V současném znění vyhlášky č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu, (dále jen „vyhláška o vstupních kritériích“) požadavky řádků 1.3 a 1.4 v příloze č. 2 pro bezpečnostní úroveň Vysoká stanoví, aby zákaznická data a specifické provozní údaje ve stavu neaktivních dat byly ukládány výlučně na území členských států EU a ESVO.
Některé služby tyto požadavky nesplňují. Přesto bylo žádoucí, aby i tyto služby bylo možné zapsat do katalogu cloud computingu (dále jen „katalog CC“). Z tohoto důvodu existuje možnost zapsat služby na základě výjimky, o kterou se poskytovatel přihlásí tím, že takové služby označí jako služby nesplňující požadavky řádků 1.3 a 1.4.
Vyhláška o vstupních kritériích pak stanoví, že takové služby budou uvedeny na internetových stránkách Úřadu a taktéž budou řádně označeny v katalogu CC. Cílem je, aby orgány veřejné správy mohly ve svých informačních systémech veřejné správy (ISVS) tyto služby využívat, ale zároveň aby byly informovány o tom, že jejich data a specifické provozní údaje mohou být ukládány v jiném režimu než u služeb ostatních.
Níže přiložené seznamy platí i pro případ přeprodeje uvedených služeb.
Microsoft Ireland Operations Limited
Seznam služeb poskytovatele Microsoft Ireland Operations Limited, které nesplňují požadavek řádku 1.3 (ukládání zákaznických dat výlučně na území EU/ESVO) přílohy č. 2 vyhlášky č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu a jsou zapsány na základě výjimky
|
Název služby |
Identifikace služby přidělená Digitální a informační agenturou |
|
Microsoft Entra ID (dříve Azure Active Directory) |
000-032-0231 |
|
Microsoft Entra ID (dříve Azure Active Directory) (včetně služeb Azure Active Directory, Azure Active Directory Domain Services, Azure Active Directory B2C) |
000-032-0082 |
|
Azure Arc |
000-032-0020 |
|
Azure Cost Management and Billing |
000-032-0097 |
|
Azure Databricks |
000-032-0264 |
|
Azure DevOps |
000-032-0099; 000-032-0247 |
|
Azure Front Door |
000-032-0012; 000-032-0074 |
|
Azure Maps |
000-032-0130 |
|
Azure Monitor |
000-032-0090; 000-032-0091 |
|
Azure Monitor - Log Analytics |
000-032-0088 |
|
Azure Monitor (včetně služeb: Application Insights, Application Change Analysis) |
000-032-0102 |
|
Azure Monitor (včetně služeb: Application Insights, Log Analytics, Azure Monitor for VMs, Azure Monitor for Containes) |
000-032-0071 |
|
Content Delivery Network |
000-032-0011; 000-032-0132 |
|
Dynamics 365 Business Central |
000-032-0135; 000-032-0137; 000-032-0139; 000-032-0141; 000-032-0143; 000-032-0145; 000-032-0147; 000-032-0149; 000-032-0151; 000-032-0153, 000-032-0155; 000-032-0157; 000-032-0159; 000-032-0161; 000-032-0163; 000-032-0172; 000-032-0174; 000-032-0176; 000-032-0186; 000-032-0191; 000-032-0196; 000-032-0201; 000-032-0203 |
|
Dynamics 365 Commerce |
000-032-0168 |
|
Dynamics 365 Customer Insights |
000-032-0167 |
|
Dynamics 365 Customer Service |
000-032-0169; 000-032-0178; 000-032-0179; 000-032-0180; 000-032-0181; 000-032-0182; 000-032-0205; 000-032-0213; 000-032-0242; 000-032-0243; 000-032-0244; 000-032-0245; 000-032-0246; 000-032-0248 |
