoISVS zní takto: „Cloud computingem je způsob zajištění provozu informačního systému veřejné správy nebo jeho části prostřednictvím dálkového přístupu k sdílenému technickému nebo programovému prostředku, který je zpřístupněný poskytovatelem cloud computingu a nastavitelný správcem informačního systému veřejné správy.“

Vyhláška č. 433/2020 Sb., o údajích vedených v katalogu cloud computingu (dále jen „Vyhláška“) pak dále CC rozděluje do tří tříd (viz obrázek): „Třídou cloud computingu je cloud computing ve formě infrastruktury (IaaS), cloud computing ve formě platformy (PaaS) a cloud computing ve formě aplikačního programového vybavení (SaaS).“

Obrázek výše ilustruje, které vrstvy výpočetního „stacku“ v jednotlivých modelech (sloupcích v diagramu) jsou považovány za třídy IaaS / PaaS /SaaS cloud computingu, a spadají proto do povinnosti zápisu do katalogu cloud computingu dle vyhl. č. 316/2021 Sb.

Pro přesnější vymezení hranice mezi CC a jinými formami outsourcingu (vč. hostingu a housingu) je třeba podrobněji identifikovat architektonické vrstvy a výpočetní funkce, u nichž může nastat sdílené zpracování, podléhající definici cloud computingu podle ZoISVS (viz § 2 odst. 2, písm. b)). Rozsah služeb sdílení technických a programových prostředků můžeme dále porovnat s normou ISO/IEC 22123-2[3] a 22123-3[4] (Cloud computing). Zde vyjmenované sub-role poskytovatelů CC zahrnují síťové a platformní služby (např. Network as a Service – NaaS), u kterých i v případě housingu existují rizika porušení zabezpečení v oblasti datových komunikací. Tato rizika lze nejlépe identifikovat ve vztahu k vrstvám OSI[5] modelu:

  • Komunikační infrastruktura v rámci vzdáleného přístupu zákazníka k poskytovali služeb housingu: pokud jsou OSI vrstvy 1. (fyzická), 2. (spojová) a 3. (síťová) sdíleny jako společná komunikační infrastruktura (zvenku i uvnitř datového centra), musí být zabezpečeny šifrováním[6] (např. protokolem HTTPS) na 4. transportní vrstvě a pod kontrolou zákazníka, a to v topologii od perimetru zákazníka (, tzn. orgánu veřejné správy (dále jen „OVS“)) až po jeho vlastní servery uložené v rámci housingu. Přitom přenosy dat na nižších vrstvách OSI 1. až 3. v rámci serverových racků ve sdíleném prostoru datového centra, které nejsou chráněny dodatečným šifrováním pod kontrolou zákazníka (OVS), musí být zajištěny fyzickým zabezpečením (např. zamykatelnými klecemi serverových racků, náležícím jednotlivým zákazníkům služeb housingu v daném datovém centru. Požadavek na zajištění důvěrnosti a integrity šifrováním při vzdáleném přístupu vychází z vyhl. č. 82/2018 Sb. (§ 18, písm. c)), a v případě cloud computingu i z vyhl. č. 316/2021 Sb. (ID 7.2 a 7.3).
    Výše popsaná opatření (šifrování na transportní vrstvě mezi koncovými zařízeními pod plnou kontrolou zákazníka) jsou nutnou podmínkou pro to, aby služba housingu nebyla považována za cloud computing dle definice v ZoISVS.
  • Jakékoli sdílení technických či programových prostředků mezi různými zákazníky (OVS) nebo mezi OVS a poskytovatelem služeb housingu nebo jiným poskytovatelem CC na 4. nebo vyšších vrstvách modelu OSI se považuje za cloud computing ve smyslu ZoISVS. Mezi typické příklady takových sdílených služeb patří předřazený komunikační server s ochranou proti útokům DDoS, služby reverse proxy nebo služby aplikačního firewallu. V takových či obdobných případech se jedná o cloud computing v oblasti IaaS/PaaS, jehož poskytovatel i služby musí projít procesem zápisu do katalogu CC.

