Příloha č. 2
+-------------+------------------------------------------------+--------------------------------------------------+----------------------------------------+------------------------------------------+
| Řádek | Požadavky na dosažení základní úrovně ochrany | Podklad, kterým poskytovatel | Bezpečnostní úroveň nabízeného | Třída cloud computingu |
| | důvěrnosti, integrity a dostupnosti informací | doloží splnění požadavku | cloud computingu | |
| | orgánu veřejné správy nabízeným cloud | +----------+---------+--------+----------+---------------+-----------+--------------+
| | computingem | | Nízká | Střední | Vysoká | Kritická | cloud | cloud | cloud |
| | | | | | | | computing | computing | computing |
| | | | | | | | ve formě | ve formě | ve formě |
| | | | | | | | infrastruktury| platformy | aplikačního |
| | | | | | | | | | programového |
| | | | | | | | | | vybavení |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 1. Místo zpracování a uložení dat |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 1.1 | Poskytovatel uvádí informace o všech | Písemný popis, ze kterého bude vyplývat, | X | X | | | X | X | X |
| | územích států, ve kterých jsou nebo mohou | na území jakých států jsou nebo mohou být | | | | | | | |
| | být uložena zákaznická data ve stavu | uložena zákaznická data ve stavu | | | | | | | |
| | neaktivních dat a specifické provozní údaje | neaktivních dat a specifické provozní | | | | | | | |
| | ve stavu neaktivních dat, a dále uvádí | údaje ve stavu neaktivních dat a na území | | | | | | | |
| | informace o všech územích států mimo území | jakých států mimo území členských států | | | | | | | |
| | členských států Evropské unie a členských | Evropské unie a členských států Evropského | | | | | | | |
| | států Evropského sdružení volného obchodu, | sdružení volného obchodu se předpokládá | | | | | | | |
| | ve kterých předpokládá zpracování | zpracování zákaznických dat a na území | | | | | | | |
| | zákaznických dat a specifických provozních | jakých států se předpokládá zpracování | | | | | | | |
| | údajů. | specifických provozních údajů. | | | | | | | |
| | | | | | | | | | |
| | | Má se za to, že předpokládanými územími | | | | | | | |
| | | států, na nichž dochází nebo může docházet | | | | | | | |
| | | ke zpracování zákaznických | | | | | | | |
| | | dat nebo specifických provozních údajů | | | | | | | |
| | | nejsou: | | | | | | | |
| | | - území států, z nichž se mohou | | | | | | | |
| | | nepravidelně vzdáleně připojovat | | | | | | | |
| | | pracovníci technické podpory | | | | | | | |
| | | poskytovatele cloud computingu | | | | | | | |
| | | za účelem technické podpory služby | | | | | | | |
| | | cloud computingu, která se v čase | | | | | | | |
| | | mění a nemohou být specifikována | | | | | | | |
| | | předem; | | | | | | | |
| | | - území států, do nichž poskytovatel | | | | | | | |
| | | může předávat zákaznická data nebo | | | | | | | |
| | | specifické provozní údaje za účelem | | | | | | | |
| | | poskytování volitelné doplňkové služby | | | | | | | |
| | | se zapojením třetích stran, která není | | | | | | | |
| | | sama o sobě cloud computingem, | | | | | | | |
| | | aktivované podle volby zákazníka, | | | | | | | |
| | | s tím, že poskytovatel jasně označí | | | | | | | |
| | | třetí stranu, jíž může předat zákaznická | | | | | | | |
| | | data nebo specifické provozní údaje, | | | | | | | |
| | | a je-li to možné, blíže specifikuje, | | | | | | | |
| | | jaká zákaznická data nebo jaké | | | | | | | |
| | | specifické provozní údaje zpravidla | | | | | | | |
| | | předává a na jakou předpokládanou dobu | | | | | | | |
| | | zákaznická data nebo specifické | | | | | | | |
| | | provozní údaje předává. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 1.2 | Poskytovatel uvádí informace o všech | Písemný popis, ze kterého bude vyplývat, | X | X | X | X | X | X | X |
| | územích států, ze kterých dochází k výkonu | z území jakých států dochází k výkonu | | | | | | | |
| | správy a dohledu nad službou cloud | správy a dohledu nad službou cloud | | | | | | | |
| | computingu. | computingu. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 1.3 | Zákaznická data ve stavu neaktivních dat | Odkaz na část smluvních podmínek, kde je | | | X | | X | X | X |
| | jsou ukládána nepřetržitě a výlučně na | vymezen závazek uložení zákaznických dat | | | | | | | |
| | území členských států Evropské unie a | ve stavu neaktivních dat nepřetržitě a | | | | | | | |
| | členských států Evropského sdružení volného | výlučně na území členských států Evropské | | | | | | | |
| | obchodu. | unie a členských států Evropského sdružení | | | | | | | |
| | | volného obchodu, | | | | | | | |
| | V případě, že služba cloud computingu daný | | | | | | | | |
| | požadavek nesplňuje, poskytovatel takovou | nebo v případě, že se požadavek uložení | | | | | | | |
| | službu jasně označuje a uvádí, zda taková | zákaznických dat ve stavu neaktivních dat | | | | | | | |
| | služba cloud computingu ukládá zákaznická | nepřetržitě a výlučně na území členských | | | | | | | |
| | data ve stavu neaktivních dat | států Evropské unie a členských států | | | | | | | |
| | v pseudonymizované podobě nebo | Evropského sdružení volného obchodu | | | | | | | |
| | nepseudonymizované podobě. | nevztahuje na danou službu, jasné označení | | | | | | | |
| | | takové služby a zároveň odkaz na část | | | | | | | |
| | Poskytovatel uvádí místo uložení | smluvních podmínek, kde je vymezen závazek | | | | | | | |
| | zákaznických dat ve stavu neaktivních dat. | uložení zákaznických dat ve stavu | | | | | | | |
| | | neaktivních dat v pseudonymizované podobě, | | | | | | | |
| | Na základě označení služby cloud computingu | | | | | | | | |
| | jako služby cloud computingu, která | nebo v případě, že se požadavek uložení | | | | | | | |
| | nesplňuje požadavek na uložení zákaznických | zákaznických dat ve stavu neaktivních dat | | | | | | | |
| | dat ve stavu neaktivních dat nepřetržitě | nepřetržitě a výlučně na území členských | | | | | | | |
| | a výlučně na území členských států Evropské | států Evropské unie a členských států | | | | | | | |
| | unie a členských států Evropského sdružení | Evropského sdružení volného obchodu | | | | | | | |
| | volného obchodu, bude tato služba cloud | neuplatní na danou službu a zároveň taková | | | | | | | |
| | computingu uvedena na internetových | služba ukládá zákaznická data ve stavu | | | | | | | |
| | stránkách Národního úřadu pro kybernetickou | neaktivních dat v nepseudonymizované | | | | | | | |
| | a informační bezpečnost a daný požadavek se | podobě, jasné označení takové služby. | | | | | | | |
| | na ni neuplatní. Taková služba cloud | | | | | | | | |
| | computingu bude rovněž označena v katalogu | Poskytovatel dále doloží odkaz na tu část | | | | | | | |
| | cloud computingu jako služba cloud | platné certifikace ČSN EN ISO/IEC 27001, | | | | | | | |
| | computingu zapsaná na základě uvedené | EN ISO/IEC 27001 nebo ISO/IEC 27001 od | | | | | | | |
| | výjimky citací uvedené výjimky. | certifikačního orgánu, který byl | | | | | | | |
| | | akreditován pro certifikaci systémů řízení | | | | | | | |
| | | bezpečnosti informací některým z členů | | | | | | | |
| | | Mezinárodního akreditačního fóra (IAF) nebo | | | | | | | |
| | | auditní zprávu SOC 2® Type 2, s odkazem na | | | | | | | |
| | | tu část, ze které bude patrný úplný výčet | | | | | | | |
| | | datových center a jejich lokace po úroveň | | | | | | | |
| | | katastrálního území/obce, ve kterých budou | | | | | | | |
| | | zákaznická data uložena ve stavu | | | | | | | |
| | | neaktivních dat s označením, zda jsou nebo | | | | | | | |
| | | nejsou v daném datovém centru uložena | | | | | | | |
| | | v pseudonymizované podobě. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 1.4 | Specifické provozní údaje jsou ve stavu | Odkaz na část smluvních podmínek, kde je | | | X | | X | X | X |
| | neaktivních dat ukládány nepřetržitě a | vymezen závazek uložení specifických | | | | | | | |
| | výlučně na území členských států Evropské | provozních údajů ve stavu neaktivních dat | | | | | | | |
| | unie a členských států Evropského sdružení | nepřetržitě a výlučně na území členských | | | | | | | |
| | volného obchodu. | států Evropské unie a členských | | | | | | | |
| | | států Evropského sdružení volného obchodu, | | | | | | | |
| | V případě, že služba cloud computingu daný | | | | | | | | |
| | požadavek nesplňuje, poskytovatel takovou | nebo v případě, že se požadavek uložení | | | | | | | |
| | službu jasně označuje a uvádí, zda taková | specifických provozních údajů ve stavu | | | | | | | |
| | služba cloud computingu ukládá | neaktivních dat nepřetržitě a výlučně na | | | | | | | |
| | specifické provozní údaje ve stavu | území členských států Evropské unie a | | | | | | | |
| | neaktivních dat v pseudonymizované | členských států Evropského sdružení volného | | | | | | | |
| | podobě nebo nepseudonymizované podobě. | obchodu nevztahuje na danou službu, jasné | | | | | | | |
| | | označení takové služby a zároveň odkaz na | | | | | | | |
| | Poskytovatel uvádí místo uložení | část smluvních podmínek, kde je vymezen | | | | | | | |
| | specifických provozních údajů ve stavu | závazek uložení specifických provozních | | | | | | | |
| | neaktivních dat. | údajů ve stavu neaktivních dat v | | | | | | | |
| | | pseudonymizované podobě, | | | | | | | |
| | Na základě označení služby cloud computingu | | | | | | | | |
| | jako služby cloud computingu, která | nebo v případě, že se požadavek uložení | | | | | | | |
| | nesplňuje požadavek na uložení specifických | specifických provozních údajů ve stavu | | | | | | | |
| | provozních údajů ve stavu neaktivních dat | neaktivních dat nepřetržitě a výlučně na | | | | | | | |
| | nepřetržitě a výlučně na území členských | území členských států Evropské unie a | | | | | | | |
| | států Evropské unie a členských států | členských států Evropského sdružení volného | | | | | | | |
| | Evropského sdružení volného obchodu, bude | obchodu neuplatní na danou službu a zároveň | | | | | | | |
| | tato služba cloud computingu uvedena | taková služba ukládá specifické provozní | | | | | | | |
| | na internetových stránkách Národního úřadu | údaje ve stavu neaktivních dat v | | | | | | | |
| | pro kybernetickou a informační bezpečnost | nepseudonymizované podobě, jasné označení | | | | | | | |
| | a daný požadavek se na ni neuplatní. | takové služby. | | | | | | | |
| | Taková služba cloud computingu bude rovněž | | | | | | | | |
| | označena v katalogu cloud computingu | Poskytovatel dále doloží odkaz na tu část | | | | | | | |
| | jako služba cloud computingu zapsaná | platné certifikace ČSN EN ISO/IEC 27001, | | | | | | | |
| | na základě uvedené výjimky citací uvedené | EN ISO/IEC 27001 nebo ISO/IEC 27001 od | | | | | | | |
| | výjimky. | certifikačního orgánu, který byl | | | | | | | |
| | | akreditován pro certifikaci systémů řízení | | | | | | | |
| | | bezpečnosti informací některým z členů | | | | | | | |
| | | Mezinárodního akreditačního fóra (IAF) | | | | | | | |
| | | nebo auditní zprávu SOC 2® Type 2, | | | | | | | |
| | | s odkazem na tu část, ze které bude patrný | | | | | | | |
| | | úplný výčet datových center a jejich lokace | | | | | | | |
| | | po úroveň katastrálního území/obce, | | | | | | | |
| | | ve kterých budou specifické provozní údaje | | | | | | | |