|
Dynamics 365 Field Service |
000-032-0170; 000-032-0171; 000-032-0212; 000-032-0251; 000-032-0253; 000-032-0255 |
|
Dynamics 365 Finance |
000-032-0136; 000-032-0138; 000-032-0140; 000-032-0142; 000-032-0144; 000-032-0146; 000-032-0148; 000-032-0150; 000-032-0158; 000-032-0160; 000-032-0162; 000-032-0164; 000-032-0175; 000-032-0185; 000-032-0190; 000-032-0195; 000-032-0200; 000-032-0204; 000-032-0256 |
|
Dynamics 365 Fraud Protection |
000-032-0258; 000-032-0259 |
|
Dynamics 365 Marketing |
000-032-0165; 000-032-0166 |
|
Dynamics 365 Project Operations |
000-032-0187; 000-032-0192; 000-032-0197; 000-032-0202; 000-032-0209 |
|
Dynamics 365 Remote Assist |
000-032-0263 |
|
Dynamics 365 Sales |
000-032-0206 |
|
Dynamics 365 Supply Chain Management |
000-032-0152; 000-032-0154; 000-032-0156; 000-032-0177; 000-032-207; 000-032-0250; 000-032-0252; 000-032-0254 |
|
Microsoft Defender for Endpoint |
000-032-0079; 000-032-0118; 000-032-0225 |
|
Microsoft Defender for Identity |
000-032-0077; 000-032-0224; 000-032-0257 |
|
Microsoft Purview: Message Encryption, Data Lifecyle Management, Record Management, Customer key, Privileged Access Management, Data Connectors, Double Key Encryption |
000-032-0211 |
|
Microsoft Sentinel |
000-032-0070; 000-032-0093; |
|
Microsoft Teams |
000-032-0214; 000-032-0218, 000-032-0221 |
|
Power Apps |
000-032-0064; 000-032-0184; 000-032-0189; 000-032-0194; 000-032-0199; 000-032-0215 |
|
Power Automate |
000-032-0065; 000-032-0183; 000-032-0188; 000-032-0193; 000-032-0198; 000-032-0236 |
|
Power BI |
000-032-0066; 000-032-0208; 000-032-0229; 000-032-0238 |
|
Power Virtual Agents |
000-032-0067 |
|
Power Pages |
000-032-0068 |
Seznam služeb poskytovatele Microsoft Ireland Operations Limited, které nesplňují požadavek řádku 1.4 (ukládání specifických provozních údajů výlučně na území EU/ESVO) přílohy č. 2 vyhlášky č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu a jsou zapsány na základě výjimky
|
Název služby |
Identifikace služby přidělená Digitální a informační agenturou |
|
AI Builder (Součást Microsoft Power Apps) |
000-032-0111 |
|
Microsoft Entra ID (dříve Azure Active Directory) (včetně služeb Azure Active Directory, Azure Active Directory Domain Services, Azure Active Directory B2C) |
000-032-0231 |
|
Microsoft Entra ID (dříve Azure Active Directory) (včetně služeb Azure Active Directory, Azure Active Directory Domain Services, Azure Active Directory B2C) (včetně služeb Azure Active Directory, Azure Active Directory Domain Services, Azure Active Directory B2C) |
000-032-0082 |
|
Azure Arc |
000-032-0020 |
|
Azure Cost Management and Billing |
000-032-0097 |
|
Azure Databricks |
000-032-0264 |
|
Azure DevOps |
000-032-0099 |
|
Azure Front Door |
000-032-0012; 000-032-0074 |
|
Azure Maps |
000-032-0130 |
|
Azure Monitor |
000-032-0090; 000-032-0091 |
|
Azure Monitor - Log Analytics |
000-032-0088 |
|
Azure Monitor (včetně služeb: Application Insights, Log Analytics, Azure Monitor for VMs, Azure Monitor for Containes) |