Z výše uvedeného vyplývá:

  1. umístí-li zákazník (OVS) vlastní technické prostředky, nebo pronajme-li si zákazník (OVS) dedikované technické prostředky (tzn. prostředky sloužící výhradně tomuto zákazníkovi) umístěné v datovém centru poskytovatele (servery, disková pole atd.) a přístup k těmto prostředkům se realizuje privátním síťovým připojením, pak se jedná o využití klasického outsourcingu. Nejedná se tedy o cloud computing,
  2. umístí-li zákazník vlastní technické prostředky, nebo pronajme-li si zákazník dedikované technické prostředky (servery, disková pole atd.) a přístup k těmto prostředkům se realizuje připojením, ve kterém zákazník využívá sdílené služby na 4. nebo vyšší vrstvě OSI, pak se jedná o cloud computing (třída IaaS nebo PaaS),
  3. pronajme-li si zákazník službu sdílené infrastruktury (servery, disková pole atd.) a na ní umístí svůj platformní software (operační systém, databázový systém apod.) a na něm provozuje svůj ISVS, pak se jedná o cloud computing (třída IaaS),
  4. pronajme-li si zákazník službu sdílené platformy (tj. hardwarové zdroje, vývojové, integrační a provozní prostředí aplikací (tj. včetně operačního systému, databázového systému, middleware apod.) a na ní provozuje svůj ISVS, pak se jedná o cloud computing (třída PaaS),
  5. pronajme-li si zákazník službu sdílené aplikace (např. e-mail, spisovou službu, ERP, HR), tj. pronajatá aplikace realizuje ISVS, pak se jedná o cloud computing (třída SaaS).

V druhém až pátém případě musí být poskytovatel cloud computingu a jeho služby zapsány v katalogu cloud computingu tak, jak stanoví Hlava VI ZoISVS. Zápis poskytovatele a nabídky CC je dle ZoISVS obligatorní podmínkou toho, aby orgán veřejné správy mohl tyto služby využívat.

Vlastní pojmy „hosting“ ani „housingZoISVS ani Vyhláška nedefinují.

V oblasti IT se pojem „hosting“ obvykle používá pro situaci[7], kdy zákazník uloží svoji aplikaci a data (např. web, tzv. “webhosting“) na platformu poskytovatele, která je sdílitelná více zákazníky, a sám si aplikaci spravuje (např. upravuje stránky webu pomocí redakčního systému, který je součástí platformy). V tomto případě je „hosting“ cloud computingem ve smyslu ZoISVS (třída PaaS).

Pojem „housing“ se obvykle používá pro situaci[8], kdy zákazník přemístí IT technologie, které má ve svém vlastnictví (servery, disková pole apod.), do datového centra poskytovatele a sám si je dále prostřednictvím dálkového přístupu spravuje, tj. sám si spravuje vlastní vyhrazený a s dalšími organizacemi nesdílený hardware, základní software, aplikace a realizuje dohled nad takto realizovaným informačním systémem. V tomto případě se o cloud computing nejedná a ustanovení Hlavy VI ZoISVS se na takto provozovaný ISVS nevztahují za předpokladu, že zákazník v rámci vzdáleného přístupu nevyužívá žádné sdílené služby od 4. vrstvy modelu OSI výše (viz předchozí text).

Někteří poskytovatelé ale pojmy hosting a housing definují odlišně. Proto zákazník (OVS) musí vyhodnotit charakteristiky používané služby, a potom teprve rozhodnout, zda se jedná o cloud computing ve smyslu ZoISVS. Důležité je při hodnocení používané služby zohlednit všechny součásti provozovaného IT, tedy včetně služeb správy sítí a způsobu jejich ochrany, dohledu a monitoringu nad provozem nebo jiných sdílených služeb, které může poskytovatel housingu do nabídky zahrnout.

Pro podrobnější vyjasnění dále uvádíme příklady částí smluv, které jsou uloženy v Registru smluv.

Příklad 1:

Zhotovitel bude Objednateli poskytovat hosting (tj. umožnění umístění na vzdálených serverech zajištěných Zhotovitelem, připojených k síti internet) pro online aplikaci xxx (dále jen „aplikace“).

Zhotovitel Objednateli zajišťuje:

  • provoz aplikace
  • zálohování dat
  • monitorování serverů
  • prostor pro statická data Objednatele o maximální velikosti 2 GB.