| | | uloženy ve stavu neaktivních dat s | | | | | | | |
| | | označením, zda jsou nebo nejsou v daném | | | | | | | |
| | | datovém centru uloženy v pseudonymizované | | | | | | | |
| | | podobě. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 1.5 | Zákaznická data jsou zpracovávána na území | 1. Poskytovatel uvede u služby cloud | | | X | | X | X | X |
| | členských států Evropské unie a členských | computingu, | | | | | | | |
| | států Evropského sdružení volného obchodu. | a) která zpracovává zákaznická data | | | | | | | |
| | Aniž jsou dotčeny požadavky stanovené na | pouze na území členských států | | | | | | | |
| | řádku 1.3 přílohy č. 2 k této vyhlášce, | Evropské unie a členských států | | | | | | | |
| | v odůvodněných případech, po nezbytně nutnou | Evropského sdružení volného obchodu: | | | | | | | |
| | dobu a v nezbytném rozsahu mohou být | - jasné označení takové služby | | | | | | | |
| | zákaznická data zpracovávána i na území | cloud computingu a | | | | | | | |
| | jiných států, pokud poskytovatel popíše, | - deklaraci závazku zpracování | | | | | | | |
| | jak budou zákaznická data chráněna před | zákaznických dat na území | | | | | | | |
| | narušením bezpečnosti informací. | členských států Evropské unie | | | | | | | |
| | | a členských států Evropského | | | | | | | |
| | | sdružení volného obchodu, | | | | | | | |
| | | b) která zpracovává zákaznický obsah | | | | | | | |
| | | pouze na území členských států | | | | | | | |
| | | Evropské unie a členských států | | | | | | | |
| | | Evropského sdružení volného obchodu | | | | | | | |
| | | a která zpracovává nebo může | | | | | | | |
| | | zpracovávat zákaznická data bez | | | | | | | |
| | | zákaznického obsahu mimo území | | | | | | | |
| | | členských států Evropské unie | | | | | | | |
| | | a členských států Evropského | | | | | | | |
| | | sdružení volného obchodu: | | | | | | | |
| | | - jasné označení takové služby cloud | | | | | | | |
| | | computingu, | | | | | | | |
| | | - údaje o předpokládaném území | | | | | | | |
| | | státu, na němž dochází nebo může | | | | | | | |
| | | docházet ke zpracování zákaznických | | | | | | | |
| | | dat bez zákaznického obsahu, | | | | | | | |
| | | a údaje o předpokládané době | | | | | | | |
| | | trvání, předpokládaném rozsahu a | | | | | | | |
| | | předpokládaném účelu zpracování | | | | | | | |
| | | zákaznických dat bez zákaznického | | | | | | | |
| | | obsahu na příslušném předpokládaném | | | | | | | |
| | | území státu, a údaj o tom, zda jsou | | | | | | | |
| | | nebo nejsou zákaznická data bez | | | | | | | |
| | | zákaznického obsahu | | | | | | | |
| | | pseudonymizována v případě tohoto | | | | | | | |
| | | zpracování. U zákaznických dat bez | | | | | | | |
| | | zákaznického obsahu zpracovávaných | | | | | | | |
| | | mimo území členských států Evropské | | | | | | | |
| | | unie a členských států Evropského | | | | | | | |
| | | sdružení volného obchodu popis | | | | | | | |
| | | toho, jak budou chráněna ve smyslu | | | | | | | |
| | | kapitoly V. obecného nařízení | | | | | | | |
| | | o ochraně osobních údajů, | | | | | | | |
| | | c) která zpracovává nebo může | | | | | | | |
| | | zpracovávat zákaznická data mimo | | | | | | | |
| | | území členských států Evropské unie | | | | | | | |
| | | a členských států Evropského sdružení | | | | | | | |
| | | volného obchodu, | | | | | | | |
| | | - jasné označení takové služby cloud | | | | | | | |
| | | computingu, | | | | | | | |
| | | - údaje o předpokládaném území státu, | | | | | | | |
| | | na němž dochází nebo může docházet | | | | | | | |
| | | ke zpracování zákaznických dat, | | | | | | | |
| | | a údaje o předpokládané době | | | | | | | |
| | | trvání, předpokládaném rozsahu | | | | | | | |
| | | a předpokládaném účelu zpracování | | | | | | | |
| | | zákaznických dat na příslušném | | | | | | | |
| | | předpokládaném území státu a údaj | | | | | | | |
| | | o tom, zda jsou nebo nejsou | | | | | | | |
| | | zákaznická data pseudonymizována | | | | | | | |
| | | v případě tohoto zpracování. | | | | | | | |
| | | U zákaznických dat zpracovávaných | | | | | | | |
| | | mimo území členských států Evropské | | | | | | | |
| | | unie a členských států Evropského | | | | | | | |
| | | sdružení volného obchodu popis | | | | | | | |
| | | toho, jak budou chráněna alespoň | | | | | | | |
| | | ve smyslu kapitoly V. obecného | | | | | | | |
| | | nařízení o ochraně osobních údajů. | | | | | | | |
| | | | | | | | | | |
| | | 2. Má se za to, že předpokládanými územími | | | | | | | |
| | | států, na nichž dochází nebo může | | | | | | | |
| | | docházet ke zpracování zákaznických dat, | | | | | | | |
| | | nejsou: | | | | | | | |
| | | - území států, z nichž se mohou | | | | | | | |
| | | nepravidelně vzdáleně připojovat | | | | | | | |
| | | pracovníci technické podpory | | | | | | | |
| | | poskytovatele za účelem technické | | | | | | | |
| | | podpory služby cloud computingu, | | | | | | | |
| | | která se v čase mění a nemohou být | | | | | | | |
| | | specifikována předem; | | | | | | | |
| | | - území států, do nichž poskytovatel | | | | | | | |
| | | může předávat zákaznická data | | | | | | | |
| | | za účelem poskytování volitelné | | | | | | | |
| | | doplňkové služby se zapojením třetích | | | | | | | |
| | | stran, která není sama o sobě službou | | | | | | | |
| | | cloud computingu, aktivované podle | | | | | | | |
| | | volby zákazníka, s tím, že | | | | | | | |
| | | poskytovatel jasně označí třetí | | | | | | | |
| | | stranu, jíž může předat zákaznická | | | | | | | |
| | | data, a je-li to možné, blíže | | | | | | | |
| | | specifikuje, jaká zákaznická data | | | | | | | |
| | | zpravidla předává a na jakou | | | | | | | |
| | | předpokládanou dobu zákaznická | | | | | | | |
| | | data předává. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 1.6 | Specifické provozní údaje jsou zpracovávány | 1. Poskytovatel uvede u služby cloud | | | X | | X | X | X |
| | na území členských států Evropské unie | computingu, | | | | | | | |
| | a členských států Evropského sdružení | a) která zpracovává specifické | | | | | | | |
| | volného obchodu. Aniž jsou dotčeny požadavky | provozní údaje pouze na území | | | | | | | |
| | stanovené na řádku 1.4 přílohy č. 2 k této | členských států Evropské unie | | | | | | | |
| | vyhlášce, v odůvodněných případech, | a členských států Evropského | | | | | | | |
| | po nezbytně nutnou dobu a v nezbytném | sdružení volného obchodu: | | | | | | | |
| | rozsahu mohou být specifické provozní | - jasné označení takové služby cloud | | | | | | | |
| | údaje zpracovávány i na území jiných států, | computingu | | | | | | | |
| | pokud poskytovatel popíše, jak budou | - a deklaraci závazku zpracování | | | | | | | |
| | specifické provozní údaje chráněny před | specifických provozních údajů | | | | | | | |
| | narušením bezpečnosti informací. | na území členských států Evropské | | | | | | | |
| | | unie a členských států Evropského | | | | | | | |
| | | sdružení volného obchodu, | | | | | | | |
| | | b) která zpracovává nebo může | | | | | | | |
| | | zpracovávat specifické provozní | | | | | | | |
| | | údaje mimo území členských států | | | | | | | |
| | | Evropské unie a členských států | | | | | | | |
| | | Evropského sdružení volného obchodu: | | | | | | | |
| | | - jasné označení takové služby cloud | | | | | | | |
| | | computingu, | | | | | | | |
| | | - údaje o předpokládaném území státu, | | | | | | | |
| | | na němž dochází nebo může | | | | | | | |
| | | docházet ke zpracování specifických | | | | | | | |
| | | provozních údajů, a údaje | | | | | | | |
| | | o předpokládané době trvání, | | | | | | | |
| | | předpokládaném rozsahu | | | | | | | |
| | | a předpokládaném účelu zpracování | | | | | | | |
| | | specifických provozních údajů | | | | | | | |
| | | na příslušném předpokládaném území | | | | | | | |
| | | státu a údaj o tom, zda jsou nebo | | | | | | | |
| | | nejsou specifické provozní | | | | | | | |
| | | údaje pseudonymizovány v případě | | | | | | | |
| | | tohoto zpracování. U specifických | | | | | | | |
| | | provozních údajů zpracovávaných | | | | | | | |
| | | mimo území členských států Evropské | | | | | | | |
| | | unie a členských států Evropského | | | | | | | |
| | | sdružení volného obchodu popis | | | | | | | |
| | | toho, jak budou chráněny alespoň | | | | | | | |
| | | ve smyslu kapitoly V. obecného | | | | | | | |
| | | nařízení o ochraně osobních údajů. | | | | | | | |
| | | | | | | | | | |
| | | 2. Má se za to, že předpokládanými územími | | | | | | | |
| | | států, na nichž dochází nebo může | | | | | | | |
| | | docházet ke zpracování specifických | | | | | | | |
| | | provozních údajů, nejsou: | | | | | | | |
| | | - území států, z nichž se mohou | | | | | | | |
| | | nepravidelně vzdáleně připojovat | | | | | | | |
| | | pracovníci technické podpory | | | | | | | |
| | | poskytovatele cloud computingu | | | | | | | |
| | | za účelem technické podpory služby | | | | | | | |
| | | cloud computingu, která se v čase | | | | | | | |
| | | mění a nemohou být specifikována | | | | | | | |
| | | předem; | | | | | | | |
| | | - území států, do nichž poskytovatel | | | | | | | |
| | | může předávat specifické provozní | | | | | | | |
| | | údaje za účelem poskytování volitelné | | | | | | | |
| | | doplňkové služby se zapojením třetích | | | | | | | |
| | | stran, která není sama o sobě cloud | | | | | | | |
| | | computingem, aktivované podle volby | | | | | | | |
| | | zákazníka, s tím, že poskytovatel | | | | | | | |
| | | jasně označí třetí stranu, jíž může | | | | | | | |
| | | předat specifické provozní údaje, | | | | | | | |
| | | a je-li to možné, blíže specifikuje, | | | | | | | |
| | | jaké specifické provozní údaje | | | | | | | |
| | | zpravidla předává a na jakou | | | | | | | |
| | | předpokládanou dobu specifické | | | | | | | |
| | | provozní údaje předává. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 1.7 | Poskytovatel vyžaduje souhlas zákazníka | Dokument oddělený od podmínek poskytování | | | X | | X | X | X |
| | pro případy zpracování zákaznických dat | služby či smlouvy, nebo odkaz na zřetelně | | | | | | | |
| | mimo území členských států Evropské unie | uvedený text smluvní dokumentace, jimiž je | | | | | | | |
| | a členských států Evropského sdružení | vyžadován souhlas zákazníka pro případy | | | | | | | |
| | volného obchodu, který je vyjádřen | zpracování zákaznických dat mimo území | | | | | | | |
| | v samostatném dokumentu, který obsahuje | členských států Evropské unie a členských | | | | | | | |
| | údaj o předpokládaném území státu, na němž | států Evropského sdružení volného obchodu, | | | | | | | |
| | dochází nebo může docházet ke zpracování | které obsahují údaje o předpokládaném území | | | | | | | |
| | zákaznických dat. | státu, na němž dochází nebo může docházet | | | | | | | |
| | | ke zpracování zákaznických dat, | | | | | | | |
| | Poskytovatel informuje zákazníka o | | | | | | | | |
| | předpokládané době trvání, předpokládaném | nebo odkaz na konkrétní část podmínek | | | | | | | |
| | rozsahu a předpokládaném účelu zpracování | poskytování služby nebo část návrhu smluvní | | | | | | | |
| | zákaznických dat na příslušném | dokumentace nebo produktovou specifikaci, | | | | | | | |
| | předpokládaném území státu a o tom, zda | ze které bude patrné, že poskytovatel | | | | | | | |
| | jsou nebo nejsou zákaznická data | v základním nastavení služby vyžaduje | | | | | | | |
