Výběr SaaS (Software as a Service) systému je dnes jednou z nejdůležitějších rozhodovacích činností IT oddělení. Špatná volba může vést k úniku dat, právním postihům a poškození reputace. V tomto článku vám představíme minimální bezpečnostní standardy, které by měl každý SaaS systém splňovat, a praktický kontrolní seznam pro hodnocení dodavatelů.
Proč nestačí jen „věřit“ dodavateli?
Mnoho firem se spoléhá na marketingová tvrzení dodavatelů nebo na reference jiných zákazníků. Bezpečnost cloudových služeb je však komplexní disciplína, která vyžaduje ověření konkrétních kontrol. „Zero trust“ přístup platí i pro výběr SaaS – ověřujte, nedůvěřujte automaticky.
Varování
I renomovaní globální dodavatelé mohou mít bezpečnostní mezery specifické pro vaše použití. Vždy požadujte důkazy, ne sliby.
Minimální bezpečnostní standardy (MBS)
Následující seznam obsahuje 10 klíčových oblastí, které musíte prověřit před podpisem smlouvy:
1. Šifrování dat
- Šifrování při přenosu (TLS 1.3) – veškerá komunikace musí být šifrována.
- Šifrování v klidu – data v databázi musí být šifrována pomocí AES‑256 nebo lepšího.
- Správa klíčů – kdo drží šifrovací klíče? Preferujte modely, kde klíče držíte vy (BYOK).
2. Autentizace a autorizace
- Podpora vícefaktorové autentizace (MFA) – povinná pro všechny uživatelské role.
- Role‑based access control (RBAC) – granularita oprávnění na úrovni jednotlivých funkcí.
- Single Sign‑On (SSO) – podpora standardů jako SAML 2.0 nebo OIDC.
3. Compliance a certifikace
Dodavatel by měl mít alespoň jednu z těchto certifikací (dle povahy dat):
- ISO 27001 – mezinárodní standard pro management bezpečnosti informací.
- SOC 2 Type II – report o bezpečnostních kontrolách (pro americké dodavatele).
- GDPR compliance – smluvní záruky o zpracování osobních údajů.
- České certifikace – např. certifikace NBÚ pro citlivá data.
4. Logování a audit
- Kompletní audit trail – každá akce musí být logována s časovým razítkem a identitou uživatele.
- Export logů – možnost exportovat logy do vašeho SIEM systému.
- Retence logů – minimálně 12 měsíců, ideálně více.
5. Zotavení po havárii (DR) a zálohování
- RPO (Recovery Point Objective) – maximálně 15 minut.
- RTO (Recovery Time Objective) – maximálně 4 hodiny.
- Geografická redundance – data uložena alespoň ve dvou různých lokalitách.
Praktický kontrolní seznam pro due diligence
Před schůzkou s dodavatelem si připravte tento seznam otázek:
| Oblast | Otázka | Požadovaná odpověď |
|---|---|---|
| Šifrování | Jak jsou šifrována data v klidu? | AES‑256 s klíči spravovanými zákazníkem (BYOK) |
| Autentizace | Je MFA povinná pro všechny uživatele? | Ano, včetně administrátorů |
| Compliance | Máte certifikaci ISO 27001? | Ano, aktuální certifikát |
| Logování | Lze exportovat logy do našeho SIEM? | Ano, přes API nebo syslog |
| DR | Jaké jsou vaše RPO a RTO? | RPO ≤ 15 min, RTO ≤ 4 hodiny |
Co dělat, když dodavatel nesplňuje standardy?
Pokud dodavatel nesplňuje kritické položky z tohoto seznamu, máte tři možnosti:
- Požadovat nápravu – do smlouvy zaneste konkrétní povinnosti a termíny splnění.
- Hledat alternativu – někdy je lepší investovat čas do výběru jiného dodavatele.
- Akceptovat riziko – pouze v případě, že riziko je nízké a máte kompenzační opatření.
Doporučení
Vytvořte si interní „bezpečnostní scorecard“ pro hodnocení SaaS dodavatelů. Při každém hodnocení přiřaďte body a stanovte minimální hranici pro schválení.
Závěr
Bezpečnost SaaS systému není něco, co můžete delegovat na dodavatele. Je to společná odpovědnost. Využijte tento článek jako výchozí bod pro vytvoření vlastního due diligence procesu a nikdy nepodceňujte důkladnost prověření. V digitálním věku je bezpečnost nejen technickou záležitostí, ale i konkurenční výhodou.