Odpověď: V tomto případě, se může jednat o tři různé situace:

  1. je-li aplikace provozovaná na serverech a diskových polích, které jsou dedikovány pouze pro tohoto jediného zákazníka a nejsou ani nemohou být sdíleny více zákazníky, nejedná se tedy o cloud computing,
  2. o cloud computing třídy IaaS se ale jedná v případě, že monitoring serverů je sdílen i pro servery jiných zákazníků. Poskytovatel této služby a jeho služba monitoringu pak musí být zapsány v katalogu cloud computingu,
  3. jsou-li servery sdílené více zákazníky a daná aplikace je v majetku a správě zákazníka, pak se jedná se o cloud computing třídy IaaS/PaaS. Poskytovatel a jeho služby IaaS/PaaS musí být zapsány v katalogu cloud computingu,
  4. je-li i aplikace sdílená více zákazníky a spravuje ji poskytovatel, pak se jedná se o cloud computing třídy SaaS. Poskytovatel a jeho služba SaaS musí být zapsány v katalogu cloud computingu.

Příklad 2:

Předmětem smlouvy je poskytnutí nevýhradních užívacích práv k software dle uvedené specifikace. Softwarové produkty jsou autorskými díly, na něž se vztahují ustanovení autorského zákona. Uživatel získává právo užívat software v souladu se zněním této smlouvy a v uvedeném rozsahu, aniž by předmět smlouvy přešel do jeho vlastnictví.

V případě, že uživatel již využívá nebo se následně rozhodne pro hostingový způsob provozování software, dodavatel s ním uzavře v souladu s článkem 28, odstavec 3. Nařízení EU 2016/679 zpracovatelskou smlouvu, která bude specifikovat rozsah poskytovaných služeb a způsob jejich zpoplatnění v závislosti na objemu zpracovávaných dat.

Odpověď: V tomto případě se také může jednat o tři různé situace:

  1. v případě, že uživatel provozuje předmětný software na své vlastní infrastruktuře (tuto variantu může zahrnovat situace popsaná v prvním odstavci), pak se o cloud computing nejedná,
  2.  použije-li uživatel možnost uvedenou v druhém odstavci, pak se s vysokou pravděpodobností jedná o cloud computing třídy SaaS (zhotovitel zajišťuje provoz aplikace a zákazníkovi účtuje její používání podle objemu zpracovávaných dat; proto se s vysokou pravděpodobností jedná o sdílenou aplikaci). Poskytovatel a jeho služby musí být v tomto případě zapsány v katalogu cloud computingu,
  3. v případě, že by aplikace byla provozována na platformě dedikované jen pro tohoto zákazníka, pak by se ani v druhém odstavci o cloud computing nejednalo. Avšak zmínka o roli dodavatele jako „zpracovatele“ podle nařízení GDPR a dále návrh zpoplatnění služby v závislosti na objemu zpracovávaných dat naznačují, že dodavatel bude zajišťovat správu a provoz aplikace s možností využití sdílené infrastruktury, což by pak vedlo k uplatnění pravidel pro využívání cloud computingu. Zadavatel musí takovou nabídku důkladně prověřit za účelem správného vyhodnocení rizik provozu daného ISVS.

[1] Pojmy „housing“ a „hosting“ jsou objasněny dále v textu odpovědi.

[2] V Souhrnné analytické zprávě projektu eGovernment cloud  je v kap. 4.1. uvedeno „IaaS služby (Infrastructure as a Service – Infrastruktura jako služba) je pronájmem/poskytováním virtuálních HW zdrojů. Samostatnou součástí IaaS služeb na nejnižší úrovni jsou služby housingu (pronájmu prostoru v datovém centru spolu s odběrem elektřiny a síťovou konektivitou) pro umístění vlastního HW – někdy hovoříme též o službách typu DCaaS (Data Center as a Service)“. Tento rozšířený výklad IaaS byl platnou novelou ZoISVS opuštěn a nahrazen výkladem, který je uveden v této odpovědi.