| | pseudonymizována v případě tohoto | souhlas zákazníka v každém jednotlivém | | | | | | | |
| | zpracování. | případě zpracování zákaznických dat mimo | | | | | | | |
| | | území členských států Evropské unie | | | | | | | |
| | Alternativně k vyžadování souhlasu a | a členských států Evropského sdružení | | | | | | | |
| | informování zákazníka poskytovatel v | volného obchodu. | | | | | | | |
| | základním nastavení služby cloud computingu | | | | | | | | |
| | vyžaduje souhlas zákazníka pro případy | | | | | | | | |
| | zpracování zákaznických dat v každém | | | | | | | | |
| | jednotlivém případě zpracování zákaznických | | | | | | | | |
| | dat mimo území členských států Evropské unie | | | | | | | | |
| | a členských států Evropského sdružení | | | | | | | | |
| | volného obchodu. | | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 1.8 | Zákaznická data a specifické provozní údaje | Odkaz na konkrétní část podmínek | | | | X | X | X | X |
| | jsou zpracovávány na území České republiky. | poskytování služby cloud computingu nebo | | | | | | | |
| | Aniž je dotčen požadavek uvedený na | část návrhu smlouvy, ve které je závazek | | | | | | | |
| | řádku 6.6 přílohy č. 2 k této vyhlášce, | zpracovávat zákaznická data a specifické | | | | | | | |
| | mimo území České republiky mohou být | provozní údaje pouze na území České | | | | | | | |
| | zákaznická data a specifické provozní údaje | republiky, a dále odkaz na tu část platné | | | | | | | |
| | zpracovávány pouze v odůvodněných případech, | certifikace ČSN EN ISO/IEC 27001, | | | | | | | |
| | po nezbytně nutnou dobu a v nezbytném | EN ISO/IEC 27001 nebo ISO/IEC 27001 od | | | | | | | |
| | rozsahu, pokud poskytovatel popíše, jak | certifikačního orgánu, který byl | | | | | | | |
| | budou zákaznická data chráněna před | akreditován pro certifikaci systémů | | | | | | | |
| | narušením bezpečnosti informací, | řízení bezpečnosti informací některým | | | | | | | |
| | | z členů Mezinárodního akreditačního fóra | | | | | | | |
| | a pouze s výslovným písemným svolením | (IAF) nebo auditní zprávy SOC 2® Type 2, | | | | | | | |
| | zákazníka, který je vyjádřen na samostatném | ze které bude patrný úplný výčet datových | | | | | | | |
| | dokumentu, který obsahuje údaje o | center a jejich lokace po úroveň | | | | | | | |
| | předpokládaném území státu, na němž dochází | katastrálního území/obce, ve kterých | | | | | | | |
| | nebo může docházet ke zpracování | budou zákaznická data a specifické | | | | | | | |
| | zákaznických dat, a údaje o předpokládané | provozní údaje zpracovávány. | | | | | | | |
| | době trvání, předpokládaném rozsahu | | | | | | | | |
| | a předpokládaném účelu zpracování | U služby cloud computingu, která zpracovává | | | | | | | |
| | zákaznických dat na příslušném | nebo může zpracovávat zákaznická data | | | | | | | |
| | předpokládaném území státu a údaj o tom, | a specifické provozní údaje mimo území | | | | | | | |
| | zda jsou nebo nejsou zákaznická data | České republiky, poskytovatel takovou | | | | | | | |
| | pseudonymizována v případě tohoto | službu jasně označí a uvede údaje | | | | | | | |
| | zpracování, | o předpokládaném území státu, na němž | | | | | | | |
| | | dochází nebo může docházet ke zpracování | | | | | | | |
| | nebo pouze pokud poskytovatel vyžaduje | zákaznických dat a specifických provozních | | | | | | | |
| | souhlas zákazníka v každém jednotlivém | údajů, a údaje o předpokládané době trvání, | | | | | | | |
| | případě zpracování zákaznických dat a | předpokládaném rozsahu a předpokládaném | | | | | | | |
| | specifických provozních údajů mimo území | účelu zpracování zákaznických dat a | | | | | | | |
| | České republiky. | specifických provozních údajů na příslušném | | | | | | | |
| | | předpokládaném území státu a údaj o tom, | | | | | | | |
| | | zda jsou nebo nejsou zákaznická data a | | | | | | | |
| | | specifické provozní údaje pseudonymizovány | | | | | | | |
| | | v případě tohoto zpracování. | | | | | | | |
| | | | | | | | | | |
| | | U služby cloud computingu, která zpracovává | | | | | | | |
| | | nebo může zpracovávat zákaznická data | | | | | | | |
| | | a specifické provozní údaje mimo území | | | | | | | |
| | | České republiky, poskytovatel doloží | | | | | | | |
| | | dokument oddělený od podmínek poskytování | | | | | | | |
| | | služby či smlouvy, nebo odkaz na zřetelně | | | | | | | |
| | | uvedený text smluvní dokumentace, jimiž je | | | | | | | |
| | | vyžadován souhlas zákazníka pro případy | | | | | | | |
| | | zpracování zákaznických dat mimo území | | | | | | | |
| | | České republiky, které obsahují údaje o | | | | | | | |
| | | předpokládaném území státu, na němž dochází | | | | | | | |
| | | nebo může docházet ke zpracování | | | | | | | |
| | | zákaznických dat, a údaje o předpokládané | | | | | | | |
| | | době trvání, předpokládaném rozsahu | | | | | | | |
| | | a předpokládaném účelu zpracování | | | | | | | |
| | | zákaznických dat na příslušném | | | | | | | |
| | | předpokládaném území státu a údaj o tom, | | | | | | | |
| | | zda jsou nebo nejsou zákaznická data | | | | | | | |
| | | pseudonymizována v případě tohoto | | | | | | | |
| | | zpracování, | | | | | | | |
| | | | | | | | | | |
| | | nebo odkaz na konkrétní část podmínek | | | | | | | |
| | | poskytování služby nebo část návrhu | | | | | | | |
| | | smluvní dokumentace nebo produktovou | | | | | | | |
| | | specifikaci, ze které bude patrné, že | | | | | | | |
| | | poskytovatel vyžaduje souhlas zákazníka | | | | | | | |
| | | v každém jednotlivém případě zpracování | | | | | | | |
| | | zákaznických dat mimo území České republiky. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 2. Žádosti o zpřístupnění a předání dat |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 2.1 | Poskytovatel v případě, že obdrží právně | Čestné prohlášení nebo odkaz na část návrhu | X | X | | | X | X | X |
| | závaznou žádost cizozemského orgánu | smlouvy, konkrétní část podmínek | | | | | | | |
| | o zpřístupnění nebo předání zákaznických | poskytování služby cloud computingu nebo | | | | | | | |
| | dat a specifických provozních údajů, | jiný popis služby cloud computingu, ze | | | | | | | |
| | nevyhoví této žádosti a odkáže tohoto | které bude patrné, že poskytovatel | | | | | | | |
| | žadatele na zákazníka nebo o takové žádosti | v případě, že obdrží právně závaznou žádost | | | | | | | |
| | zákazníka bezodkladně informuje, pokud to | cizozemského orgánu o zpřístupnění nebo | | | | | | | |
| | právní řád, jemuž poskytovatel podléhá, | předání zákaznických dat a specifických | | | | | | | |
| | poskytovateli nezakazuje. | provozních údajů, odkáže tohoto žadatele | | | | | | | |
| | | na zákazníka nebo o takové žádosti | | | | | | | |
| | | zákazníka bezodkladně informuje, | | | | | | | |
| | | | | | | | | | |
| | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | |
| | | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | |
| | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | |
| | | který byl akreditován pro provádění auditů | | | | | | | |
| | | a certifikaci systémů řízení bezpečnosti | | | | | | | |
| | | informací některým z členů Mezinárodního | | | | | | | |
| | | akreditačního fóra (IAF), nebo auditní | | | | | | | |
| | | zpráva SOC 2® Type 2, s odkazem na tu část, | | | | | | | |
| | | ze které bude patrné, že poskytovatel | | | | | | | |
| | | v případě, že obdrží právně závaznou žádost | | | | | | | |
| | | cizozemského orgánu o zpřístupnění nebo | | | | | | | |
| | | předání zákaznických dat a specifických | | | | | | | |
| | | provozních údajů, odkáže tohoto žadatele | | | | | | | |
| | | na zákazníka nebo o takové žádosti | | | | | | | |
| | | zákazníka bezodkladně informuje. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 2.2 | Poskytovatel v případě, že obdrží právně | Čestné prohlášení nebo odkaz na část návrhu | | | X | X | X | X | X |
| | závaznou žádost cizozemského orgánu o | smlouvy, konkrétní část podmínek | | | | | | | |
| | zpřístupnění nebo předání zákaznických dat | poskytování služby cloud computingu nebo | | | | | | | |
| | a specifických provozních údajů, odkáže | jiný popis služby cloud computingu, | | | | | | | |
| | tohoto žadatele na zákazníka nebo o takové | ze kterého bude patrné, že poskytovatel | | | | | | | |
| | žádosti zákazníka bezodkladně informuje. | v případě, že obdrží právně závaznou | | | | | | | |
| | Pokud právní řád, jemuž poskytovatel | žádost cizozemského orgánu o zpřístupnění | | | | | | | |
| | podléhá, poskytovateli zakazuje informovat | nebo předání zákaznických dat a | | | | | | | |
| | zákazníka, vyvine veškeré možné zákonné | specifických provozních údajů, nevyhoví | | | | | | | |
| | úsilí, aby dosáhl zrušení tohoto zákazu | této žádosti a odkáže tohoto žadatele | | | | | | | |
| | a využije všech dostupných opravných | na zákazníka nebo o takové žádosti | | | | | | | |
| | prostředků s cílem zpochybnit takový zákaz, | zákazníka bezodkladně informuje, nebo | | | | | | | |
| | případně pozastavit účinky zákazu, dokud | pokud právní řád, jemuž poskytovatel | | | | | | | |
| | soud nerozhodne ve věci samé. Pokud | podléhá, poskytovateli zakazuje | | | | | | | |
| | nedosáhne zrušení povinnosti zákazu | informovat zákazníka, vyvine veškeré možné | | | | | | | |
| | informování zákazníka, pak poskytovatel | zákonné úsilí, aby dosáhl zrušení tohoto | | | | | | | |
| | zákazníka informuje poté, co vyprší | zákazu a využije všech dostupných opravných | | | | | | | |
| | platnost právního zákazu, např. po vypršení | prostředků s cílem zpochybnit takový zákaz, | | | | | | | |
| | období mlčenlivosti nařízeného | případně pozastavit účinky zákazu, dokud | | | | | | | |
| | zákonem nebo soudem. | soud nerozhodne ve věci samé, a pokud | | | | | | | |
| | | nedosáhne zrušení povinnosti zákazu | | | | | | | |
| | | informování zákazníka, pak poskytovatel | | | | | | | |
| | | zákazníka informuje poté, co vyprší | | | | | | | |
| | | platnost právního zákazu, např. po vypršení | | | | | | | |
| | | období mlčenlivosti nařízeného zákonem | | | | | | | |
| | | nebo soudem, | | | | | | | |
| | | | | | | | | | |
| | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | |
| | | ČSN EN ISO/IEC 27001,EN ISO/IEC 27001 nebo | | | | | | | |
| | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | |
| | | který byl akreditován pro provádění auditů | | | | | | | |
| | | a certifikaci systémů řízení bezpečnosti | | | | | | | |
| | | informací některým z členů Mezinárodního | | | | | | | |
| | | akreditačního fóra (IAF), | | | | | | | |
| | | | | | | | | | |
| | | nebo auditní zpráva SOC 2® Type 2, s | | | | | | | |
| | | odkazem na tu část, ze které bude patrné, | | | | | | | |
| | | že poskytovatel v případě, že obdrží | | | | | | | |
| | | právně závaznou žádost cizozemského orgánu | | | | | | | |
| | | o zpřístupnění nebo předání zákaznických | | | | | | | |
| | | dat a specifických provozních údajů, | | | | | | | |
| | | nevyhoví této žádosti a odkáže tohoto | | | | | | | |
| | | žadatele na zákazníka nebo o takové žádosti | | | | | | | |
| | | zákazníka bezodkladně informuje, nebo | | | | | | | |
| | | pokud právní řád, jemuž poskytovatel | | | | | | | |
| | | podléhá, poskytovateli zakazuje informovat | | | | | | | |
| | | zákazníka, vyvine veškeré možné zákonné | | | | | | | |
| | | úsilí, aby dosáhl zrušení tohoto zákazu | | | | | | | |