000-032-0071 |
|
Azure Monitor (včetně: Application Insights, Application Change Analysis) |
000-032-0102 |
|
Content Delivery Network |
000-032-0011; 000-032-0132 |
|
Dynamic 365 Human Resources |
000-032-0173 |
|
Dynamics 365 Business Central |
000-032-0135; 000-032-0137; 000-032-0139; 000-032-0141; 000-032-0143; 000-032-0145; 000-032-0147; 000-032-0149; 000-032-0151; 000-032-0153, 000-032-0155; 000-032-0157; 000-032-0159; 000-032-0161; 000-032-0163; 000-032-0172; 000-032-0174; 000-032-0176; 000-032-0186; 000-032-0191; 000-032-0196; 000-032-0201; 000-032-0203 |
|
Dynamics 365 Commerce |
000-032-0168 |
|
Dynamics 365 Customer Insights |
000-032-0167 |
|
Dynamics 365 Customer Service |
000-032-0169; 000-032-0178; 000-032-0179; 000-032-0180; 000-032-0181; 000-032-0182; 000-032-0205; 000-032-0213; 000-032-0242; 000-032-0243; 000-032-0244; 000-032-0245; 000-032-0246; 000-032-0248 |
|
Dynamics 365 Field Service |
000-032-0170; 000-032-0171; 000-032-0212; 000-032-0251; 000-032-0253; 000-032-0255 |
|
Dynamics 365 Finance |
000-032-0136; 000-032-0138; 000-032-0140; 000-032-0142; 000-032-0144; 000-032-0146; 000-032-0148; 000-032-0150; 000-032-0158; 000-032-0160; 000-032-0162; 000-032-0164; 000-032-0175; 000-032-0185; 000-032-0190; 000-032-0195; 000-032-0200; 000-032-0204; 000-032-0256 |
|
Dynamics 365 Fraud Protection |
000-032-0258; 000-032-0259 |
|
Dynamics 365 Marketing |
000-032-0165; 000-032-0166 |
|
Dynamics 365 Project Operations |
000-032-0187; 000-032-0192; 000-032-0197; 000-032-0202; 000-032-0209 |
|
Dynamics 365 Remote Assist |
000-032-0263 |
|
Dynamics 365 Sales |
000-032-0206 |
|
Dynamics 365 Supply Chain Management |
000-032-0152; 000-032-0154; 000-032-0156; 000-032-0177; 000-032-207; 000-032-0250; 000-032-0252; 000-032-0254 |
|
Intune |
000-032-0081 |
|
Microsoft Defender for Cloud |
000-032-0078; 000-032-0092 |
|
Microsoft Defender for Cloud Apps |
000-032-0084; 000-032-0226 |
|
Microsoft Defender for Endpoint |
000-032-0079; 000-032-0118; 000-032-0225 |
|
Microsoft Defender for Identity |
000-032-0077; 000-032-0224; 000-032-0257 |
|
Microsoft Information Protection |
000-032-0083; 000-032-0230; 000-032-0239 |
|
Microsoft Intune |
000-032-0228 |
|
Microsoft Purview (Služby: Message Encryption, Data Lifecyle Management, Record Management, Customer key, Privileged Access Management, Data Connectors, Double Key Encryption) |
000-032-0211 |
|
Microsoft Sentinel |
000-032-0070; 000-032-0093; 000-032-0249 |
|
Microsoft SharePoint Online |
000-032-0219; 000-032-0220; 000-032-0232; 000-032-0233; 000-032-0237 |
|
Microsoft Teams |
000-032-0214; 000-032-0218; 000-032-0221 |
|
Power Apps |
000-032-0064; 000-032-0184; 000-032-0189; 000-032-0194; 000-032-0199; 000-032-0215 |
|
Power Automate |
000-032-0065; 000-032-0183; 000-032-0188; 000-032-0193; 000-032-0198; 000-032-0236 |
|
Power BI |
000-032-0066; 000-032-0208; 000-032-0229; 000-032-0238 |
|
Power Pages |
000-032-0068 |
|
Power Virtual Agents |
000-032-0067 |
ALVAO s.r.o.