[3] https://www.iso.org/standard/80351.html

[4] https://www.iso.org/standard/82759.html

[5] https://cs.wikipedia.org/wiki/Referen%C4%8Dn%C3%AD_model_ISO/OSI

[6] Zde rozumíme šifrováním v souladu s doporučením NÚKIB – Minimálními požadavky na kryptografické algoritmy, viz https://nukib.gov.cz/download/uredni_deska/Minimalni%20pozadavky%20na%20kryptograficke%20algoritmy.pdf

[7] https://cs.wikipedia.org/wiki/Webhosting

[8] https://cs.wikipedia.org/wiki/Serverhosting#Housing_server%C5%AF

2. Jsme město, které zajišťuje provoz námi nakoupených licencí SW na platformě externího poskytovatele, a to i pro naše přímo zřízené organizace. Jedná se o cloud computing ve smyslu Zákona a musíme být zapsáni v katalogu cloud computingu jako poskytovatelé?

Odpověď:

Otázce rozumíme takto: OVM (kraj nebo město), zajišťuje provoz svého ISVS tak, že vlastní licence SW provozuje v cloudu. Tento SW však OVM provozuje i pro své přímo zřizované organizace (ovládané osoby ve smyslu ZZVZ §11 a §189), řekněme Služby města. Služby města jsou jiným právním subjektem. Majitelem licencí i jeho provozovatelem stále zůstává město.

V tomto případě se jedná o cloud computing třídy SaaS, který musí splňovat požadavky Zákona specifikované v §6n, a to dle §6l (1), ale v katalogu cloud computingu musí být zapsán pouze poskytovatel platformy a jeho služby, na kterých je daný SW provozován. Město, resp. kraj v katalogu cloud computingu zapsaní být nemusí, protože se na ně vztahuje ustanovení zákona §6l odst. (1), písmeno b).

Město, resp. kraj a jeho služby cloud computingu ale v katalogu cloud computingu zapsány být musí v případě, že tyto služby poskytuje i jiným subjektům než ovládaným osobám ve smyslu ZZVZ §11 a §189.

3. Máme nakoupené softwarové licence. Můžeme takto zakoupený software provozovat pomocí služeb cloud computingu?

Odpověď:

Ano, možné to je. Zákazník přitom má dvě možnosti:

Zákazník si u poskytovatele cloud computingu pronajme službu(y) IaaS nebo PaaS (podle typu předmětného softwaru), které jsou nutné pro provoz dané aplikace. Na této platformě pak sám provozuje a spravuje aplikaci, na kterou si dříve zakoupil licenci. Tato aplikace je pak provozována v tzv. „single-tenant“ režimu, tj. v režimu využívání instance spuštěného licencovaného softwaru pouze pro daného zákazníka. V tomto případě nejsou předmětné softwarové licence cloudovými službami a není nutné je vést v katalogu cloud computingu.

Zákazník si u výrobce aplikace, ke které vlastní licenci, pronajme přístup k této aplikaci provozované jako služba (SaaS) externím dodavatelem. Tato aplikace je pak dodavatelem obvykle provozována v „multi-tenant“ režimu, tj. v režimu, kdy jedna aplikace obsluhuje více zákazníků. Navíc pak zákazník může obvykle uplatnit u poskytovatele slevu z cenových podmínek za poskytování aplikace formou služby (SaaS), která zohlední dříve nakoupené softwarové licence. Je však třeba vzít v úvahu, že cena poskytování aplikace formou služby (SaaS) zahrnuje též amortizaci a provozní náklady hardwaru v zabezpečeném datovém centru dodavatele, další související nadstandardní služby oproti provozu formou on-premise (např. zálohování, garance dostupnosti, zrcadlení v geograficky oddělených lokalitách atd.), a proto je její výpočet založen na jiných aspektech než prodej vlastní softwarové licence. V tomto případě jsou předmětné aplikace cloudovou službou kategorie SaaS, a tedy musí být registrovány v katalogu cloud computingu.

4. Jaká pravidla jsou aplikována pro zápis poskytovatelů a jejich služeb do katalogu cloud computingu v případě, že je služba dodávána vícečlenným dodavatelským řetězem?

Odpověď:

4.1.    Příklady dodavatelského řetězce

Upozornění:  Všichni poskytovatelé cloud computingu v řetězci (na obrázku označeni Pi)a jejich služby musejí být zapsány v katalogu cloud computingu!