| | | a využije všech dostupných opravných | | | | | | | |
| | | prostředků s cílem zpochybnit takový zákaz, | | | | | | | |
| | | případně pozastavit účinky zákazu, dokud | | | | | | | |
| | | soud nerozhodne ve věci samé, a pokud | | | | | | | |
| | | nedosáhne zrušení povinnosti zákazu | | | | | | | |
| | | informování zákazníka, pak poskytovatel | | | | | | | |
| | | zákazníka informuje poté, co vyprší | | | | | | | |
| | | platnost právního zákazu, např. po zrušení | | | | | | | |
| | | povinnosti mlčenlivosti stanovené zákonem | | | | | | | |
| | | nebo nařízené soudem | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 2.3 | Poskytovatel v případě, že obdrží žádost | Čestné prohlášení nebo odkaz na část návrhu | X | X | | | X | X | X |
| | cizozemského orgánu o zpřístupnění nebo | smlouvy, konkrétní část podmínek | | | | | | | |
| | předání zákaznických dat a specifických | poskytování služby cloud computingu nebo | | | | | | | |
| | provozních údajů, přezkoumá zákonnost takové | jiný popis služby cloud computingu, | | | | | | | |
| | žádosti, zejména provede právní posouzení, | ze kterého bude patrné, že poskytovatel | | | | | | | |
| | ze kterého bude vyplývat, zda žádost | přezkoumá zákonnost cizozemských orgánů | | | | | | | |
| | cizozemského orgánu má proveditelný, | o zpřístupnění, zejména provede právní | | | | | | | |
| | aplikovatelný a platný právní základ, | posouzení, ze kterého bude vyplývat, zda | | | | | | | |
| | je právně závazná a rozsah poskytovaných | žádost cizozemského orgánu má proveditelný | | | | | | | |
| | nebo zpřístupňovaných zákaznických dat a | a platný právní základ, je právně závazná | | | | | | | |
| | specifických provozních údajů je přiměřený | a rozsah poskytovaných nebo | | | | | | | |
| | účelu žádosti. Poskytovatel se zavazuje, | zpřístupňovaných zákaznických dat a | | | | | | | |
| | že předá zákaznická data a specifické | specifických provozních údajů je přiměřený | | | | | | | |
| | provozní údaje cizozemskému orgánu pouze, | účelu žádosti, a poskytovatel předá | | | | | | | |
| | pokud z právního posouzení vyšlo, že žádost | zákaznická data a specifické provozní údaje | | | | | | | |
| | cizozemského orgánu má proveditelný, | cizozemskému orgánu pouze, pokud z právního | | | | | | | |
| | aplikovatelný a platný právní základ, je | posouzení vyšlo, že žádost cizozemského | | | | | | | |
| | právně závazná a rozsah poskytovaných nebo | orgánu má proveditelný, aplikovatelný a | | | | | | | |
| | zpřístupňovaných zákaznických dat a | platný právní základ, je právně závazná a | | | | | | | |
| | specifických provozních údajů je přiměřený | rozsah poskytovaných nebo zpřístupňovaných | | | | | | | |
| | účelu žádosti. | zákaznických dat a specifických provozních | | | | | | | |
| | O podkladech sloužících k posouzení | údajů je přiměřený účelu žádosti, | | | | | | | |
| | poskytovatel provede záznam, který uchová | | | | | | | | |
| | alespoň 5 let pro účely kontroly nebo ho | nebo auditní zpráva vydaná pro certifikaci | | | | | | | |
| | prokazatelně předá zákazníkovi. | ČSN EN ISO/IEC 27001,EN ISO/IEC 27001 nebo | | | | | | | |
| | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | |
| | | který byl akreditován pro provádění auditů | | | | | | | |
| | | a certifikaci systémů řízení bezpečnosti | | | | | | | |
| | | informací některým z členů Mezinárodního | | | | | | | |
| | | akreditačního fóra (IAF), nebo auditní | | | | | | | |
| | | zpráva SOC 2® Type 2, s odkazem na tu část, | | | | | | | |
| | | ze které bude patrné, že poskytovatel | | | | | | | |
| | | přezkoumá zákonnost cizozemských orgánů | | | | | | | |
| | | o zpřístupnění, zejména provede právní | | | | | | | |
| | | posouzení, ze kterého bude vyplývat, zda | | | | | | | |
| | | žádost cizozemského orgánu má proveditelný | | | | | | | |
| | | a platný právní základ, je právně závazná | | | | | | | |
| | | a rozsah poskytovaných nebo | | | | | | | |
| | | zpřístupňovaných zákaznických dat | | | | | | | |
| | | a specifických provozních údajů je | | | | | | | |
| | | přiměřený účelu žádosti, a poskytovatel | | | | | | | |
| | | předá zákaznická data a specifické provozní | | | | | | | |
| | | údaje cizozemskému orgánu pouze, pokud | | | | | | | |
| | | z právního posouzení vyšlo, že žádost | | | | | | | |
| | | cizozemského orgánu má proveditelný, | | | | | | | |
| | | aplikovatelný a platný právní základ, | | | | | | | |
| | | je právně závazná a rozsah poskytovaných | | | | | | | |
| | | nebo zpřístupňovaných zákaznických | | | | | | | |
| | | dat a specifických provozních údajů je | | | | | | | |
| | | přiměřený účelu žádosti. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 2.4 | Poskytovatel v případě, že obdrží žádost | Čestné prohlášení nebo odkaz na část | | | X | | X | X | X |
| | cizozemského orgánu o zpřístupnění nebo | návrhu smlouvy, konkrétní část podmínek | | | | | | | |
| | předání zákaznických dat a specifických | poskytování služby cloud computingu nebo | | | | | | | |
| | provozních údajů, přezkoumá zákonnost | jiný popis služby cloud computingu, ze | | | | | | | |
| | takové žádosti, zejména provede právní | kterého bude patrné, že poskytovatel | | | | | | | |
| | posouzení, ze kterého bude vyplývat, zda | přezkoumá zákonnost cizozemských orgánů | | | | | | | |
| | žádost cizozemského orgánu má proveditelný | o zpřístupnění, zejména provede právní | | | | | | | |
| | a platný právní základ, je právně závazná | posouzení, ze kterého bude vyplývat, zda | | | | | | | |
| | a rozsah poskytovaných nebo zpřístupňovaných | žádost cizozemského orgánu má proveditelný | | | | | | | |
| | zákaznických dat a specifických provozních | a platný právní základ, je právně závazná | | | | | | | |
| | údajů je přiměřený účelu žádosti, a vyvine | a rozsah poskytovaných nebo | | | | | | | |
| | veškeré možné zákonné úsilí, aby zabránil | zpřístupňovaných zákaznických dat | | | | | | | |
| | zpřístupnění nebo předání zákaznických dat | a specifických provozních údajů je | | | | | | | |
| | a specifických provozních údajů na základě | přiměřený účelu žádosti, a vyvine veškeré | | | | | | | |
| | žádosti cizozemského orgánu bez souhlasu | možné zákonné úsilí, aby zabránil | | | | | | | |
| | zákazníka, zejména zohlední právní závazky | zpřístupnění nebo předání zákaznických dat | | | | | | | |
| | a povinnosti vyplývající z právních | a specifických provozních údajů na základě | | | | | | | |
| | předpisů Evropské unie a České republiky | žádosti cizozemského orgánu bez souhlasu | | | | | | | |
| | a bude usilovat o zrušení povinnosti | zákazníka, zejména zohlední právní závazky | | | | | | | |
| | zpřístupnění nebo předání zákaznických dat | a povinnosti vyplývající z právních | | | | | | | |
| | a specifických provozních údajů. | předpisů Evropské unie a České republiky | | | | | | | |
| | O podkladech sloužících k posouzení | a bude usilovat o zrušení povinnosti | | | | | | | |
| | poskytovatel provede záznam, který uchová | zpřístupnění nebo předání zákaznických | | | | | | | |
| | alespoň 10 let pro účely kontroly nebo ho | dat a specifických provozních údajů, | | | | | | | |
| | prokazatelně předá zákazníkovi. | | | | | | | | |
| | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | |
| | | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | |
| | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | |
| | | který byl akreditován pro provádění auditů | | | | | | | |
| | | a certifikaci systémů řízení bezpečnosti | | | | | | | |
| | | informací některým z členů Mezinárodního | | | | | | | |
| | | akreditačního fóra (IAF), nebo auditní | | | | | | | |
| | | zpráva SOC 2® Type 2, s odkazem na tu část, | | | | | | | |
| | | ze které bude patrné, že poskytovatel | | | | | | | |
| | | přezkoumá zákonnost cizozemských orgánů o | | | | | | | |
| | | zpřístupnění, zejména provede právní | | | | | | | |
| | | posouzení, ze kterého bude vyplývat, zda | | | | | | | |
| | | žádost cizozemského orgánu má proveditelný | | | | | | | |
| | | a platný právní základ, je právně závazná | | | | | | | |
| | | a rozsah poskytovaných nebo | | | | | | | |
| | | zpřístupňovaných zákaznických dat a | | | | | | | |
| | | specifických provozních údajů je přiměřený | | | | | | | |
| | | účelu žádosti, a vyvine veškeré možné | | | | | | | |
| | | zákonné úsilí, aby zabránil zpřístupnění | | | | | | | |
| | | nebo předání zákaznických dat a | | | | | | | |
| | | specifických provozních údajů na základě | | | | | | | |
| | | žádosti cizozemského orgánu bez souhlasu | | | | | | | |
| | | zákazníka, zejména zohlední právní závazky | | | | | | | |
| | | a povinnosti vyplývající z právních | | | | | | | |
| | | předpisů Evropské unie a České republiky | | | | | | | |
| | | a bude usilovat o zrušení povinnosti | | | | | | | |
| | | zpřístupnění nebo předání zákaznických dat | | | | | | | |
| | | a specifických provozních údajů. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 2.5 | Poskytovatel jasně a srozumitelně uvádí | Písemný popis povinností vyplývajících | X | X | X | X | X | X | X |
| | jeho povinnosti vyplývající z právních | z právních předpisů států odlišných od | | | | | | | |
| | předpisů států odlišných od členských | členských států Evropské unie, v nichž | | | | | | | |
| | států Evropské unie, v nichž poskytovatel | poskytovatel předpokládá zpracování | | | | | | | |
| | předpokládá zpracování zákaznických dat dle | zákaznických dat dle řádků 1.1, 1.5 a 1.6 | | | | | | | |
| | řádků 1.1, 1.5 a 1.6 přílohy č. 2 k této | přílohy č. 2 k této vyhlášce týkající se | | | | | | | |
| | vyhlášce týkající se zpřístupnění a | zpřístupnění a předávání zákaznických dat | | | | | | | |
| | předávání zákaznických dat a specifických | a specifických provozních údajů. Písemný | | | | | | | |
| | provozních údajů. | popis musí být v takové kvalitě, aby z něj | | | | | | | |
| | | bylo možné zákazníkem posoudit vhodnost | | | | | | | |
| | | právního řádu s ohledem na zpracovávání | | | | | | | |
| | | zákaznických dat a specifických provozních | | | | | | | |
| | | údajů. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 2.6 | Poskytovatel v případě, že obdrží žádost | Čestné prohlášení nebo odkaz na část | | | | X | X | X | X |
| | cizozemských orgánů o zpřístupnění nebo | návrhu smlouvy, konkrétní část podmínek | | | | | | | |
| | předání zákaznických dat a specifických | poskytování služby cloud computingu nebo | | | | | | | |
| | provozních údajů, tuto žádost odmítne a | jiný popis služby cloud computingu, ze | | | | | | | |
| | data nevydává a nezpřístupňuje. | které bude patrné, že poskytovatel v | | | | | | | |
| | | případě, že obdrží žádost cizozemských | | | | | | | |
| | | orgánů o zpřístupnění nebo předání | | | | | | | |
| | | zákaznických dat a specifických provozních | | | | | | | |
| | | údajů, tuto žádost odmítne a data nevydá | | | | | | | |
| | | a nezpřístupní, | | | | | | | |
| | | | | | | | | | |
| | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | |
| | | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | |
| | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | |
| | | který byl akreditován pro provádění auditů | | | | | | | |
| | | a certifikaci systémů řízení bezpečnosti | | | | | | | |
| | | informací některým z členů Mezinárodního | | | | | | | |
| | | akreditačního fóra (IAF), nebo auditní | | | | | | | |
| | | zpráva SOC 2® Type 2, s odkazem na tu část, | | | | | | | |