Seznam služeb poskytovatele ALVAO s.r.o., které nesplňují požadavek řádku 1.3 (ukládání zákaznických dat výlučně na území EU/ESVO) přílohy č. 2 vyhlášky č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu a jsou zapsány na základě výjimky
|
Název služby |
Identifikace služby přidělená Digitální a informační agenturou |
|
ALVAO Service Desk ALVAO Asset Management |
023-023-0001; 023-023-0004; 023-023-0009; 023-023-0010; 023-023-0017; 023-023-0020; 023-023-0021; 023-023-0023; 023-023-0024 |
|
ALVAO Service Desk |
023-023-0002; 023-023-0003; 023-023-0005; 023-023-0006; 023-023-0007; 023-023-0008; 023-023-0011; 023-023-0012; 023-023-0013; 023-023-0014; 023-023-0015; 023-023-0016; 023-023-0018; 023-023-0019; 023-023-0022 |
|
ALVAO Asset Management |
023-023-0025; 023-023-0026; 023-023-0027; 023-023-0028; 023-023-0029 |
Seznam služeb poskytovatele ALVAO s.r.o., které nesplňují požadavek řádku 1.4 (ukládání specifických provozních údajů výlučně na území EU/ESVO) přílohy č. 2 vyhlášky č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu a jsou zapsány na základě výjimky
|
Název služby |
Identifikace služby přidělená Digitální a informační agenturou |
|
ALVAO Service Desk ALVAO Asset Management |
023-023-0001; 023-023-0004; 023-023-0009; 023-023-0010; 023-023-0017; 023-023-0020; 023-023-0021; 023-023-0023; 023-023-0024 |
|
ALVAO Service Desk |
023-023-0002; 023-023-0003; 023-023-0005; 023-023-0006; 023-023-0007; 023-023-0008; 023-023-0011; 023-023-0012; 023-023-0013; 023-023-0014; 023-023-0015; 023-023-0016; 023-023-0018; 023-023-0019; 023-023-0022 |
|
ALVAO Asset Management |
023-023-0025; 023-023-0026; 023-023-0027; 023-023-0028; 023-023-0029 |
GORDIC spol. s r.o.
Seznam služeb poskytovatele GORDIC spol. s r.o., které nesplňují požadavek řádku 1.3 (ukládání zákaznických dat výlučně na území EU/ESVO) přílohy č. 2 vyhlášky č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu a jsou zapsány na základě výjimky
|
Název služby |
Identifikace služby přidělená Digitální a informační agenturou |
|
GINIS Standard SaaS GINIS Enterprise+ Saas |
018-018-0081; 018-018-0082; 018-018-0083; 018-018-0084; 018-018-0085; 018-018-0086; 018-018-0087; 018-018-0088; 018-018-0089; 018-018-0090; 018-018-0091; 018-018-0092; 018-018-0093; 018-018-0094; 018-018-0095; 018-018-0096; 018-018-0097; 018-018-0098; 018-018-0099; 018-018-0100; 018-018-0101; 018-018-0102; 018-018-0103; 018-018-0104; 018-018-0105; 018-018-0106; 018-018-0107; 018-018-0108; 018-018-0109; 018-018-0110; 018-018-0111; 018-018-0112; 018-018-0113; 018-018-0114; 018-018-0115; 018-018-0116; 018-018-0117; 018-018-0118; 018-018-0119; 018-018-0120; 018-018-0121; 018-018-0122; 018-018-0123; 018-018-0124; 018-018-0125; 018-018-0126; 018-018-0127; 018-018-0128; 018-018-0129; 018-018-0130; 018-018-0131; 018-018-0132; 018-018-0133; 018-018-0134 |
Seznam služeb poskytovatele GORDIC spol. s r.o., které nesplňují požadavek řádku 1.4 (ukládání specifických provozních údajů výlučně na území EU/ESVO) přílohy č. 2 vyhlášky č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu a jsou zapsány na základě výjimky
|
Název služby |
Identifikace služby přidělená Digitální a informační agenturou |