4.2.    Role jednotlivých subjektů v dodavatelském řetězci

Di … označuje dodavatele, který poskytovateli cloud computingu dodává hardware, software nebo služby (např. service desk), ale nejsou to služby cloud computingu.

Pi … označuje poskytovatele cloud computingu. tj. společnost dodávající cloud computing. Je-li cloud computing dodáván zákazníkovi vícečlenným dodavatelským řetězcem, pak poskytovatelem cloud computingu je každý člen tohoto řetězce, který produkuje, resp. přeprodává cloud computing. Každý Pmusí podat Formular_zadosti_poskytovatele_cloud_computingu_o_zapis_poskytovatele_do_katalogu a poté také musí podat Formular_zadosti_poskytovatele_cloud_computingu_o_zapis_nabidky_BU-n_do_katalogu.

Poznámka: Subjektem v dodavatelském řetězci, který může a nemusí být poskytovatelem cloud computingu, je systémový integrátor. Jestliže zintegruje jednotlivé produkty (HW a SW) a služby jiných poskytovatelů a vytvoří z nich novou(é) službu(y) pro svého zákazníka a tuto službu(y) provozuje (ať na své infrastruktuře či na infrastruktuře jiného poskytovatele), pak se jedná o poskytovatele cloud computingu a musí být zapsán v katalogu CC. Jestliže ale provede pouze integrační práce a výsledné služby si zákazník provozuje ve vlastní režii, pak tento systémový integrátor není poskytovatelem cloud computingu a v katalogu CC být zapsán nemusí (je v roli dodavatele).

Zi … označuje zákazníka, tj. orgán veřejné správy, který nakupuje služby cloud computingu pro realizaci svého ISVS.

4.3.    Způsob zápisu produktů a služeb do Formuláře žádosti poskytovatele CC o zápis nabídky do katalogu CC

Dodavatelé (Di) Formuláře žádostí o zápis do katalogu CC nepodávají. Produkty (HW/SW) a služby (Service desk apod.) těchto dodavatelů uvádí ve Formuláři žádosti poskytovatel, který je využívá pro realizaci svých služeb CC (na schématu poskytovatelé P1, P5 a P8), a to na listu Dodavatelé.

Do listu IaaS/PaaS a listu SaaS zapisuje poskytovatel ty služby (IaaS/PaaS a/nebo SaaS), které sám produkuje (tzn. neuvádí zde služby jiných poskytovatelů, které pouze přeprodává nebo využívá pro vytváření svých vlastních služeb CC).

Služby jiných poskytovatelů, který daný poskytovatel přeprodává, tj. bez jakékoliv úpravy nabízí svým zákazníkům v dodavatelském řetězci (na schématu poskytovatelé P2, P3 a P6), zapisuje daný poskytovatel do listu Přeprodávaný cloud computing.

Služby jiných poskytovatelů, který daný poskytovatel využívá pro tvorbu svých služeb IaaS/PaaS/SaaS daný poskytovatel zapisuje do listu Využívaný cloud computing.

4.4.    Identifikace poskytovatelů a jejich služeb v katalogu CC

Při zápisu poskytovatele do katalogu CC Agentura poskytovateli přidělí jednoznačnou identifikaci (ve tvaru nnn). Zapsaní poskytovatelé jsou publikovaní na portálu Agentury v sekci Poskytovatelé cloud computingu zapsaní dle ZoISVS platného od 1/9/2021.

Při zápisu služby do katalogu CC Agentura službě přidělí jednoznačnou identifikaci ve tvaru xxx-yyy-zzzz, kde:

xxx … je pořadové číslo schváleného poskytovatele, který přeprodává službu produkovanou jiným poskytovatelem. Využívá se pouze u přeprodávaných služeb. U služeb, „produkovaných“ a nabízených daným poskytovatelem má hodnotu 000,

yyy …  je pořadové číslo schváleného poskytovatele, který danou službu „produkuje“, tj. tzv. materiální dodavatel,

zzzz … je pořadové číslo schválené služby daného materiálního poskytovatele.

To znamená, že jestliže danou službu přeprodává n přeprodejců a distributorů, pak daná služba má n+1 identifikací.