| | | ze které bude patrné, že poskytovatel | | | | | | | |
| | | v případě, že obdrží žádost cizozemských | | | | | | | |
| | | orgánů o zpřístupnění nebo předání | | | | | | | |
| | | zákaznických dat a specifických provozních | | | | | | | |
| | | údajů, tuto žádost odmítne a data nevydá | | | | | | | |
| | | a nezpřístupní. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 3. Oprávnění k provedení kontroly
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 3.1 | Poskytovatel jednou ročně, nebo na základě | Žádný podklad se nevyžaduje. | X | X | X | X | X | X | X |
| | opakujících se kybernetických bezpečnostních | | | | | | | | |
| | incidentů, nebo v případě rozporu vůči | Splnění tohoto požadavku ověří | | | | | | | |
| | deklarovaným parametrům, umožňuje | Ministerstvo vnitra nebo Národní úřad | | | | | | | |
| | Ministerstvu vnitra nebo Národnímu úřadu | pro kybernetickou a informační bezpečnost | | | | | | | |
| | pro kybernetickou a informační bezpečnost | z vlastní činnosti. | | | | | | | |
| | zdarma ve vztahu k dané službě cloud | | | | | | | | |
| | computingu provedení kontroly splnění | | | | | | | | |
| | požadavků podle § 6i odst. 2 a 3 zákona | | | | | | | | |
| | o informačních systémech veřejné správy | | | | | | | | |
| | a podle kontrolního řádu na všech místech | | | | | | | | |
| | a zařízeních, souvisejících s poskytováním | | | | | | | | |
| | služby cloud computingu, a zároveň poskytuje | | | | | | | | |
| | veškerou součinnost, kterou si tyto orgány | | | | | | | | |
| | vyžádají, vyjma zpřístupnění či předání | | | | | | | | |
| | zákaznických dat bez souhlasu dotčeného | | | | | | | | |
| | zákazníka. | | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 4. Úrovně dostupnosti služby |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 4.1 | Poskytovatel je schopen zajišťovat | Odkaz na konkrétní část podmínek | - | 99,45 | 99,90 | 99,99 | X | X | X |
| | dostupnost služby cloud computingu | poskytování služby cloud computingu nebo | | (%) | (%) | (%) | | | |
| | s nepřetržitou provozní dobou alespoň | část návrhu smlouvy, ve které bude | | | | | | | |
| | v uvedených úrovních vyhodnocované na | poskytovatel garantovat zajištění | | | | | | | |
| | měsíční bázi včetně časů nutných pro | dostupnosti alespoň v uvedených úrovních, | | | | | | | |
| | servisní zásahy, měřeno ve výměnném | | | | | | | | |
| | uzlu internetu (IXP) deklarovaném | nebo auditní zpráva vydaná pro certifikaci | | | | | | | |
| | poskytovatelem. | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | |
| | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | |
| | | který byl akreditován pro provádění auditů | | | | | | | |
| | | a certifikaci systémů řízení bezpečnosti | | | | | | | |
| | | informací některým z členů Mezinárodního | | | | | | | |
| | | akreditačního fóra (IAF), nebo auditní | | | | | | | |
| | | zpráva SOC 2® Type 2, s odkazem na tu část, | | | | | | | |
| | | ze které bude patrné, že poskytovatel je | | | | | | | |
| | | schopen zajišťovat dostupnost služby cloud | | | | | | | |
| | | computingu s nepřetržitou provozní dobou | | | | | | | |
| | | alespoň v uvedených úrovních vyhodnocované | | | | | | | |
| | | na měsíční bázi včetně časů nutných pro | | | | | | | |
| | | servisní zásahy, měřeno ve výměnném uzlu | | | | | | | |
| | | internetu (IXP) deklarovaném | | | | | | | |
| | | poskytovatelem. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 4.2 | Poskytovatel je schopen zajišťovat | Odkaz na konkrétní část podmínek | 96,16 | - | - | - | X | X | X |
| | dostupnost služby cloud computingu | poskytování služby cloud computingu nebo | (%) | | | | | | |
| | s provozní dobou alespoň 10 hodin v | část návrhu smlouvy, ve které bude | | | | | | | |
| | pracovní dny v uvedené úrovni vyhodnocované | poskytovatel garantovat zajištění | | | | | | | |
| | na měsíční bázi včetně časů nutných pro | dostupnosti alespoň v uvedených úrovních, | | | | | | | |
| | servisní zásahy, měřeno ve výměnném uzlu | | | | | | | | |
| | internetu (IXP) deklarovaném poskytovatelem. | nebo auditní zpráva vydaná pro certifikaci | | | | | | | |
| | | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | |
| | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | |
| | | který byl akreditován pro provádění auditů | | | | | | | |
| | | a certifikaci systémů řízení bezpečnosti | | | | | | | |
| | | informací některým z členů Mezinárodního | | | | | | | |
| | | akreditačního fóra (IAF), nebo auditní | | | | | | | |
| | | zpráva SOC 2® Type 2, s odkazem na tu část, | | | | | | | |
| | | ze které bude patrné, že poskytovatel je | | | | | | | |
| | | schopen zajišťovat dostupnost služby cloud | | | | | | | |
| | | computingu s provozní dobou alespoň | | | | | | | |
| | | 10 hodin v pracovní dny v uvedené úrovni | | | | | | | |
| | | vyhodnocované na měsíční bázi včetně časů | | | | | | | |
| | | nutných pro servisní zásahy, měřeno ve | | | | | | | |
| | | výměnném uzlu internetu (IXP) deklarovaném | | | | | | | |
| | | poskytovatelem. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 5. Připojení do výměnného uzlu internetu (IXP) |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 5.1 | Poskytovatel má zajištěno připojení do | Výpis z veřejně dostupné databáze subjektů | | | X | X | X | X | X |
| | výměnného uzlu internetu (IXP) v České | připojených do výměnného uzlu internetu, | | | | | | | |
| | republice. | | | | | | | | |
| | | nebo platná smlouva s poskytovatelem služby | | | | | | | |
| | | výměnného uzlu internetu, | | | | | | | |
| | | | | | | | | | |
| | | nebo čestné prohlášení poskytovatele, že | | | | | | | |
| | | má zajištěno připojení do výměnného uzlu | | | | | | | |
| | | internetu (IXP) v České republice. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 6. Zajištění poskytování služby cloud computingu |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 6.1 | Poskytovatel má vyhotoven plán zajištění | Strategie zajištění kontinuity provozu a | X | X | | | X | X | X |
| | kontinuity provozu a plán na obnovu po | strategie na obnovu po havárii, | | | | | | | |
| | havárii týkající se poskytované služby | | | | | | | | |
| | cloud computingu pro zajištění dostupnosti | nebo auditní zpráva vyhotovená subjektem | | | | | | | |
| | uvedené v řádcích 4.1 a 4.2 přílohy č. 2 k | nezávislým na poskytovateli, která | | | | | | | |
| | této vyhlášce. | potvrzuje existenci plánu zajištění | | | | | | | |
| | | kontinuity provozu nabízené služby cloud | | | | | | | |
| | | computingu a plánu na obnovu poskytování | | | | | | | |
| | | nabízené služby cloud computingu po havárii | | | | | | | |
| | | a dokládá ověření jeho aplikace, zejména | | | | | | | |
| | | auditní zpráva vydaná pro účel | | | | | | | |
| | | certifikace ČSN ISO/IEC 20000, | | | | | | | |
| | | ISO/IEC 20000, ČSN EN ISO 22301 | | | | | | | |
| | | nebo ISO 22301, SOC 2®Type2 nebo atestace | | | | | | | |
| | | podle CSA STAR Level 2 nebo platný | | | | | | | |
| | | certifikát ČSN ISO/IEC 20000, | | | | | | | |
| | | ISO/IEC 20000, ČSN EN ISO 22301 nebo | | | | | | | |
| | | ISO 22301 vydaný subjektem nezávislým | | | | | | | |
| | | na poskytovateli. V rozsahu dané | | | | | | | |
| | | certifikace nebo auditní zprávy musí | | | | | | | |
| | | být zahrnuta nabízená služba cloud | | | | | | | |
| | | computingu. V případě, že rozsah | | | | | | | |
| | | auditní zprávy nebo certifikace | | | | | | | |
| | | nezahrnuje jmenovitě službu cloud | | | | | | | |
| | | computingu, kterou žádá poskytovatel | | | | | | | |
| | | zapsat do katalogu cloud computingu, doloží | | | | | | | |
| | | poskytovatel čestné prohlášení, které | | | | | | | |
| | | služby cloud computingu do rozsahu auditní | | | | | | | |
| | | zprávy nebo certifikace spadají. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 6.2 | Poskytovatel má vyhotoven plán zajištění | Strategie zajištění kontinuity provozu | | | X | X | X | X | X |
| | kontinuity provozu a plán na obnovu po | a strategie na obnovu po havárii, | | | | | | | |
| | havárii týkající se poskytované služby | | | | | | | | |
| | cloud computingu pro zajištění dostupnosti | nebo auditní zpráva vyhotovená subjektem | | | | | | | |
| | uvedené v řádcích 4.1 a 4.2 přílohy č. 2 k | nezávislým na poskytovateli, která | | | | | | | |
| | této vyhlášce. | potvrzuje existenci plánu | | | | | | | |
| | | zajištění kontinuity provozu nabízené | | | | | | | |
| | | služby cloud computingu a plánu na obnovu | | | | | | | |
| | | poskytování nabízené služby cloud | | | | | | | |
| | | computingu po havárii a dokládá ověření | | | | | | | |
| | | jeho aplikace, zejména auditní zpráva | | | | | | | |
| | | vydaná pro účel certifikace | | | | | | | |
| | | ČSN ISO/IEC 20000, ISO/IEC 20000, | | | | | | | |
| | | ČSN EN ISO 22301 nebo ISO 22301, | | | | | | | |
| | | SOC 2® Type 2 nebo atestace podle | | | | | | | |
| | | CSA STAR Level 2. | | | | | | | |
| | | V rozsahu dané auditní zprávy musí být | | | | | | | |
| | | zahrnuta nabízená služba cloud computingu. | | | | | | | |
| | | V případě, že rozsah auditní zprávy | | | | | | | |
| | | nezahrnuje jmenovitě službu cloud | | | | | | | |
| | | computingu, kterou žádá poskytovatel | | | | | | | |
| | | zapsat do katalogu cloud computingu, doloží | | | | | | | |
| | | poskytovatel čestné prohlášení, které | | | | | | | |
| | | služby cloud computingu do rozsahu auditní | | | | | | | |
| | | zprávy spadají. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 6.3 | Poskytovatel umožňuje synchronní replikaci | Odkaz na konkrétní část podmínek | | | X | X | | X | X |
| | (zálohování) dat alespoň do jednoho záložního | poskytování služby cloud computingu nebo | | | | | | | |
| | datového centra, které je kapacitně | část návrhu smlouvy nebo produktovou | | | | | | | |
| | dostatečné k převzetí služby cloud | specifikaci nebo auditní zpráva vydaná | | | | | | | |
| | computingu poskytované z primárního datového | pro certifikaci ČSN EN ISO/IEC 27001, | | | | | | | |
| | centra. | EN ISO/IEC 27001 nebo ISO/IEC 27001 | | | | | | | |
| | | od certifikačního orgánu, který byl | | | | | | | |
| | | akreditován pro provádění auditů | | | | | | | |
| | | a certifikaci systémů řízení bezpečnosti | | | | | | | |
| | | informací některým z členů Mezinárodního | | | | | | | |
| | | akreditačního fóra (IAF), nebo auditní | | | | | | | |
| | | zpráva SOC 2® Type 2, s odkazem na tu část, | | | | | | | |
| | | ze které bude patrné umožnění synchronní | | | | | | | |
| | | replikace (zálohování) dat do záložního | | | | | | | |
| | | datového centra. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 6.4 | Poskytovatel zajišťuje, že primární a | Odkaz na konkrétní část podmínek | X | X | X | X | X | X | X |
| | alespoň jedno záložní datové centrum, které | poskytování služby nebo část návrhu smlouvy | | | | | | | |
| | je kapacitně dostatečné k převzetí služby | nebo produktovou specifikaci nebo auditní | | | | | | | |
| | poskytované z primárního datového centra, | zpráva vydaná pro certifikaci | | | | | | | |
| | jsou v dostatečné vzdálenosti od přírodních | ČSN EN ISO/IEC 27001,EN ISO/IEC 27001 | | | | | | | |
| | zdrojů rizik a zdrojů rizik vyvolaných | nebo ISO/IEC 27001 od certifikačního | | | | | | | |
| | činností člověka vedoucích k narušení nebo | orgánu, který byl akreditován | | | | | | | |
| | omezení poskytování služby cloud computingu | pro provádění auditů a certifikaci | | | | | | | |