|
GINIS Standard SaaS GINIS Enterprise+ Saas |
018-018-0081; 018-018-0082; 018-018-0083; 018-018-0084; 018-018-0085; 018-018-0086; 018-018-0087; 018-018-0088; 018-018-0089; 018-018-0090; 018-018-0091; 018-018-0092; 018-018-0093; 018-018-0094; 018-018-0095; 018-018-0096; 018-018-0097; 018-018-0098; 018-018-0099; 018-018-0100; 018-018-0101; 018-018-0102; 018-018-0103; 018-018-0104; 018-018-0105; 018-018-0106; 018-018-0107; 018-018-0108; 018-018-0109; 018-018-0110; 018-018-0111; 018-018-0112; 018-018-0113; 018-018-0114; 018-018-0115; 018-018-0116; 018-018-0117; 018-018-0118; 018-018-0119; 018-018-0120; 018-018-0121; 018-018-0122; 018-018-0123; 018-018-0124; 018-018-0125; 018-018-0126; 018-018-0127; 018-018-0128; 018-018-0129; 018-018-0130; 018-018-0131; 018-018-0132; 018-018-0133; 018-018-0134 |
| Datum vyvěšení písemnosti | Název | Datum sejmutí písemnosti | Soubor |
|---|---|---|---|
|
|
Seznam služeb společnosti Microsoft |
|
|
|
|
Seznam služeb společnosti Gordic |
|
|
|
|
Seznam služeb společnosti ALVAO |
|
|
Q&A
Znamená to, že tyto služby nejsou bezpečné? Proč tedy jsou zapsány v katalogu?
Všechny služby zapsané v katalogu cloud computingu nabízejí minimálně odpovídající bezpečnost, kterou požaduje vyhláška o vstupních kritériích. U těchto konkrétních služeb je však nutné věnovat zvýšenou pozornost riziku vyplývajícímu z uchovávání dat v zahraničí.
Jsme orgánem veřejné správy a správcem informačního systému veřejné správy. Můžeme tyto služby nadále využívat?
Ano, ale je nutné věnovat zvýšenou pozornost riziku vyplývajícímu z uchovávání dat v zahraničí.
Jsme regulovanou osobou podle zákona o kybernetické bezpečnosti. Je pro nás tato informace relevantní?
Pokud subjekt nespadá pod zákon č. 365/2000 Sb., o informačních systémech veřejné správy, (ZoISVS) pak se na něj regulace cloud computingu podle ZoISVS nevztahuje. Nemusí nakupovat z katalogu cloud computingu, a tedy ani tato informace mu není přímo adresována.
Znamená to, že k datům naší organizace/mým osobním datům mají přístup státní orgány jiných zemí?
Přístup k zákaznickým datům mohou za určitých, zákonem předvídaných, podmínek získat orgány státu ve většině zemí, včetně těch demokratických. S tímto rizikem je třeba u cloudových služeb počítat a zvážit, jaká data by bylo vhodné držet on-premise (na vlastním hardware). U služeb uvedených v seznamech je však riziko vyšší, protože jsou data ukládána i v zemích mimo EU a ESVO, tedy v zemích, kde nemusí být stejná garance právní ochrany jako v uvedených mezinárodních uskupeních.
Máme nakoupeny cloudové služby společnosti Microsoft přes přeprodejce, který tvrdí, že všechna data jsou ukládána na území EU. Je to pravda?
Takové tvrzení je spíše nepravdivé. Některé služby společnosti Microsoft nemohou fungovat, aniž by ukládaly zákaznická data a specifické provozní údaje ve stavu neaktivních dat mimo území EU/ESVO. A všechny aktuálně zapsané služby neumí zaručit ukládání specifických provozních údajů na území EU/ESVO. Stejně tak je třeba si dávat pozor, pokud využíváte SaaS (software as a service) jiného poskytovatele, který je však postavený na IaaS/PaaS (infrastructure/platform as a service) Microsoftu.