Příklad: Identifikace 115-025-0077 znamená, že se jedná o 77 schválenou službu poskytovatele 25, kterou přeprodává poskytovatel 115.

Služby zapsané v katalogu jsou publikovány na portálu Agentury v sekci Nabídky služeb cloud computingu zapsaných poskytovatelů dle ZoISVS platného od 1/9/2021.

5. K čemu slouží Nástroj pro vyhledávání v katalogu cloud computingu?

Odpověď:

Nástroj pro vyhledávání v katalogu cloud computingu slouží pro prohlížení služeb aktuálně zapsaných v katalogu cloud computingu. Nástroj umožňuje správcům ISVS vybírat ty služby cloud computingu, které jsou vhodné pro provoz jejich ISVS.

Nástroj pracuje na základě těchto principů:

·         z údajů formuláře nabídky služeb zveřejňuje pouze ty údaje, které nemají důvěrný charakter (tzn. že např. nezveřejňuje opatření, které provádí poskytovatel pro zajištění bezpečnosti dané služby),

  • nezveřejňuje ty služby, které OVS nemůže přímo nakoupit od daného poskytovatele, tj. např. služby nabízené distributorem výhradně pro prodejce,
  • umožňuje zobrazování zapsaných služeb dle výběrových kritérií (poskytovatel služby, třída služby, typ služby, bezpečnostní úroveň služby apod.).

6. Jak vyplnit žádost „Formulář žádosti o zápis nabídky cloud computingu do katalogu cloud computingu“, pokud jsme vývojářská společnost (ISV; Independent software vendor)?

  1. Jak doložit odpovědi v žádosti „Formulář žádosti o zápis nabídky cloud computingu do katalogu cloud computingu“, list „Podklady k ověření SaaS“, které jsou plně nebo zčásti závislé na materiálním poskytovateli (tzn. poskytovatele platformy)?

Poskytovatel CC (ISV) se u konkrétního požadavku odkáže na splnění ze strany materiálního dodavatele s vysvětlením, proč tak činí. Příklad: „Splnění požadavku řádku 6.4 poskytovatel dokládá odkazem na materiálního dodavatele. Poskytovatel využívá datová centra materiálního dodavatele.“ Jestliže plnění požadavku jde z části za poskytovatelem a z části i za materiálním dodavatelem, tak poskytovatel odkáže na materiálního dodavatele a zároveň prokáže i splnění na straně svého SaaS.

Tzn. žádající ISV o zápis SaaS se může setkat se třemi variantami splnění požadavku, které lze splnit např. následovně:

kdy odpověď pro žádost o zápis SaaS je plně pod kontrolou poskytovatele platformy (např. ID 1.2, 1.3, 1.4, 3.1…).

Ve formuláři v daném poli k ID požadavku ISV uvede: „Žadatel o zápis [název nabídky CC] přebírá pravidla, kterými se řídí již zapsaná služba ID [xxx-yyy-zzzz] a její materiální poskytovatel, společnost [yyy]

kdy odpověď pro žádost o zápis je sdílenou odpovědností mezi oběma poskytovateli (každý plní svoji část) – např. ID 4.1. (zajištění dostupnosti výsledné SaaS).
Ve formuláři v daném poli k ID požadavku ISV uvede: „Žadatel o zápis [název nabídky CC] staví svoje řešení na již zapsaných platformních službách ID [yyy-xxx-zzzz], které splňují požadovanou (např.) úroveň dostupnosti. Žadatel zde dále uvádí způsob využití platformních služeb [název nabídky CC] se smluvně garantovanou úrovní dostupnosti [XX %], z čehož odvíjí výslednou úroveň dostupnosti svojí služby SaaS [YY %], a nabízí k ní standardní smlouvu o úrovni služeb SLA.“

kdy odpověď závisí zcela nebo primárně na onom ISV (např. ID 2.4, 10.3)

ISV deklaruje jen svoji část za provoz aplikačního SW a k tomu doloží podklady. Platformní částí se nezabývá.

  1. Jak nejlépe popsat využití podpůrného CC ze strany ISV (list „Podpůrný CC“, řádky v Seznam podpůrného CC)? Obdobně, jakým způsobem nejlépe popsat zapojení podpůrného CC a s ním souvisejících procesů?