| | nebo bezpečnosti informací, nebo je přijato | systémů řízení bezpečnosti informací | | | | | | | |
| | adekvátní bezpečnostní opatření, nebo se | některým z členů Mezinárodního | | | | | | | |
| | primární a alespoň jedno záložní datové | akreditačního fóra (IAF), nebo z auditní | | | | | | | |
| | centrum, které je kapacitně dostatečné k | zprávy SOC 2® Type 2, s odkazem na tu | | | | | | | |
| | převzetí služby poskytované z primárního | část, ze které bude patrné zajištění | | | | | | | |
| | datového centra, nacházejí ve vzájemné | alespoň jednoho záložního datového centra, | | | | | | | |
| | vzdálenosti nejméně 50 km a u obou datových | které je kapacitně dostatečné k převzetí | | | | | | | |
| | center je navržena a aplikována fyzická | služby poskytované z primárního datového | | | | | | | |
| | ochrana proti přírodním katastrofám, | centra, | | | | | | | |
| | úmyslnému útoku nebo haváriím. | | | | | | | | |
| | | a | | | | | | | |
| | | | | | | | | | |
| | | pro doložení dostatečné vzdálenosti nebo | | | | | | | |
| | | přijetí adekvátního bezpečnostního opatření | | | | | | | |
| | | zpráva nebo jiný doklad o zhodnocení | | | | | | | |
| | | přírodních zdrojů rizik a zdrojů rizik | | | | | | | |
| | | vyvolaných činností člověka, které obsahuje | | | | | | | |
| | | náležitosti uvedené v příloze č. 5 k této | | | | | | | |
| | | vyhlášce, | | | | | | | |
| | | | | | | | | | |
| | | nebo pro doložení vzájemné vzdálenosti | | | | | | | |
| | | nejméně 50 km a návrhu a aplikace fyzické | | | | | | | |
| | | ochrany proti přírodním katastrofám, | | | | | | | |
| | | úmyslnému útoku nebo haváriím odkaz na tu | | | | | | | |
| | | část platné certifikace | | | | | | | |
| | | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | |
| | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | |
| | | který byl akreditován pro certifikaci | | | | | | | |
| | | systémů řízení bezpečnosti informací | | | | | | | |
| | | některým z členů Mezinárodního | | | | | | | |
| | | akreditačního fóra (IAF), nebo auditní | | | | | | | |
| | | zprávy SOC 2® Type 2, ze které bude patrný | | | | | | | |
| | | úplný výčet datových center a jejich lokace | | | | | | | |
| | | po úroveň katastrálního území/obce, ze | | | | | | | |
| | | kterých je služba cloud computingu | | | | | | | |
| | | poskytována a ze které bude patrné, že | | | | | | | |
| | | fyzická ochrana proti přírodním | | | | | | | |
| | | katastrofám, úmyslnému útoku nebo haváriím | | | | | | | |
| | | je navržena a aplikována. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 6.5 | Poskytovatel zajišťuje, že primární i | Odkaz na tu část platné certifikace | | | X | | X | X | X |
| | záložní datové centrum, ve kterých jsou | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 | | | | | | | |
| | uložena zákaznická data ve stavu neaktivních | nebo ISO/IEC 27001 od certifikačního | | | | | | | |
| | dat, se nacházejí buďto všechna v České | orgánu, který byl akreditován pro | | | | | | | |
| | republice, nebo alespoň na území dvou | certifikaci systémů řízení bezpečnosti | | | | | | | |
| | různých členských států Evropské unie a | informací některým z členů Mezinárodního | | | | | | | |
| | Evropského sdružení volného obchodu. Tento | akreditačního fóra (IAF), nebo auditní | | | | | | | |
| | požadavek se neuplatní na služby cloud | zprávy SOC 2® Type 2, ze které bude patrný | | | | | | | |
| | computingu uplatňující výjimku z požadavků | úplný výčet datových center a jejich lokace | | | | | | | |
| | na řádku 1.4 přílohy č. 2 k této vyhlášce. | po úroveň katastrálního území/obce, | | | | | | | |
| | | ve kterých jsou uložena zákaznická data | | | | | | | |
| | | ve stavu neaktivních dat. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 6.6 | Poskytovatel zajišťuje, že primární i všechna | Odkaz na tu část platné certifikace | | | | X | X | X | X |
| | záložní datová centra, ze kterých je | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 | | | | | | | |
| | poskytována služba cloud computingu, se | nebo ISO/IEC 27001 od certifikačního | | | | | | | |
| | nacházejí v České republice, vyjma případů | orgánu, který byl akreditován pro | | | | | | | |
| | výslovného písemného svolení zákazníka s | certifikaci systémů řízení bezpečnosti | | | | | | | |
| | ukládáním zákazníkem zašifrovaných | informací některým z členů Mezinárodního | | | | | | | |
| | zákaznických dat ve stavu neaktivních dat | akreditačního fóra (IAF), nebo auditní | | | | | | | |
| | na území jiného členského státu Evropské unie | zprávy SOC 2® Type 2, ze které bude patrný | | | | | | | |
| | a členského státu Evropského sdružení volného | úplný výčet datových center a jejich lokace | | | | | | | |
| | obchodu. | po úroveň katastrálního území/obce, | | | | | | | |
| | | ve kterých bude zákaznický obsah dlouhodobě | | | | | | | |
| | | uložen ve stavu neaktivních dat. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 6.7 | Poskytovatel je schopen poskytovat nástroje | Odkaz na konkrétní část podmínek | X | X | X | X | X | X | X |
| | nebo služby pro zvýšení odolnosti vůči útokům | poskytování služby cloud computingu nebo | | | | | | | |
| | typu DoS/DDoS. | na popis volitelné služby cloud computingu, | | | | | | | |
| | | ze které bude patrný nástroj nebo služba | | | | | | | |
| | | využívaná pro zvýšení odolnosti vůči útokům | | | | | | | |
| | | typu DoS/DDos, | | | | | | | |
| | | | | | | | | | |
| | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | |
| | | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 | | | | | | | |
| | | nebo ISO/IEC 27001 od certifikačního | | | | | | | |
| | | orgánu, který byl akreditován pro | | | | | | | |
| | | provádění auditů a certifikaci systémů | | | | | | | |
| | | řízení bezpečnosti informací některým | | | | | | | |
| | | z členů Mezinárodního akreditačního fóra | | | | | | | |
| | | (IAF), nebo auditní zpráva SOC 2® Type 2, | | | | | | | |
| | | s odkazem na tu část, ze které bude patrné, | | | | | | | |
| | | že poskytovatel je schopen poskytovat | | | | | | | |
| | | nástroje nebo služby pro zvýšení odolnosti | | | | | | | |
| | | vůči útokům typu DoS/DDoS, a ze které bude | | | | | | | |
| | | patrný nástroj nebo služba využívané pro | | | | | | | |
| | | zvýšení odolnosti vůči útokům typu | | | | | | | |
| | | DoS/DDos. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 6.8 | Poskytovatel umožňuje obsluhu služby cloud | Odkaz na konkrétní část podmínek | | | X | X | X | X | X |
| | computingu pomocí management portálu nebo | poskytování služby cloud computingu, část | | | | | | | |
| | jiné formy administrátorské konzole vzdáleně | návrhu smlouvy nebo technickou dokumentaci, | | | | | | | |
| | přístupné zákazníkovi v nepřetržitém režimu. | ze které bude patrné, že poskytovatel | | | | | | | |
| | | umožňuje obsluhu služby cloud computingu | | | | | | | |
| | | pomocí management portálu nebo jiné formy | | | | | | | |
| | | administrátorské konzole vzdáleně přístupné | | | | | | | |
| | | zákazníkovi v nepřetržitém režimu. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 7. Nakládání s daty
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 7.1 | Poskytovatel umožňuje import či export dat | Odkaz na konkrétní část podmínek | | | X | X | X | X | X |
| | v objemu větším než 2 TB prostřednictvím | poskytování služby cloud computingu, část | | | | | | | |
| | zaslání šifrovaných paměťových médií. | návrhu smlouvy, nebo produktovou | | | | | | | |
| | | specifikaci, ze které bude patrné, | | | | | | | |
| | | že poskytovatel umožňuje import či export | | | | | | | |
| | | dat v objemu větším než 2 TB | | | | | | | |
| | | prostřednictvím zaslání šifrovaných | | | | | | | |
| | | paměťových médií. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 7.2 | Poskytovatel chrání zákaznický obsah | Odkaz na konkrétní část podmínek | X | X | X | X | X | X | X |
| | šifrováním při přenosu a v úložištích ve | poskytování služby cloud computingu nebo | | | | | | | |
| | službě cloud computingu. | část návrhu smlouvy nebo produktovou | | | | | | | |
| | | specifikaci služby cloud computingu, ze | | | | | | | |
| | | které bude patrné, že poskytovatel chrání | | | | | | | |
| | | zákaznický obsah šifrováním při přenosu a | | | | | | | |
| | | v úložištích ve službě cloud computingu, | | | | | | | |
| | | | | | | | | | |
| | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | |
| | | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | |
| | | ISO/IEC 27001 od certifikačního orgánu, | | | | | | | |
| | | který byl akreditován pro provádění auditů | | | | | | | |
| | | a certifikaci systémů řízení bezpečnosti | | | | | | | |
| | | informací některým z členů Mezinárodního | | | | | | | |
| | | akreditačního fóra (IAF), nebo auditní | | | | | | | |
| | | zpráva SOC 2® Type 2, s odkazem na tu část, | | | | | | | |
| | | ze které bude patrné, že poskytovatel | | | | | | | |
| | | chrání zákaznický obsah šifrováním | | | | | | | |
| | | při přenosu a v úložištích ve službě cloud | | | | | | | |
| | | computingu. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 7.3 | Poskytovatel umožňuje ochranu zákaznického | Odkaz na konkrétní část podmínek | | X | X | X | X | X | X |
| | obsahu šifrováním při přenosu a | poskytování služby cloud computingu nebo | | | | | | | |
| | v úložištích ve službě cloud computingu | část návrhu smlouvy nebo produktovou | | | | | | | |
| | pomocí některého z algoritmů uvedených | specifikaci služby cloud computingu, | | | | | | | |
| | v doporučení v oblasti kryptografických | ze které bude patrný způsob šifrování při | | | | | | | |
| | prostředků vydaného Národním úřadem pro | přenosu a v úložištích ve službě cloud | | | | | | | |
| | kybernetickou a informační bezpečnost, | computingu. | | | | | | | |
| | které je zveřejněno na jeho internetových | | | | | | | | |
| | stránkách. | | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 7.4 | Poskytovatel umožňuje zákazníkovi využití | Odkaz na konkrétní část podmínek | | | X | | X | X | X |
| | vlastního šifrovacího klíče (BYOK). | poskytování služby cloud computingu nebo | | | | | | | |
| | | část návrhu smlouvy nebo produktovou | | | | | | | |
| | | specifikaci služby cloud computingu, | | | | | | | |
| | | ze které bude patrné, že poskytovatel | | | | | | | |
| | | umožňuje zákazníkovi využití vlastních | | | | | | | |
| | | šifrovacích klíčů, a to buď jejich | | | | | | | |
| | | vygenerováním v certifikovaném hardware | | | | | | | |
| | | security modulu (dále jen “HSM modulu“) | | | | | | | |
| | | umístěném u poskytovatele pod vzdálenou | | | | | | | |
| | | správou zákazníka, nebo importem těchto | | | | | | | |
| | | klíčů z jiných prostředků pod správou | | | | | | | |
| | | zákazníka. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 7.5 | Poskytovatel umožňuje uložení šifrovacích | Odkaz na konkrétní část podmínek | | | | X | X | X | X |
| | klíčů v certifikovaném HSM modulu úrovně | poskytování služby cloud computingu | | | | | | | |
| | ochrany FIPS 140-2 level 2 a vyšší, | nebo část návrhu smlouvy nebo produktovou | | | | | | | |
| | FIPS 140-3 level 2 a vyšší nebo certifikaci | specifikaci služby cloud computingu, | | | | | | | |
| | podle Common Criteria minimálně na EAL4 a | ze které bude patrné, že poskytovatel | | | | | | | |
| | vyšší, který je pod vzdálenou správou | umožňuje uložení klíčů v certifikovaném | | | | | | | |
| | zákazníka nebo instalaci HSM modulu zákazníka | HSM modulu úrovně ochrany FIPS 140-2 | | | | | | | |
| | do infrastruktury poskytovatele. | level 2 a vyšší, FIPS 140-3 level 2 a | | | | | | | |
| | | vyšší nebo certifikaci podle Common | | | | | | | |
| | | Criteria minimálně na EAL4 a vyšší, který | | | | | | | |
| | | je pod správou zákazníka, nebo instalaci | | | | | | | |
| | | certifikovaného HSM modulu zákazníka | | | | | | | |
| | | do infrastruktury poskytovatele. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 7.6 | Poskytovatel umožňuje bezpečnou likvidaci | Odkaz na konkrétní část podmínek poskytování | | | | X | X | X | X |
| | kryptografických klíčů uložených | služby cloud computingu nebo část návrhu | | | | | | | |
| | v certifikovaném HSM modulu řízenou | smlouvy nebo produktovou specifikaci služby | | | | | | | |
| | zákazníkem. | cloud computingu, ze které bude patrné | | | | | | | |
| | | umožnění bezpečné likvidace kryptografických | | | | | | | |
| | | klíčů uložených v certifikovaném HSM modulu | | | | | | | |
| | | řízené zákazníkem a závazek umožnit/zajistit | | | | | | | |
| | | při ukončení služby cloud computingu | | | | | | | |
| | | likvidaci vrchního přístupového klíče. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 7.7 | Poskytovatel umožňuje při ukončení služby | Odkaz na konkrétní část podmínek poskytování | | | X | | X | X | X |
| | cloud computingu bezpečnou likvidaci | služby cloud computingu nebo část návrhu | | | | | | | |
| | kryptografických klíčů, které šifrují | smlouvy nebo produktovou specifikaci služby | | | | | | | |
| | zákaznický obsah v úložištích v souladu | cloud computingu, ze které bude patrný popis | | | | | | | |
| | s vyhláškou o kybernetické bezpečnosti. | bezpečné likvidace dat v souladu s vyhláškou | | | | | | | |
| | | o kybernetické bezpečnosti. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 7.8 | Poskytovatel vyhotovuje záznam o přístupu | Odkaz na konkrétní část podmínek poskytování | X | X | X | X | X | X | X |
| | jeho interních a externích pracovníků | služby cloud computingu nebo část návrhu | | | | | | | |
| | k nezašifrovaným zákaznickým datům, ke | smlouvy nebo produktovou specifikaci služby | | | | | | | |
| | kterému došlo bez přechozího svolení | cloud computingu, | | | | | | | |
| | zákazníka v daném případě. Tento záznam | | | | | | | | |
| | musí obsahovat alespoň důvod, čas, trvání, | nebo auditní zpráva vydaná pro certifikaci | | | | | | | |
| | typ a rozsah přístupu a dostatek dalších | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 | | | | | | | |
| | údajů potřebných k tomu, aby mohl zákazník | nebo ISO/IEC 27001 od certifikačního orgánu, | | | | | | | |
| | vyhodnotit rizikovost tohoto přístupu. | který byl akreditován pro provádění auditů | | | | | | | |
| | | a certifikaci systémů řízení bezpečnosti | | | | | | | |
| | | informací některým z členů Mezinárodního | | | | | | | |
| | | akreditačního fóra (IAF), nebo auditní zpráva | | | | | | | |
| | | SOC 2® Type 2, s odkazem na tu část, ze které | | | | | | | |
| | | bude patrné, že poskytovatel vyhotovuje záznam | | | | | | | |
| | | o přístupu jeho interních a externích | | | | | | | |
| | | pracovníků k nezašifrovaným zákaznickým datům, | | | | | | | |
| | | ke kterému došlo bez přechozího svolení | | | | | | | |
| | | zákazníka v daném případě, a že tento záznam | | | | | | | |
| | | obsahuje důvod, čas, trvání, typ a rozsah | | | | | | | |
| | | přístupu. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 7.9 | Poskytovatel umožňuje zákazníkovi přístup | Odkaz na konkrétní část podmínek poskytování | X | X | X | X | X | X | X |
| | k záznamu vytvořenému dle řádku 7.8 přílohy | služby cloud computingu nebo část návrhu | | | | | | | |
| | č. 2 k této vyhlášce, a za tím účelem ho | smlouvy nebo produktovou specifikaci služby | | | | | | | |
| | poskytovatel uchová alespoň po dobu 7 dní. | cloud computingu, | | | | | | | |
| | | | | | | | | | |
| | Poskytovatel nemusí umožňovat přístup | nebo auditní zpráva vydaná | | | | | | | |
| | k záznamu v případě, že interní a externí | pro certifikaci ČSN EN ISO/IEC 27001, | | | | | | | |
| | pracovníci přistupují k nezašifrovanému | EN ISO/IEC 27001 nebo ISO/IEC 27001 od | | | | | | | |
| | zákaznickému obsahu na základě žádosti | certifikačního orgánu, který byl akreditován | | | | | | | |
| | cizozemského orgánu o zpřístupnění nebo | pro provádění auditů a certifikaci systémů | | | | | | | |
| | předání dat a vyrozumění zákazníka o této | řízení bezpečnosti informací některým z členů | | | | | | | |
| | žádosti není možné v souladu s body 2.1, | Mezinárodního akreditačního fóra (IAF), nebo | | | | | | | |
| | 2.2 přílohy č. 2 této vyhlášky. | auditní zpráva SOC 2® Type 2, s odkazem na tu | | | | | | | |
| | | část, ze které bude patrné, že poskytovatel | | | | | | | |
| | | umožňuje zákazníkovi přístup k záznamu | | | | | | | |
| | | vytvořenému dle řádku 7.8 přílohy č. 2 k této | | | | | | | |
| | | vyhlášce, a že takový záznam uchová alespoň | | | | | | | |
| | | po dobu 7 dní. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 8. Certifikace služby cloud computingu |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 8.1 | Poskytovatel provozuje službu cloud | Čestné prohlášení, že systém řízení | X | | | | X | X | X |
| | computingu v rozsahu systému řízení | bezpečnosti informací, v jehož rozsahu je | | | | | | | |
| | bezpečnosti informací, který je | služba cloud computingu provozována, je | | | | | | | |
| | v souladu s požadavky vyhlášky o | v souladu s požadavky vyhlášky o kybernetické | | | | | | | |
| | kybernetické bezpečnosti nebo | bezpečnosti nebo s požadavky | | | | | | | |
| | s požadavky ČSN EN ISO/IEC 27001, | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | |
| | EN ISO/IEC 27001 nebo ISO/IEC 27001. | ISO/IEC 27001 a prohlášení o aplikovatelnosti | | | | | | | |
| | | jednotlivých opatření. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 8.2 | Poskytovatel je držitelem platné | Platný certifikát ČSN EN ISO/IEC 27001, | | X | | | X | X | X |
| | certifikace ČSN EN ISO/IEC 27001, | EN ISO/IEC 27001 nebo ISO/IEC 27001 | | | | | | | |
| | EN ISO/IEC 27001 nebo ISO/IEC 27001 | od certifikačního orgánu, který byl | | | | | | | |
| | od certifikačního orgánu, který byl | akreditován pro provádění auditů a certifikaci | | | | | | | |
| | akreditován pro provádění auditů a | systémů řízení bezpečnosti informací některým | | | | | | | |
| | certifikaci systémů řízení bezpečnosti | z členů Mezinárodního akreditačního fóra (IAF) | | | | | | | |
| | informací některým z členů Mezinárodního | s označením poskytovatele, kdy rozsah | | | | | | | |
| | akreditačního fóra (IAF), do jejíhož | certifikace jmenovitě zahrnuje službu | | | | | | | |
| | rozsahu certifikace náleží posuzovaná | cloud computingu, kterou žádá poskytovatel | | | | | | | |
| | služba cloud computingu. | zapsat do katalogu cloud computingu, nebo | | | | | | | |
| | | v případě, že rozsah certifikace uvedený | | | | | | | |
| | | na certifikátu nezahrnuje jmenovitě službu | | | | | | | |
| | | cloud computingu, kterou žádá poskytovatel | | | | | | | |
| | | zapsat do katalogu cloud computingu, čestné | | | | | | | |
| | | prohlášení, které služby spadají do rozsahu | | | | | | | |
| | | systému řízení bezpečnosti informací, | | | | | | | |
| | | pro nějž byl daný certifikát vystaven. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 8.3 | Poskytovatel je držitelem platné | Platný certifikát ČSN EN ISO/IEC 27001, | | | X | X | X | X | X |
| | certifikace ČSN EN ISO/IEC 27001, | EN ISO/IEC 27001 nebo ISO/IEC 27001 od | | | | | | | |
| | EN ISO/IEC 27001 nebo ISO/IEC 27001 | certifikačního orgánu, který byl akreditován | | | | | | | |
| | od certifikačního orgánu, který byl | pro provádění auditů a certifikaci systémů | | | | | | | |
| | akreditován pro provádění auditů a | řízení bezpečnosti informací některým z členů | | | | | | | |
| | certifikaci systémů řízení bezpečnosti | Mezinárodního akreditačního fóra (IAF), | | | | | | | |
| | informací některým z členů Mezinárodního | s označením poskytovatele, kdy rozsah | | | | | | | |
| | akreditačního fóra (IAF), do jejíhož | certifikace jmenovitě zahrnuje službu cloud | | | | | | | |
| | rozsahu certifikace náleží posuzovaná | computingu, kterou žádá poskytovatel zapsat | | | | | | | |
| | služba cloud computingu. | do katalogu cloud computingu, | | | | | | | |
| | | | | | | | | | |
| | | nebo v případě, že rozsah certifikace uvedený | | | | | | | |
| | | na certifikátu nezahrnuje jmenovitě službu | | | | | | | |
| | | cloud computingu, kterou žádá poskytovatel | | | | | | | |
| | | zapsat do katalogu cloud computingu, čestné | | | | | | | |
| | | prohlášení, které služby spadají do rozsahu | | | | | | | |
| | | systému řízení bezpečnosti informací, pro nějž | | | | | | | |
| | | byl daný certifikát vystaven, a dále příslušné | | | | | | | |
| | | prohlášení o aplikovatelnosti. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 8.4 | Poskytovatel je držitelem platné | Platný certifikát ČSN EN ISO/IEC 27001, | | X | | | X | X | X |
| | certifikace ČSN EN ISO/IEC 27001, | EN ISO/IEC 27001 nebo ISO/IEC 27001 od | | | | | | | |
| | EN ISO/IEC 27001 nebo ISO/IEC 27001 | certifikačního orgánu, který byl akreditován | | | | | | | |
| | od certifikačního orgánu, který byl | pro provádění auditů a certifikaci systémů | | | | | | | |
| | akreditován pro provádění auditů a | řízení bezpečnosti informací některým z členů | | | | | | | |
| | certifikaci systémů řízení bezpečnosti | Mezinárodního akreditačního fóra (IAF), | | | | | | | |
| | informací některým z členů Mezinárodního | s označením poskytovatele, kdy rozsah | | | | | | | |
| | akreditačního fóra (IAF), do jejíhož | certifikace jmenovitě zahrnuje službu cloud | | | | | | | |
| | rozsahu certifikace náleží posuzovaná | computingu, kterou žádá poskytovatel zapsat | | | | | | | |
| | služba cloud computingu provozovaná | do katalogu cloud computingu a provozovanou | | | | | | | |
| | v souladu s postupy normy ČSN ISO/IEC 27017 | v souladu s postupy normy ČSN ISO/IEC 27017 | | | | | | | |
| | nebo ISO/IEC 27017. | nebo ISO/IEC 27017, | | | | | | | |
| | | | | | | | | | |
| | | nebo v případě, že rozsah certifikace uvedený | | | | | | | |
| | | na certifikátu nezahrnuje jmenovitě službu | | | | | | | |
| | | cloud computingu, kterou žádá poskytovatel | | | | | | | |
| | | zapsat do katalogu cloud computingu, čestné | | | | | | | |
| | | prohlášení, které služby spadají do rozsahu | | | | | | | |
| | | systému řízení bezpečnosti informací, pro nějž | | | | | | | |
| | | byl daný certifikát vystaven. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 8.5 | Poskytovatel je držitelem platné | Platný certifikát ČSN EN ISO/IEC 27001, | | | X | X | X | X | X |
| | certifikace ČSN EN ISO/IEC 27001, | EN ISO/IEC 27001 nebo ISO/IEC 27001 | | | | | | | |
| | EN ISO/IEC 27001 nebo ISO/IEC 27001 | od certifikačního orgánu, který byl | | | | | | | |
| | od certifikačního orgánu, který byl | akreditován pro provádění auditů a certifikaci | | | | | | | |
| | akreditován pro provádění auditů a | systémů řízení bezpečnosti informací některým | | | | | | | |
| | certifikaci systémů řízení bezpečnosti | z členů Mezinárodního akreditačního fóra (IAF), | | | | | | | |
| | informací některým z členů Mezinárodního | s označením poskytovatele, kdy rozsah | | | | | | | |
| | akreditačního fóra (IAF), do jejíhož | certifikace jmenovitě zahrnuje službu cloud | | | | | | | |