Viz např. otázka ID 9.2 (nástroj na sledování kybernetických bezpečnostních událostí). Takový nástroj (funkčnost) může ISV čerpat z rozsahu platformy materiálního poskytovatele IaaS/PaaS.
ISV uvede v listu „Podpůrný CC“ v řádcích tabulky „Popis využití tohoto cloud computingu včetně rozsahu jejího využití“, jaké funkce plní uváděné služby podpůrného CC pro výsledné řešení SaaS. Ve složitějších případech, zejména když:

  1. předkládané řešení SaaS využívá principů dekompozice a hodlá využít některý podpůrný CC s nižší BÚ než bude mít celkové řešení SaaS,
  2. při využití několika podzpracovatelů osobních údajů (dle GDPR),
  3. jestliže bude u některých komponent docházet ke zpracování osobních údajů mimo oblast EHP nebo mimo země s odpovídající ochranou osobních údajů (na bázi Adequacy decision) dle čl. 45 GDPR,
  4. jestliže zpracování osobních údajů v daném řešení SaaS může vyústit ve vysoká rizika pro práva a svobody subjektů údajů, a správce ISVS bude pravděpodobně vyhotovovat „posouzení vlivu na ochranu osobních údajů – DPIA“,

je vhodné pro vyjasnění zapojení podpůrných služeb CC uvést jako jeden z podkladů tzv. diagram aplikační architektury daného SaaS, z něhož bude zřejmá funkční závislost zapisovaného SaaS na využívaném CC jiných poskytovatelů. Na schématu pak bude vhodné vyznačit přebírané platformní komponenty a pokud možno i toky zákaznických dat (pro vyjasnění místa zpracování zákaznických dat a jako podklad pro vyhotovení DPIA).

Takové schéma bude velmi pravděpodobně později vyžadovat OVS – správce ISVS, neboť jej bude potřebovat jako vstup do svojí provozní dokumentace (dle vyhl. č. 360/2023 Sb. o dlouhodobém řízení ISVS, viz § 12 Náležitosti provozní dokumentace ISVS).

  1. Které všechny „dodavatele jiných služeb než cloud computing“ (dle formuláře Žádost o zápis nabídky CC, záložka „Dodavatelé“) má poskytovatel CC (ISV) uvádět?

Jedná se o takové dodavatele, kteří mohou získat přístup k zákaznickým datům nebo ke specifickým provozním údajům (dle definice ve vyhl. č. 316/2021 Sb.). Tím se sjednocuje povinnost poskytovatelů CC jakožto zpracovatelů osobních údajů informovat správce osobních údajů (OVS) o všech dalších zpracovatelích (někdy též jako podzpracovatelích) osobních údajů dle nařízení GDPR, čl. 28.

Vysvětlení: Poskytovatel CC musí předpokládat, že zákaznická data budou obsahovat i nějaké kategorie osobních údajů (včetně těch pseudonymizovaných), a že specifické provozní údaje (které zvláště upravuje vyhl. č. 316/2021 Sb.) obsahují již z definice osobní údaje. Nepředpokládá se, že by podal žádost o zápis CC v BÚ 2 nebo v BÚ 3 nějaký poskytovatel, který by již předem deklaroval, že nemůže zajistit ochranu osobních údajů v rámci zákaznických dat dle požadavků nařízení GDPR.

7. Upřesnění definice služeb třídy SaaS aneb jaká aplikační řešení, která orgány veřejné správy využívají/poptávají, lze považovat za cloud computing ve smyslu zákona č. 365/2000 Sb., o informačních systémech veřejné správy?

Aplikační řešení, která jsou cloud computing (dále jen „CC“) třídy SaaS ve smyslu zákona č. 365/2000 Sb., o informačních systémech veřejné správy (dále jen „ZoISVS“), musí splňovat současně tyto podmínky:

  1. slouží více správcům ISVS (orgány veřejné správy (dále jen „OVS“) v roli tenantů), kteří jej využívají k provozu vlastních ISVS, nebo jiným zákazníkům (mimo OVS) a zároveň
  2. jsou provozovány na sdílené platformě cloud computingu třídy IaaS, příp. PaaS

Podmínka 2) může být splněna jedním ze dvou způsobů:

  1. SaaS je provozován na službách IaaS/PaaS samostatně zapsaných do katalogu CC tímto nebo jiným poskytovatelem CC,
  2. SaaS je provozován na službách IaaS/PaaS téhož poskytovatele CC, který nabízí SaaS, ale služby IaaS/PaaS využívá pouze pro provoz daného SaaS. V tomto případě služby IaaS/PaaS se do katalogu CC samostatně nezapisují. Existence a účinnost bezpečnostních opatření, která jsou zajišťována jednotlivými vrstvami provozní infrastruktury a která jsou vyžadována pro službu SaaS v dané bezpečnostní úrovni, se ověřují na základě „Podkladů pro ověření SaaS“, které ve své žádosti o zápis služby do katalogu CC uvedl poskytovatel SaaS.

Tyto služby typu SaaS mohou být využívány pouze v souladu s Hlavou VI ZoISVS a mj. musí být celý „stack“ IaaS/PaaS/SaaS zapsán v Katalogu CC. Zároveň musí být zapsáni všichni poskytovatelé CC (ať už materiální poskytovatelé, distributoři nebo koncoví poskytovatelé).

Aplikační řešení, která nejsou CC ve smyslu ZoISVS (a nepovažujeme je za CC třídy SaaS), jsou taková, která

  • slouží více správcům ISVS (OVS), ale jsou pro každého správce provozovány na nesdílené (dedikované) výpočetní infrastruktuře;
  • slouží pouze pro jednoho správce ISVS (OVS), přičemž může jít o aplikaci umožňující vzdálený přístup přes Internet nebo přes vnitřní síť CMS/KIVS pro mnoho externích uživatelů (např. aplikace pro podání přihlášky na střední školu, nebo aplikace využívané jednotlivými uživateli z řad OVS/OVM, avšak s centrální správou uživatelských účtů a báze dat ze strany toho jednoho správce ISVS), i když je provozována na platformě CC třídy IaaS, příp. PaaS (tato platforma však podléhá povinnosti zápisu do katalogu CC).

Upozorňujeme, že je nutné vždy uvažovat o ISVS v rozsahu ZoISVS, tzn. ve vymezení uvedeném v § 1 ZoISVS (zejména s ohledem na výjimky v odst. (2), (3) a (4) § 1 ZoISVS).

8. Jaké nabídky cloud computingu jsou zveřejňovány v Katalogu cloud computingu?

V Katalogu cloud computingu (dále jen „CC“) jsou zveřejňovány pouze nabídky CC, v rámci kterých nastane alespoň jedna z těchto situací:

  • schvaluje se zápis nových služeb CC (tj. poskytovatel je současně materiálním poskytovatelem);
  • jedná se o přímý prodej CC orgánům veřejné správy (dále jen „OVS“).

Nabídky CC zveřejněné v Katalogu CC mají zejména informovat OVS o tom, jaké služby, od jakých poskytovatelů CC jsou ověřeny a splnily podmínky zákona č. 365/2000 Sb., o informačních systémech veřejné správy (dále jen „ZoISVS“), a jaké mohou OVS tím pádem využívat.

Všechny subjekty v rámci dodavatelského řetězce musí být řádně zapsány jako poskytovatelé CC v souladu se ZoISVS, tj. 

  • materiální poskytovatel CC, který službu CC „produkuje“
  • distributor, který službu CC přeprodává jinému poskytovateli CC 
  • koncový poskytovatel CC, který službu přímo nabízí OVS.

Poskytovatelé CC, kteří jsou pouze tzv. distributory (tzn. neprodukují žádné služby CC a služby CC pouze přeprodávají dalším poskytovatelům v dodavatelském řetězci), nemusí zasílat na Digitální a informační agenturu žádost o zápis nabídky CC. Budou-li přesto na Agenturu zaslány, budou tyto nabídky CC schváleny, ale nebudou zveřejněny v Katalogu CC.

Koncový poskytovatel CC je povinen uvést v rámci žádosti o zápis nabídky CC celý dodavatelský řetězec od materiálního poskytovatele CC přes distributory až po koncového poskytovatele CC (na formuláři Žádost o zápis nabídky cloud computingu na listu „Schéma dodavatelského řetězce“).

Zpět