| | rozsahu certifikace náleží posuzovaná | computingu, kterou žádá poskytovatel zapsat | | | | | | | |
| | služba cloud computingu provozovaná | do katalogu cloud computingu a provozovanou | | | | | | | |
| | v souladu s postupy normy | v souladu s postupy normy ČSN ISO/IEC 27017 | | | | | | | |
| | ČSN EN ISO/IEC 27017 nebo EN ISO/IEC 27017. | nebo ISO/IEC 27017, | | | | | | | |
| | | | | | | | | | |
| | | nebo v případě, že rozsah certifikace uvedený | | | | | | | |
| | | na certifikátu nezahrnuje jmenovitě službu cloud | | | | | | | |
| | | computingu, kterou žádá poskytovatel zapsat | | | | | | | |
| | | do katalogu cloud computingu, čestné prohlášení, | | | | | | | |
| | | které služby spadají do rozsahu systému řízení | | | | | | | |
| | | bezpečnosti informací, pro nějž byl daný | | | | | | | |
| | | certifikát vystaven, a dále příslušné prohlášení | | | | | | | |
| | | o aplikovatelnosti. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 8.6 | Poskytovatel je držitelem platné | Platný certifikát ČSN EN ISO/IEC 27001, | | | X | X | X | X | X |
| | certifikace ČSN EN ISO/IEC 27001, | EN ISO/IEC 27001 nebo ISO/IEC 27001 od | | | | | | | |
| | EN ISO/IEC 27001 nebo ISO/IEC 27001 | certifikačního orgánu, který byl akreditován | | | | | | | |
| | od certifikačního orgánu, který byl | pro provádění auditů a certifikaci systémů | | | | | | | |
| | akreditován pro provádění auditů a | řízení bezpečnosti informací některým z členů | | | | | | | |
| | certifikaci systémů řízení bezpečnosti | Mezinárodního akreditačního fóra (IAF) | | | | | | | |
| | informací některým z členů Mezinárodního | s označením poskytovatele, kdy rozsah | | | | | | | |
| | akreditačního fóra (IAF), do jejíhož | certifikace jmenovitě zahrnuje službu cloud | | | | | | | |
| | rozsahu certifikace náleží posuzovaná | computingu, kterou žádá poskytovatel zapsat | | | | | | | |
| | služba cloud computingu provozovaná | do katalogu cloud computingu a provozovanou | | | | | | | |
| | v souladu s postupy normy ČSN ISO/IEC 27018 | v souladu s postupy normy ČSN ISO/IEC 27018 | | | | | | | |
| | nebo ISO/IEC 27018. | nebo ISO/IEC 27018, | | | | | | | |
| | | | | | | | | | |
| | | nebo v případě, že rozsah certifikace uvedený | | | | | | | |
| | | na certifikátu nezahrnuje jmenovitě službu | | | | | | | |
| | | cloud computingu, kterou žádá poskytovatel | | | | | | | |
| | | zapsat do katalogu cloud computingu, čestné | | | | | | | |
| | | prohlášení, které služby spadají do rozsahu | | | | | | | |
| | | systému řízení bezpečnosti informací, pro nějž | | | | | | | |
| | | byl daný certifikát vystaven, a dále příslušné | | | | | | | |
| | | prohlášení o aplikovatelnosti. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 8.7 | Poskytovatel je držitelem auditní zprávy | Auditní zpráva SOC 2® Type 2 v doménách | | | X | X | X | X | X |
| | SOC 2® Type 2 nebo auditní zprávy o | bezpečnosti, dostupnosti, procesní integrity, | | | | | | | |
| | vyhodnocení shody s aktuálními požadavky | důvěrnosti a soukromí nebo auditní zpráva | | | | | | | |
| | Cloud Computing Compliance Criteria Catalogue | o vyhodnocení shody s aktuálními požadavky | | | | | | | |
| | C5 vydaný BSI, a to ve formě Type 2, která | Cloud Computing Compliance Criteria Catalogue | | | | | | | |
| | není starší než 24 měsíců, do jejíhož rozsahu | (C5) vydaný BSI, a to ve formě Type 2. | | | | | | | |
| | náleží posuzovaná služba cloud computingu, | | | | | | | | |
| | vydaná nezávislým auditorem. | | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 9. Kybernetické bezpečnostní události a kybernetické bezpečnostní incidenty |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 9.1 | Poskytovatel má zaveden nástroj na sledování | Odkaz na konkrétní část podmínek poskytování | X | | | | X | X | X |
| | a vyhodnocování kybernetických bezpečnostních | služby cloud computingu, část návrhu smlouvy | | | | | | | |
| | událostí. | nebo jiný popis služby cloud computingu, | | | | | | | |
| | | ze které bude patrné, že poskytovatel má | | | | | | | |
| | | zaveden nástroj na sledování a vyhodnocování | | | | | | | |
| | | kybernetických bezpečnostních událostí, | | | | | | | |
| | | | | | | | | | |
| | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | |
| | | ČSN EN ISO/IEC 27001,EN ISO/IEC 27001 nebo | | | | | | | |
| | | ISO/IEC 27001 od certifikačního orgánu, který | | | | | | | |
| | | byl akreditován pro provádění auditů a | | | | | | | |
| | | certifikaci systémů řízení bezpečnosti | | | | | | | |
| | | informací některým z členů Mezinárodního | | | | | | | |
| | | akreditačního fóra (IAF), nebo auditní zpráva | | | | | | | |
| | | SOC 2® Type 2, s odkazem na tu část, ze které | | | | | | | |
| | | bude patrné, že poskytovatel má zaveden | | | | | | | |
| | | nástroj na sledování a vyhodnocování | | | | | | | |
| | | kybernetických bezpečnostních událostí. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 9.2 | Poskytovatel má zaveden nástroj | Odkaz na konkrétní část podmínek poskytování | | X | X | X | X | X | X |
| | na sledování a vyhodnocování | služby cloud computingu, část návrhu smlouvy | | | | | | | |
| | kybernetických bezpečnostních událostí. | nebo jiný popis služby cloud computingu, | | | | | | | |
| | Poskytovatel umožní zpřístupnění | ze kterých bude patrné, že poskytovatel má | | | | | | | |
| | vzdáleně všech událostí tykajících | zaveden nástroj na sledování a vyhodnocování | | | | | | | |
| | se konkrétního zákazníka zákazníkovi. | kybernetických bezpečnostních událostí a | | | | | | | |
| | Nové události zpřístupní zákazníkovi bez | umožní zpřístupnění vzdáleně všech událostí | | | | | | | |
| | zbytečného odkladu po vzniku události, | tykajících se konkrétního zákazníka zákazníkovi | | | | | | | |
| | nejpozději však do 24 hodin. | a nové události zpřístupní zákazníkovi bez | | | | | | | |
| | | zbytečného odkladu, nejpozději však do 24 hodin | | | | | | | |
| | | po vzniku události, | | | | | | | |
| | | | | | | | | | |
| | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | |
| | | ČSN EN ISO/IEC 27001,EN ISO/IEC 27001 nebo | | | | | | | |
| | | ISO/IEC 27001 od certifikačního orgánu, který | | | | | | | |
| | | byl akreditován pro provádění auditů a | | | | | | | |
| | | certifikaci systémů řízení bezpečnosti | | | | | | | |
| | | informací některým z členů Mezinárodního | | | | | | | |
| | | akreditačního fóra (IAF), nebo auditní zpráva | | | | | | | |
| | | SOC 2® Type 2, s odkazem na tu část, ze které | | | | | | | |
| | | bude patrné, že poskytovatel má zaveden nástroj | | | | | | | |
| | | na sledování a vyhodnocování kybernetických | | | | | | | |
| | | bezpečnostních událostí, umožní zpřístupnění | | | | | | | |
| | | vzdáleně všech událostí tykajících se | | | | | | | |
| | | konkrétního zákazníka zákazníkovi a nové | | | | | | | |
| | | události zpřístupní zákazníkovi bez zbytečného | | | | | | | |
| | | odkladu po vzniku události, nejpozději však | | | | | | | |
| | | do 24 hodin. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 9.3 | Poskytovatel informuje zákazníka v případě | Odkaz na konkrétní část podmínek poskytování | X | X | X | X | X | X | X |
| | narušení bezpečnosti informací zákaznických | služby cloud computingu, část návrhu smlouvy | | | | | | | |
| | dat a specifických provozních údajů bez | nebo jiný popis služby cloud computingu, | | | | | | | |
| | zbytečného odkladu, ale nejpozději do 72 hodin | ze které bude patrné, že poskytovatel | | | | | | | |
| | od okamžiku, kdy se o narušení bezpečnosti | informuje zákazníka v případě narušení | | | | | | | |
| | zákaznických dat dozvěděl. Jakmile je řešení | bezpečnosti informací zákaznických dat a | | | | | | | |
| | incidentu uzavřeno, informuje poskytovatel | specifických provozních údajů bez zbytečného | | | | | | | |
| | zákazníka o přijatých opatřeních. | odkladu, ale nejpozději do 72 hodin | | | | | | | |
| | | od okamžiku, kdy se o narušení bezpečnosti | | | | | | | |
| | | zákaznických dat dozvěděl. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 10. Testování služby cloud computingu |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 10.1 | Poskytovatel provádí pravidelně skeny | Tři záznamy o provedení skenů zranitelností | X | X | X | X | X | X | X |
| | zranitelností. Služba cloud computingu | provedených maximálně 3 měsíce před podáním | | | | | | | |
| | zapisovaná do katalogu cloud computingu musí | žádosti o zápis služby cloud computingu | | | | | | | |
| | být zahrnuta do rozsahu skenu zranitelností. | do katalogu cloud computingu, | | | | | | | |
| | | | | | | | | | |
| | | nebo auditní zpráva vydaná pro certifikaci | | | | | | | |
| | | ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo | | | | | | | |
| | | ISO/IEC 27001 od certifikačního orgánu, který | | | | | | | |
| | | byl akreditován pro provádění auditů a | | | | | | | |
| | | certifikaci systémů řízení bezpečnosti | | | | | | | |
| | | informací některým z členů Mezinárodního | | | | | | | |
| | | akreditačního fóra (IAF), nebo auditní zprávu | | | | | | | |
| | | SOC 2® Type 2, s odkazem na tu část, ze které | | | | | | | |
| | | bude patrné, že skeny zranitelností jsou | | | | | | | |
| | | prováděny pravidelně v takovém intervalu, | | | | | | | |
| | | ze kterého bude vyplývat, že byly provedeny | | | | | | | |
| | | alespoň 3 skeny zranitelností maximálně | | | | | | | |
| | | 3 měsíce před podáním žádosti o zápis služby | | | | | | | |
| | | cloud computingu do katalogu cloud | | | | | | | |
| | | computingu. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 10.2 | Poskytovatel zajišťuje provádění penetračních | Zpráva z provedení penetračního testu | | | X | X | X | X | |
| | testů subjektem, který je nezávislý | provedeného podle standardu NIST 800-115 | | | | | | | |
| | na poskytovateli. Služba cloud computingu | nebo v souladu s metodikou OSSTMM. | | | | | | | |
| | zapisovaná do katalogu cloud computingu musí | Penetrační test provede subjekt, který je | | | | | | | |
| | být zahrnuta do rozsahu penetračního testu. | nezávislý na poskytovateli. Zpráva | | | | | | | |
| | | z provedení penetračního testu nesmí být | | | | | | | |
| | | starší než 24 měsíců před podáním žádosti | | | | | | | |
| | | o zápis služby cloud computingu do katalogu | | | | | | | |
| | | cloud computingu. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
| 10.3 | Poskytovatel zajišťuje provádění penetračních | Zpráva z provedení penetračního testu, | | | X | X | | | X |
| | testů subjektem, který je nezávislý | při kterém budou ověřena rizika alespoň | | | | | | | |
| | na poskytovateli. Služba cloud computingu | podle standardu OWASP Top 10 Web | | | | | | | |
| | zapisovaná do katalogu cloud computingu musí | Application Security Risks. Penetrační test | | | | | | | |
| | být zahrnuta do rozsahu penetračního testu. | provede subjekt, který je nezávislý | | | | | | | |
| | | na poskytovateli. Zpráva z provedení | | | | | | | |
| | | penetračního testu nesmí být starší než | | | | | | | |
| | | 24 měsíců před podáním žádosti o zápis služby | | | | | | | |
| | | cloud computingu do katalogu cloud computingu. | | | | | | | |
+-------------+------------------------------------------------+--------------------------------------------------+----------+---------+--------+----------+---------------+-----------+--------------+
------------------------------------------------------------------